В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.
При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки, орган по аттестации принимает решение об отказе в выдаче "Аттестата соответствия".
При этом может быть предложен срок повторной аттестации при условии устранения недостатков.
При наличии замечаний непринципиального характера "Аттестат соответствия" может быть выдан после проверки устранения этих замечаний.
Почти все мероприятия данной главы выполняют специальные органы, поэтому от Учреждения не требуется каких-либо специальных знаний.
Руководителю Учреждения необходимо грамотно разместить заявку на сайте Госзаказа и правильно оформить заявку в орган аттестации на проведение аттестационных испытаний.
Необходимо помнить, что после прохождения процедуры аттестации и получения «Аттестата соответствия», руководитель Учреждения несёт ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
ПРИЛОЖЕНИЕ 1
ПОЛНОЕ НАИМЕНОВАНИЕ МЕДИЦИНСКОГО УЧРЕЖДЕНИЯ
место нахождения учреждения
П Р И К А З
от хх. хх. хх № хх
Об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
В соответствии с требованиями Федерального закона от 01.01.2001г. "О персональных данных", положения "Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного постановлением Правительства Российской Федерации от 01.01.01 г. № 000 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и в целях организации работ по обеспечению безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных ПОЛНОЕ НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ,
ПРИКАЗЫВАЮ:
1. Ввести в учреждении ПОЛНОЕ НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ режим обработки персональных данных.
2. Назначить ответственным за обеспечение безопасности персональных данных в организации - ДОЛЖНОСТЬ ФИО.
Возложить на ДОЛЖНОСТЬ ФИО следующие обязанности:
- представление на утверждение списка лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, а также изменений к нему;
- организация работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
- проведение разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
- приостановка предоставления персональных данных пользователям информационной системы при обнаружении нарушений порядка предоставления персональных данных.
3. Выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных возложить на ДОЛЖНОСТЬ ФИО.
В рамках проведения данных работ возложить на ДОЛЖНОСТЬ ФИО следующие функции:
- учет лиц, допущенных к работе с персональными данными в информационных системах;
- администрирование информационных систем персональных данных;
- администрирование средств антивирусной защиты информационных систем персональных данных;
- администрирование средств и систем защиты персональных данных в информационных системах персональных данных.
4. Осуществлять режим защиты персональных данных на основании принципов и положений:
· Концепции информационной безопасности;
· Политики информационной безопасности.
5. Осуществлять режим защиты персональных данных в отношении данных перечисленных в Перечне персональных данных, подлежащих защите.
6. Руководителям структурных подразделений представлять ответственному за обеспечение безопасности персональных данных списки сотрудников, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими служебных (трудовых) обязанностей, по приведенной форме.
7. Ответственному за обеспечение безопасности персональных данных ежемесячно представлять Директору на утверждение список лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей.
8. Разработать и утвердить "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ПОЛНОЕ НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ.
9. Сотрудникам, при определении персональных данных, подлежащих защите, использовать "Перечень ПДн", утвержденный соответствующим приказом.
10. Организовать учет носителей персональных данных в соответствии с правилами ведения делопроизводства.
Использование для хранения и обработки персональных данных машинных носителей информации, не поставленных на учет в установленном порядке, ЗАПРЕЩАЕТСЯ.
11. С целью проведения классификации информационных систем персональных данных создать комиссию в составе:
Председатель комиссии - ФИО - ДОЛЖНОСТЬ;
Члены комиссии - ФИО - ДОЛЖНОСТЬ.
Комиссии в СРОК срок осуществить классификацию информационных систем персональных данных, эксплуатирующихся в организации.
12. Приказ довести до заинтересованных лиц, в части их касающейся.
Контроль за выполнением настоящего приказа оставляю за собой.
Директор ФИО
Исполнитель
ФИО
тел. ХХХ-ХХ-ХХ
ПРИЛОЖЕНИЕ 2
Таблица 4
№ п/п | Отдел | АРМ, находящиеся в отделе (полное имя компьютера) | Специальные программные средства, используемые для сбора и обработки ПДн | Информация, обрабатываемая в каждом специализированном программном средстве |
1 | 2 | 3 | 4 | 5 |
ПРИЛОЖЕНИЕ 3
Таблица 5
№ п/п | АРМ (полное наименование) | ФИО сотрудника, работающего на данном АРМ |
1 | 2 | 3 |
ПРИЛОЖЕНИЕ 4
Таблица 6
№ п/п | ИСПДн | Обрабатываемая информация |
1 | 2 | 3 |
ПРИЛОЖЕНИЕ 5
ПОЛНОЕ НАЗВАНИЕ УЧРЕЖДЕНИЯ
УТВЕРЖДАЮ
_______________________
_______________________
"__" ____________ 2009 г.
Перечень персональных данных, подлежащих защите в информационных системах персональных данных учреждения здравоохранения, социальной сферы, труда и занятости
СОГЛАСОВАНО
_______________________ ___________________ ____________
подпись дата
_______________________ ________________ ____________
подпись дата
_______________________ ________________ ___________
подпись дата
МЕСТО СОСТАВЛЕНИЯ
ВВЕДЕНИЕ
Настоящий Перечень персональных данных, подлежащих защите в информационных системах персональных данных (ИСПДн) ПОЛНОЕ НАЗВАНИЕ УЧРЕЖДЕНИЯ (далее - Перечень) разработан ПОЛНОЕ НАЗВАНИЕ УЧРЕЖДЕНИЯ.
Перечень разработан в соответствии со списком объектов защиты, изложенных в Концепции информационной безопасности ИСПДн ПОЛНОЕ НАЗВАНИЕ УЧРЕЖДЕНИЯ.
Перечень содержит полный список категорий данных, безопасность которых должна обеспечиваться системой защиты персональных данных (СЗПДн).
1 Общие положения
Объектами защиты являются - информация, обрабатываемая в ИСПДн, и технические средства ее обработки и защиты. Перечень объектов защиты определен по результатам Отчета о результатах работы комиссии.
Объекты защиты каждой ИСПДн включают:
1) Обрабатываемая информация:
персональные данные субъектов ПДн (посетителей учреждения);
персональные данные сотрудников.
2 ИСПДн (Полное название ИСПДН)
2.1 Обрабатываемая информация
2.1.1 Перечень персональных данных субъектов ПДн
Персональные данные субъектов ПДн (пациентов) включают:
- ФИО;
- Дата рождения;
- Контактный телефон;
- Адрес прописки;
- Адрес фактического проживания;
- Паспортные данные;
- Данные о состоянии здоровья (история болезни).
Перечень персональных данных сотрудников Учреждения
Персональные данные сотрудников Учреждения включают:
- Фамилия, имя, отчество;
- Место, год и дата рождения;
- Адрес по прописке;
- Паспортные данные (серия, номер паспорта, кем и когда выдан);
- Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
- Информация о трудовой деятельности до приема на работу;
- Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
- Адрес проживания (реальный);
- Телефонный номер (домашний, рабочий, мобильный);
- Семейное положение и состав семьи (муж/жена, дети);
- Информация о знании иностранных языков;
- Форма допуска;
- Оклад;
- Данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
- Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
- ИНН;
- Данные об аттестации работников;
- Данные о повышении квалификации;
- Данные о наградах, медалях, поощрениях, почетных званиях;
- Информация о приеме на работу, перемещении по должности, увольнении;
- Информация об отпусках;
- Информация о командировках;
- Информация о болезнях;
- Информация о негосударственном пенсионном обеспечении.
ПРИЛОЖЕНИЕ 6
УТВЕРЖДАЮ
РУКОВОДИТЕЛЬ
ПОЛНОЕ НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ
___________________ ФИО
« » __________ г.
М. П.
АКТ
классификации информационной системы персональных данных
«ПОЛНОЕ НАИМЕНОВАНИЕ ИСПДн»
Наименование Учреждения
(АДРЕС УЧРЕЖДЕНИЯ)
Комиссия, назначенная приказом Руководителя от № , в составе:
- председатель комиссии – ФИО – ДОЛЖНОСТЬ;
- члены комиссии: ФИО – ДОЛЖНОСТИ,
провела классификацию информационной системы персональных данных (ПДн) «ПОЛНОЕ НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ».
В ходе работы комиссия установила:
1) категория персональных данных (ПД) –Хпд = ;
объем обрабатываемых персональных данных – от 1000 до 100 000 субъектов ПДн – Xнпд = ;
2) по заданным характеристикам безопасности персональных данных, обрабатываемых в информационной системе в соответствии с требованиями подпункта г) пункта 11 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного Постановлением Правительства Российской Федерации от 01.01.01 г. № 781 информационная система: ;
3) структура информационной системы: ;
4) наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена: ;
5) режим обработки персональных данных: ;
6) режим разграничения прав доступа пользователей информационной системы_______________;
7) местонахождение технических средств: .
В соответствии с пунктами 14 и 15 «Порядка проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации от 01.01.2001 № 55/86/20 и на основании анализа исходных данных, РЕШИЛА:
информационной системе персональных данных «ПОЛНОЕ НАИМНОВАНИЕ ИСПДн» установить класс: .
Председатель: | ФИО | ||
Члены комиссии: | ФИО | ||
« » __________ 20 г. |
|
ПРИЛОЖЕНИЕ 7
ПОЛНОЕ НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ | ||
УТВЕРЖДАЮ _______________________ _______________________ «__» ____________ 20 г. | ||
ПОЛОЖЕНИЕ О РАЗГРАНИЧЕНИИ ПРАВ ДОСТУПА К ОБРАБАТЫВАЕМЫМ ПЕРСОНАЛЬНЫМ ДАННЫМ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ УЧРЕЖДЕНИЯ | ||
СОГЛАСОВАНО | ||
_______________________ | ________________ | _______________ |
_______________________ | ________________ | _______________ |
_______________________ | ________________ | _______________ |
МЕСТО СОСТАВЛЕНИЯ | ||
ИСПДн «ПОЛНОЕ НАИМЕНОВАНИЕ ИСПДн»
Перечень групп, участвующих в обработке персональных данных в ИСПДн
Таблица 7
№ п/п | Группа | Уровень доступа к ПДн | Разрешенные действия |
1 | 2 | 3 | 4 |
Перечень лиц, получивших доступ к персональным данным
Таблица 8
№ | Роль | ФИО сотрудника | Подразделение |
1 | 2 | 3 | 4 |
ПРИЛОЖЕНИЕ 8
НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ | ||
УТВЕРЖДАЮ _______________________ _______________________ «__» ____________ 20 г. | ||
ЖУРНАЛ ПО УЧЕТУ МЕРОПРИЯТИЙ ПО КОНТРОЛЮ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИСПД УЧРЕЖДЕНИЯ | ||
СОГЛАСОВАНО | ||
_______________________ | ________________ | _______________ |
_______________________ | ________________ | _______________ |
_______________________ | ________________ | _______________ |
МЕСТО СОСТАВЛЕНИЯ | ||
Таблица 9
№ п/п | Группа | Уровень доступа к ПДн | Разрешенные действия | ФИО сотрудника / Логин |
1 | 2 | 3 | 4 | 5 |
НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ | |
| |
УТВЕРЖДАЮ _______________________ _______________________ «__» ____________ 20 г. |
|
ПОЛОЖЕНИЕ
ПО ОРГАНИЗАЦИИ И ПОРЯДКУ ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
(ПОЛНОЕ НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ)
АДРЕС УЧРЕЖДЕНИЯ
Термины и определения
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Угроза или опасность утраты персональных данных – единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
1. Общие положения
1.1. Настоящее положение разработано на основе Федерального закона от 27 июля 2006 г. «О персональных данных», в соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 и в соответствии с Федеральным законом Российской Федерации от 25 июля 2011 г. N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных"".
1.2. Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия. Для защиты ПДн создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн, определяемого с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства.
1.3. Для обеспечения безопасности ПДн при их обработке в ИСПДн осуществляется защита информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.
1.4. Для защиты персональных данных необходимо соблюдать ряд мер:
- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют работы с персональными данными;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудниками предприятия требований нормативно-методических документов по защите информации;
- наличие необходимых условий в помещениях для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещения, в которых функционируют ИСПДн;
- организация порядка уничтожения информации;
- своевременное выявление нарушений требований разрешительной системы доступа к ПДн;
- обучение сотрудников, воспитательная и разъяснительная работа по вопросам информационной безопасности;
- определение и регламентация состава сотрудников, имеющих право доступа к информационным ресурсам ИСПДн.
2. Основные мероприятия по организации обеспечения безопасности персональных данных
2.1. Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 |
