Приказ Минздрава Рязанской области от 17.09.2014 N 1467

О проведении мероприятий по защите персональных данных

В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России, ФСБ России и Министерства информационных технологий и связи РФ от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", приказом ФСТЭК России от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", методиками определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных и базовой моделью угроз безопасности персональных данных, утвержденными ФСТЭК России 14.02.2008, в связи с проведением работ по защите персональных данных в информационных системах персональных данных (далее - ИСПДн) министерства здравоохранения Рязанской области приказываю:
1. Ввести в министерстве здравоохранения Рязанской области режим обработки персональных данных.
2. Назначить ответственным за организацию обработки персональных данных в ИСПДн министерства здравоохранения Рязанской области консультанта отдела анализа, разработки и реализации целевых программ Котова Г.Н.
3. Контролируемой зоной ИСПДн министерства здравоохранения Рязанской области определить здания, расположенные по адресам:
- г. Рязань, ул. Свободы, д. 30;
- г. Рязань, ул. Свободы, д. 32;
- г. Рязань, ул. Первомайский проспект, д. 62, к. 2.
4. Утвердить перечень персональных данных, обрабатываемых в ИСПДн министерства здравоохранения Рязанской области, согласно приложению N 1 к настоящему приказу.
5. Утвердить перечень лиц, имеющих доступ к персональным данным, обрабатываемым в ИСПДн министерства здравоохранения Рязанской области, согласно приложению N 2 к настоящему приказу.
6. Утвердить инструкцию по управлению доступом в помещения контролируемой зоны согласно приложению N 3 к настоящему приказу.
7. Утвердить политику информационной безопасности ИСПДн министерства здравоохранения Рязанской области (далее - Политика ИБ) согласно приложению N 4 к настоящему приказу.
8. Утвердить Положение об обработке и защите персональных данных в ИСПДн министерства здравоохранения Рязанской области (далее - Положение об обработке и защите ПДн) согласно приложению N 5 к настоящему приказу.
9. Утвердить Положение о разграничении прав доступа в ИСПДн министерства здравоохранения Рязанской области (далее - Положение о разграничении прав доступа) согласно приложению N 6 к настоящему приказу.
10. Утвердить акт определения уровня защищенности персональных данных, обрабатываемых в ИСПДн министерства здравоохранения Рязанской области, согласно приложению N 7 к настоящему приказу.
11. Утвердить журнал учета обращений субъектов персональных данных по вопросам обработки их ПДн в ИСПДн министерства здравоохранения Рязанской области согласно приложению N 8 к настоящему приказу.
12. Утвердить план мероприятий по защите персональных данных, обрабатываемых в информационных системах персональных данных министерства здравоохранения Рязанской области, согласно приложению N 9 к настоящему приказу.
13. Ответственному за организацию обработки персональных данных в ИСПДн министерства здравоохранения Рязанской области, консультанту отдела анализа, разработки и реализации целевых программ Котову Г.Н. провести инструктаж и ознакомить под роспись лиц, имеющих доступ к персональным данным и (или) обрабатывающих персональные данные в ИСПДн министерства здравоохранения Рязанской области, с политикой ИБ, Положением об обработке и защите ПДн, Положением о разграничении прав доступа, а также с действующей организационно-распорядительной документацией по защите персональных данных.
14. Признать утратившими силу:
а) приказ министерства здравоохранения Рязанской области от 15.06.2010 N 530 "О проведении работ по защите персональных данных в министерстве здравоохранения Рязанской области";
б) приказ министерства здравоохранения Рязанской области от 15.06.2010 N 532 "О подразделении по защите персональных данных в информационных системах персональных данных";
в) приказ министерства здравоохранения Рязанской области от 15.06.2010 N 533 "О проведении внутренней проверки информационных систем персональных данных";
г) приказ министерства здравоохранения Рязанской области от 15.06.2011 N 616 "Об определении границ контролируемой зоны министерства здравоохранения Рязанской области";
д) приказ министерства здравоохранения Рязанской области от 15.06.2011 N 617 "О проведении работ с использованием средств криптографической защиты информации";
е) приказ министерства здравоохранения Рязанской области от 15.06.2011 N 618 "О защищенных хранилищах";
ж) приказ министерства здравоохранения Рязанской области от 15.06.2011 N 619 "Перечень лиц, допущенных к обработке персональных данных в информационных системах персональных данных министерства здравоохранения Рязанской области".
15. Контроль за исполнением приказа возложить на первого заместителя министра здравоохранения Рязанской области В.И.Грачева.

Министр Л.Н.ТЮРИНА

Приложение N 1 к приказу министерства здравоохранения Рязанской области от 17 сентября 2014 г. N 1467

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИСПДН МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ

Категория информации
Информация конфиденциального характера
Основание хранения
Срок хранения
1
2
3
4
Персональные данные
- Фамилия, имя, отчество;
- Место, год и дата рождения;
- Регистрация по месту жительства;
- Паспортные данные (серия, номер паспорта, кем и когда выдан);
- Информация о трудовой деятельности до приема на работу;
- Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
- Адрес проживания (реальный);
- Водительское удостоверение;
- Телефонный номер (домашний, рабочий, мобильный);
- Данные о трудовом договоре (N трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, дополнительные социальные льготы и гарантии, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
- Сведения имущественного характера (начисления по окладу, прочие (начисления, сведения об удержании по исполнительным листам,сведения о выплатах по больничным листам, сведения о предоставленных льготах по вычетам по НДФЛ);
- ИНН;
- Номер страхового пенсионного свидетельства;
- Данные о юридическом лице;
- Виды лицензий;
- Вид деятельности;
- Фамилия, имя, отчество обратившегося гражданина РФ за медицинской помощью;
- Код заболевания по МКБ-10;
- Информация по назначенным и полученным лекарственным средствам;
- Медицинская организация;
- Фамилия, имя, отчество лечащего врача
Согласие субъекта ПДн об обработке его ПДн
До отзыва
субъекта
ПДн
согласия на обработку его ПДн

Приложение N 2 к приказу министерства здравоохранения Рязанской области от 17 сентября 2014 г. N 1467

ПЕРЕЧЕНЬ ЛИЦ, ИМЕЮЩИХ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ, ОБРАБАТЫВАЕМЫМ В ИСПД МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ

NN пп
Ф.И.О.
Должность
Номер помещения, доступ в которое разрешен
Включен в перечень на основании
Исключен из перечня на основании
Примечание
1
2
3
4
5
6
7
1
Аверина Людмила Вениаминовна
ведущий специалист
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 14
Приказ


2
Ананьева Алла Васильевна
главный специалист
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 14
Приказ


3
Бесова Надежда Георгиевна
начальник отдела
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 3
Приказ


4
Бирева Ольга Викторовна
главный специалист
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 14
Приказ


5
Бражник Ирина Юрьевна
консультант
г. Рязань, ул. Свободы, д. 32, каб. 2
Приказ


6
Волкова Ольга Дмитриевна
главный специалист
г. Рязань, ул. Свободы, д. 32, каб. 8
Приказ


7
Гаврикова Елена Юрьевна
эксперт
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 11
Приказ


8
Герасева Наталья Викторовна
главный специалист
г. Рязань, ул. Свободы, д. 32, каб. 20
Приказ


9
Голикова Зоя Сергеевна
эксперт
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 2
Приказ


10
Гончаренко Наталья Юрьевна
начальник отдела
г. Рязань, ул. Свободы, д. 32, каб. 20
Приказ


11
Еремина Светлана Сергеевна
ведущий эксперт
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 7
Приказ


12
Есенина Татьяна Ивановна
начальник отдела
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 9
Приказ


13
Ефимов Андрей Валентинович
консультант
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 8
Приказ


14
Иванова Елена Николаевна
главный специалист
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 11
Приказ


15
Кирякина Елена Сергеевна
зам. начальника отдела
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 7
Приказ


16
Киселева Ольга Николаевна
консультант
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 6
Приказ


17
Коклюкова Ольга Викторовна
зам. начальника отдела
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 8
Приказ


18
Королева Галина Васильевна
консультант
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 7
Приказ


19
Котов Геннадий Николаевич
консультант
г. Рязань, ул. Свободы, д. 30, каб. 6
Приказ


20
Красова Ирина Александровна
консультант
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 5
Приказ


21
Кузнецова Татьяна Александровна
консультант
Рязань, ул. Свободы, д. 32, каб. 8
Приказ


22
Кукушкина Ирина о Петровна
начальник отдела
Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 7
Приказ


23
Лозина Наталья Викторовна с
главный специалист
г. Рязань, ул. Свободы, д. 32, каб. 20
Приказ


24
Спивак Сергей Борисович
начальник отдела
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 6
Приказ


25
Суханова Татьяна Васильевна
ведущий специалист
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 5
Приказ


26
Тихонова Ольга Владимировна
ведущий специалист
г. Рязань, ул. Свободы, д. 32, каб. 12
Приказ


27
Уварова Светлана Вячеславовна
эксперт
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 2
Приказ


28
Федорова Галина Васильевна
главный специалист
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 1
Приказ


29
Фомина Надежда Ивановна
зам. начальника отдела
г. Рязань, ул. Свободы, д. 32, каб. 20
Приказ


30
Шульгина Елена Витальевна
главный специалист
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 6
Приказ


31
Ясевич Юлиана Александровна
ведущий эксперт
г. Рязань, ул. Первомайский проспект, д. 62, к. 2, каб. 6
Приказ



Приложение N 3 к приказу министерства здравоохранения Рязанской области от 17 сентября 2014 г. N 1467

ИНСТРУКЦИЯ ПО УПРАВЛЕНИЮ ДОСТУПОМ В ПОМЕЩЕНИЯ КОНТРОЛИРУЕМОЙ ЗОНЫ ИСПДН МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ


1. Перечень работников, имеющих право самостоятельного доступа в помещения ИСПДн министерства здравоохранения Рязанской области, определен Перечнем лиц, имеющих доступ к персональным данным.
2. Все остальные работники министерства здравоохранения Рязанской области, обслуживающий персонал и посетители могут находиться в рассматриваемых помещениях только в присутствии лиц, имеющих доступ в эти помещения.
3. В нерабочее время двери помещений ИСПДн министерства здравоохранения Рязанской области должны быть закрыты на ключ.
4. Работники министерства здравоохранения Рязанской области несут полную ответственность за сохранность ключей от помещений.
5. Контроль за выполнением требований по обеспечению допуска в помещения ИСПДн министерства здравоохранения Рязанской области осуществляют лица, ответственные за помещения, и ответственный за обработку персональных данных в ИСПДн министерства здравоохранения Рязанской области.

Приложение N 4 к приказу министерства здравоохранения Рязанской области от 17 сентября 2014 г. N 1467

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИСПДН МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ

Определения

Аутентификация отправителя данных - подтверждение того, что отправитель полученных данных соответствует заявленному.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информативный сигнал - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные), обрабатываемая в информационной системе персональных данных.
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Источник угрозы безопасности информации - субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Межсетевой экран - локальное (однокомпонентное) или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор (персональных данных) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Программная закладка - код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.
Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Целостность информации - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Обозначения и сокращения

ВП - вредоносная программа
ЗИР - защищаемый информационный ресурс
ИС - информационная система
ИСПДн - информационная система персональных данных
МЭ - межсетевой экран
НСД - несанкционированный доступ
ОС - операционная система
ПДн персональные данные
ПМВ - программно-математические воздействия
ПО - программное обеспечение
СЗИ - средство защиты информации
СЗПДн - система защиты персональных данных
СКЗИ - средство криптографической защиты информации
БД - база данных
ТКУИ - технические каналы утечки информации
ТС - технические средства
УБПДн - угрозы безопасности персональных данных
ЭВМ - электронно-вычислительная машина

Введение

Настоящая Политика информационной безопасности (далее - Политика ИБ) разработана министерством здравоохранения Рязанской области и определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных (СЗПДн) министерства здравоохранения Рязанской области. Политика определяет основные требования и базовые подходы к их реализации для достижения требуемого уровня безопасности информации.
Политика разработана в соответствии с системным подходом к обеспечению информационной безопасности, который предполагает проведение комплекса мероприятий, включающих исследование угроз информационной безопасности и разработку системы защиты ПДн, с позиции комплексного применения технических и организационных мер и средств защиты.
Под информационной безопасностью ПДн понимается защищенность персональных данных в обрабатывающей их инфраструктуре от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам (субъектам ПДн) или инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба от возможной реализации угроз безопасности ПДн, а также к прогнозированию и предотвращению таких воздействий.
Политика служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности министерства здравоохранения Рязанской области, а также нормативных и методических документов, обеспечивающих ее реализацию, и не предполагает подмены функций государственных органов власти Российской Федерации, отвечающих за обеспечение безопасности информационных технологий и защиту информации. Политика является методологической основой для:
- принятия управленческих решений и разработки практических мер по воплощению политики безопасности ПДн и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз ПДн;
- координации деятельности отделов министерства здравоохранения Рязанской области при проведении работ по развитию и эксплуатации информационных систем персональных данных с соблюдением требований обеспечения безопасности ПДн;
- разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ПДн министерства здравоохранения Рязанской области.
Политика разработана на основании:
- Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
- Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных руководством 8 Центра ФСБ России 21.02.2008 N 149/6/6-662.
В Политике определены требования к персоналу, работающему в информационных системах персональных данных министерства здравоохранения Рязанской области степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности работников, ответственных за обеспечение безопасности персональных данных в ИСПДн.

1. Общие положения

1.1. Целью настоящей Политики являются обеспечение безопасности персональных данных министерства здравоохранения Рязанской области от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн).
1.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
1.3. Персональные данные (ПДн) и связанные с ними ресурсы должны быть доступны для авторизованных пользователей. Должны осуществляться своевременное обнаружение и реагирование на угрозы безопасности персональных данных (далее - УБПДн).

2. Область действия

2.1. Требования настоящей Политики распространяются на всех работников министерства здравоохранения Рязанской области (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).

3. Система защиты персональных данных

3.1. Система защиты персональных данных (СЗПДн) строится на основании:
- Отчета по результатам обследования системы защиты персональных данных министерства здравоохранения Рязанской области (далее - Отчет по результатам обследования);
- Перечня персональных данных, подлежащих защите;
- Акта определения уровня защищенности персональных данных, обрабатываемых в ИСПДн министерства здравоохранения Рязанской области;
- Модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства здравоохранения Рязанской области (далее - Модель угроз);
- Частного технического задания на разработку системы защиты персональных данных министерства здравоохранения Рязанской области;
- Проекта системы защиты персональных данных информационных систем персональных данных министерства здравоохранения Рязанской области;
- руководящих документов ФСТЭК и ФСБ России.
3.2. На основании этих документов определяется необходимый уровень защищенности ПДн ИСПДн министерства здравоохранения Рязанской области. На основании анализа актуальных угроз безопасности ПДн, описанного в Отчете по результатам обследования и Модели угроз, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн.
3.3. В зависимости от уровня защищенности ИСПДн и актуальных угроз СЗПДн может включать следующие технические средства:
а) СЗИ от НСД:
- средства управления логическим доступом;
- средства регистрации и учета (самостоятельные или встроенные в другие СЗИ, обеспечивающие фиксацию важных с точки зрения обеспечения безопасности информации событий, происходящих в ИС);
- средства обеспечения целостности (самостоятельные или встроенные в другие СЗИ, обеспечивающие контроль целостности информационных ресурсов и программного обеспечения (далее - ПО);
- средства межсетевого взаимодействия;
- средства защиты от программно-математических воздействий (средства защиты от вредоносного ПО);
- средства защиты каналов связи;
- средства криптографической защиты информации (СКЗИ);
- средства инструментального анализа защищенности;
- средства обнаружения вторжений;
б) средства защиты от утечки конфиденциальной информации по техническим каналам:
- средства защиты от утечки видовой информации.
3.4. В список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн, операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты.

4. Основные принципы построения системы комплексной защиты информации

4.1. Построение системы обеспечения безопасности ПДн ИСПДн министерства здравоохранения Рязанской области и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
- законность;
- системность;
- комплексность;
- непрерывность;
- своевременность;
- преемственность и непрерывность совершенствования;
- персональная ответственность;
- минимизация полномочий;
- взаимодействие и сотрудничество;
- гибкость системы защиты;
- простота применения средств защиты;
- научная обоснованность и техническая реализуемость;
- специализация и профессионализм;
- обязательность контроля.
4.1.1. Законность.
4.1.1.1. Данный принцип предполагает осуществление защитных мероприятий и разработку СЗПДн министерства здравоохранения Рязанской области в соответствии с действующим законодательством в области защиты ПДн и другими нормативными актами по безопасности информации, утвержденными органами государственной власти и управления в пределах их компетенции. Работники и обслуживающий персонал ПДн ИСПДн министерства здравоохранения Рязанской области должны быть осведомлены о порядке работы с защищаемой информацией и об ответственности за защиту ПДн.
4.1.2. Системность.
4.1.2.1. Системный подход к построению СЗПДн министерства здравоохранения Рязанской области предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности ПДн ИСПДн министерства здравоохранения Рязанской области. При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки ПДн, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
4.1.3. Комплексность.
4.1.3.1. Комплексное использование методов и средств защиты предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобы для их преодоления потенциальному злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях.
4.1.4. Непрерывность защиты ПДн.
4.1.4.1. Защита ПДн - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИСПДн. ИСПДн должны находиться в защищенном состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом должны приниматься меры по недопущению перехода ИСПДн в незащищенное состояние. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная техническая и организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.
4.1.5. Своевременность.
4.1.5.1. Данный принцип предполагает упреждающий характер мер обеспечения безопасности ПДн, то есть постановку задач по комплексной защите ИСПДн и реализацию мер обеспечения безопасности ПДн на ранних стадиях разработки ИСПДн в целом и ее системы защиты информации в частности. Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.
4.1.6. Преемственность и совершенствование.
4.1.6.1. Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования ИСПДн и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
4.1.7. Персональная ответственность.
4.1.7.1. Предполагает возложение ответственности за обеспечение безопасности ПДн и системы их обработки на каждого работника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей работников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
4.1.8. Принцип минимизации полномочий.
4.1.8.1. Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью, на основе принципа "все, что не разрешено, запрещено". Доступ к ПДн должен предоставляться только в том случае и объеме, если это необходимо работнику для выполнения его должностных обязанностей.
4.1.9. Взаимодействие и сотрудничество.
4.1.9.1. Предполагает создание благоприятной атмосферы в коллективах подразделений, обеспечивающих деятельность ИСПДн министерства здравоохранения Рязанской области, для снижения вероятности возникновения негативных действий, связанных с человеческим фактором. В такой обстановке работники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности ответственного за организацию обработки персональных данных и Администратора ИСПДн.
4.1.10. Гибкость системы защиты ПДн.
4.1.10.1. Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования.
4.1.11. Простота применения средств защиты.
4.1.11.1. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных, малопонятных ему операций (ввод нескольких паролей и имен и т.д.). Должна достигаться автоматизация максимального числа действий пользователей и администраторов ИСПДн.
4.1.12. Научная обоснованность и техническая реализуемость.
4.1.12.1. Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности ПДн. СЗПДн должна быть ориентирована на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку.
4.1.13. Специализация и профессионализм.
4.1.13.1. Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности ПДн, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должны осуществляться профессионально подготовленными специалистами министерства здравоохранения Рязанской области.
4.1.14. Обязательность контроля.
4.1.14.1. Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности ПДн на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
4.2. Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

5. Требования к подсистемам СЗПДн

5.1. СЗПДн включает в себя следующие подсистемы:
управления доступом;
регистрации и учета;
обеспечения целостности;
защиты от программно-математических воздействий;
защиты каналов связи;
межсетевого экранирования;
обнаружения вторжений;
криптографической защиты;
инструментального анализа защищенности.
5.2. СЗПДн имеют различные функционалы в зависимости от уровня защищенности ПДн, обрабатываемых в ИСПДн министерства здравоохранения Рязанской области.
5.2.1. Подсистема управления доступом.
5.2.1.1. Подсистема управления доступом предназначена для реализации следующих функций:
- идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно постоянного действия длинной не менее шести буквенно-цифровых символов.
5.2.1.2. Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Также может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.
5.2.2. Подсистема регистрации и учета.
5.2.2.1. Подсистема регистрации и учета предназначена для реализации следующих функций:
- регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются дата и время входа (выхода) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа, код или пароль, предъявленный при неуспешной попытке.
- учет всех защищаемых носителей информации с помощью их маркировки и занесением учетных данных в Журнал учета с отметкой об их выдаче (приеме).
5.2.3. Подсистема обеспечения целостности.
5.2.3.1. Подсистема целостности предназначена для реализации следующих функций:
- обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность системы защиты персональных данных проверяется при загрузке системы по контрольным суммам компонентов системы защиты, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения персональных данных.
- физическая охрана технических средств информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации.
- периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа.
- наличие средств восстановления системы защиты персональных данных, предусматривающее ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.
5.2.4. Подсистема защиты от программно-математических воздействий.
5.2.4.1. Подсистема защиты от программно-математических воздействий (подсистема антивирусной защиты) предназначена для реализации следующих функций:
- автоматическая проверка на наличие вредоносных программ (далее - ВП) или последствий программно-математических воздействий (далее - ПМВ) при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать ВП, по их типовым шаблонам и с помощью эвристического анализа;
- реализация механизмов автоматического блокирования обнаруженных ВП путем их удаления из программных модулей или уничтожения;
- проверка на предмет наличия ВП в средствах защиты от ПМВ (при первом запуске средства защиты от ПМВ и с устанавливаемой периодичностью);
- факт выявления ПМВ должен инициировать автоматическую проверку на предмет наличия ВП;
- реализация механизма отката для устанавливаемого числа операций удаления ВП из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих ВП;
- на всех технических средствах ИСПДн должен проводиться непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена в ИСПДн с целью выявления проявлений ПМВ;
- проверка целостности модулей средства защиты от ПМВ, необходимых для его корректного функционирования, при его загрузке с использованием контрольных сумм;
- реализация механизмов проверки целостности пакетов обновлений средства защиты от ПМВ с использованием контрольных сумм;
- восстановление средств защиты от ПМВ, предусматривающее ведение двух копий программных средств защиты, его периодическое обновление и контроль работоспособности.
5.2.5. Подсистема защиты каналов связи.
5.2.5.1. Подсистема защиты каналов связи предназначена для реализации следующих функций:
- обмен персональными данными при их обработке в информационной системе по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств;
- выделение канала связи, обеспечивающего защиту передаваемой информации;
- аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
- предотвращение возможности отрицания пользователем факта отправки персональных данных другому пользователю;
- предотвращение возможности отрицания пользователем факта получения персональных данных от другого пользователя.
5.2.6. Подсистема межсетевого экранирования.
5.2.6.1. Подсистема межсетевого экранирования предназначена для реализации следующих функций:
- фильтрация на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
- фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
- идентификация и аутентификация администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно - постоянного действия;
- регистрация входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация входа из системы не проводится в моменты аппаратурного отключения межсетевого экрана);
- контроль целостности своей программной и информационной части;
- восстановление свойств межсетевого экрана после сбоев и отказов оборудования;
- регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной частей, процедуры восстановления.
5.2.6.2. Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе ЛСВ, классом не ниже 4.
5.2.7. Подсистема обнаружения вторжений.
5.2.7.1. Подсистема обнаружения вторжений предназначена для реализации следующих функций:
- обнаружение вторжений должно обеспечиваться путем использования в составе ИСПДн программных или программно-аппаратных средств (систем) обнаружения вторжений, использующие сигнатурные методы анализа, а также методы выявления аномалий;
- подсистема обнаружения вторжений проводится для информационной системы, подключенной к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) обнаружения вторжений.
5.2.8. Подсистема инструментального анализа защищенности.
5.2.8.1. Подсистема инструментального анализа защищенности предназначена для реализации следующих функций:
- анализ защищенности проводится путем использования в составе ИСПДн программных или программно-аппаратных средств анализа защищенности.
- для ИСПДн средствами анализа защищенности должна быть обеспечена возможность выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.
5.2.9. Подсистема криптографической защиты.
5.2.9.1. Подсистема криптографической защиты предназначена для реализации следующих функций:
- приняты меры по исключению несанкционированного доступа в помещения, в которых размещены технические средства с установленным СКЗИ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в этих помещениях. В случае необходимости присутствия посторонних лиц в указанных помещениях обеспечен контроль за их действиями и обеспечена невозможность негативных действий с их стороны на СКЗИ, технические средства, на которых эксплуатируется СКЗИ, и защищаемую информацию;
- обеспечена невозможность доступа к ключевым носителям лиц, не назначенных для работы с конкретным ключевым носителем;
- ключи на ключевых носителях, срок действия которых истек, уничтожаются путем переформатирования ключевых носителей средствами ПО СКЗИ, после чего ключевые носители могут использоваться для записи на них новой ключевой информации. Об уничтожении ключей делается соответствующая запись в Журнале.

6. Пользователи ИСПДн

6.1. В ИСПДн министерства здравоохранения Рязанской области можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:
администратора ИСПДн;
ответственного за организацию обработки ПДн;
операторов (пользователей) обработки ИСПДн.
6.1.1. Администратор ИСПДн.
6.1.1.1. Администратор ИСПДн, работник министерства здравоохранения Рязанской области, ответственный за настройку, внедрение и сопровождение ИСПДн, обеспечивает функционирование ИСПДн и СЗПДн, включая обслуживание и настройку административного, серверного и клиентского компонентов, уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора АРМ) к элементам хранящим персональные данные.
6.1.1.2. Администратор ИСПДн обладает следующим уровнем доступа и знаний:
- обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
- обладает полной информацией о технических средствах и конфигурации ИСПДн;
- имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
- обладает правами конфигурирования и административной настройки технических средств ИСПДн;
- обладает полной информацией об ИСПДн;
- имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
- не имеет прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных);
- уполномочен реализовывать политику безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (оператор АРМ) получает возможность работать с элементами ИСПДн;
- уполномочен осуществлять аудит средств защиты;
- уполномочен устанавливать доверительные отношения своей защищенной сети с сетями других Учреждений.
6.1.2. Операторы (пользователи) обработки ИСПДн.
6.1.2.1. Оператор обработки ИСПДн - работник министерства здравоохранения Рязанской области, осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн.
6.1.2.2. Оператор ИСПДн обладает следующим уровнем доступа и знаний:
- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
- располагает конфиденциальными данными, к которым имеет доступ.

7. Требования к персоналу по обеспечению защиты ПДн

7.1. Все работники министерства здравоохранения Рязанской области, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к персональным данным и соблюдению режима безопасности ПДн.
7.2. При вступлении в должность нового работника ответственный за организацию обработки ПДн обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
7.3. Работник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.
7.4. Работники министерства здравоохранения Рязанской области, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать несанкционированного к ним, а также возможности их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
7.5. Работники министерства здравоохранения Рязанской области должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).
7.6. Работники министерства здравоохранения Рязанской области должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
7.7. Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию.
7.8. Работникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационной системой министерства здравоохранения Рязанской области, третьим лицам.
7.9. При работе с ПДн в ИСПДн работники министерства здравоохранения Рязанской области обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.
7.10. При завершении работы с ИСПДн работники обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
7.11. Работники министерства здравоохранения Рязанской области должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на работников, которые нарушили принятые политику и процедуры безопасности ПДн.
7.12. Работники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

8. Должностные обязанности пользователей ИСПДн

8.1 Должностные обязанности пользователей ИСПДн описаны в следующих документах:
Инструкция администратора ИСПДн;
Инструкция пользователя ИСПДн.

9. Ответственность пользователей ИСПДн

9.1. В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
9.2. Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).
9.3. Администратор ИСПДн несет ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
9.4. При нарушениях работниками министерства здравоохранения Рязанской области - пользователями ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.

Приложение N 5 к приказу министерства здравоохранения Рязанской области от 17 сентября 2014 г. N 1467

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ


1. Общие положения

1.1 Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок получения, хранения, комбинирования, передачи и любого другого использования персональных данных, обрабатываемых в информационных системах персональных данных министерства здравоохранения Рязанской области в соответствии с законодательством Российской Федерации.
1.2. Настоящее Положение разработано в соответствии с:
Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
Приказом Федеральной службы по техническому и экспортному контролю N 21 от 18 февраля 2013 года "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
1.3. В настоящем Положении используются следующие термины и определения:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Использование персональных данных - действия с персональными данными, совершаемые работниками министерства здравоохранения Рязанской области в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
- Защита персональных данных - деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном субъекте персональных данных.

2 Сбор, обработка и защита персональных данных

2.1. Персональные данные относятся к конфиденциальной информации, порядок работы с ними регламентирован Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и осуществляется с соблюдением строго определенных правил и условий.
2.2. В целях обеспечения прав и свобод человека и гражданина министерство здравоохранения Рязанской области при обработке персональных данных обязано соблюдать следующие требования:
2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
2.2.2. При определении объема и содержания обрабатываемых персональных данных министерство здравоохранения Рязанской области должно руководствоваться Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и иными федеральными законами.
2.2.3. Все персональные данные следует получать лично у субъекта ПДн. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (приложение N 1 к Положению), министерство здравоохранения Рязанской области должно сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение.
2.2.4. министерство здравоохранения Рязанской области не имеет права получать и обрабатывать персональные данные субъекта ПДн о его политических, религиозных и иных убеждениях и частной жизни.
2.2.5. министерство здравоохранения Рязанской области не имеет права получать и обрабатывать персональные данные субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
2.2.6. При принятии решений, затрагивающих интересы субъекта ПДн. министерство здравоохранения Рязанской области не имеет права основываться на персональных данных субъекта ПДн, полученных исключительно в результате их автоматизированной обработки или электронно.
2.2.7. Запрещается требовать от лица, предоставляющего персональные данные, документы помимо предусмотренных федеральными законами Российской Федерации, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
2.2.8. Лица, получающие персональные данные субъекта ПДн, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами Российской Федерации.
2.3. Защита персональных данных субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена министерством здравоохранения Рязанской области за счет его средств в порядке, установленном федеральными законами Российской Федерации.
2.4. Субъекты ПДн не должны отказываться от прав на сохранение и защиту своих персональных данных.
2.5. Министерство здравоохранения Рязанской области, субъекты ПДн и их представители должны совместно вырабатывать меры защиты персональных данных субъектов ПДн.

3. Хранение персональных данных

3.1. Сведения о субъектах ПД в Министерстве здравоохранения Рязанской области на бумажных носителях хранятся в специально оборудованных шкафах и сейфах, которые запираются и опечатываются. Ключи от шкафов и сейфов, в которых хранятся сведения о субъектах ПД, находятся у ответственных лиц.
3.2. Конкретные обязанности по хранению сведений о субъектах ПДн, заполнению, хранению и выдаче документов, отражающих персональные данные, возлагаются на работников министерства здравоохранения Рязанской области и закрепляются в должностных инструкциях.
3.3. Информация, содержащая персональные данные субъекта ПДн, может также обрабатываться с использованием автоматизированных систем обработки данных. В этом случае должны выполняться требования и рекомендации нормативно-методических документов уполномоченных регулирующих органов Российской Федерации по обеспечению защиты персональных данных в информационной системе персональных данных, обрабатываемых с использованием средств автоматизации. Съемные электронные носители, на которых хранятся персональные данные субъектов ПДн, должны быть промаркированы и учтены в соответствующем журнале.
3.4. министерство здравоохранения Рязанской области обеспечивает ограничение доступа к персональным данным субъектов ПДн лиц, не уполномоченных законодательством Российской Федерации для получения соответствующих сведений.
3.5. Доступ к персональным данным субъектов ПДн без специального разрешения имеют работники, указанные в Перечне лиц, имеющих доступ к персональным данным, обрабатываемым в ИСПД министерства здравоохранения Рязанской области.
3.6. При получении сведений, составляющих персональные данные субъекта ПДн, указанные лица имеют право получать только те персональные данные субъекта ПДн, которые необходимы для выполнения конкретных функций, заданий.

4. Передача персональных данных

4.1. При передаче персональных данных субъекта ПДн министерство здравоохранения Рязанской области должно соблюдать следующие требования:
4.1.1. Не сообщать персональные данные субъекта ПДн третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, предусмотренных федеральными законами Российской Федерации.
4.1.2. Не сообщать персональные данные субъекта ПДн в коммерческих целях без его письменного согласия.
4.1.3. Предупреждать лиц, получающих персональные данные субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
4.1.4. Осуществлять передачу данных субъекта ПДн в пределах министерства здравоохранения Рязанской области в соответствии с настоящим Положением.
4.1.5. Разрешать доступ к персональным данным субъекта ПДн только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта ПДн, которые необходимы для выполнения конкретных функций.
4.1.6. Передавать персональные данные субъекта ПДн представителю субъекта ПДн в порядке, установленном федеральными законами Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

5. Обязанности субъекта ПДн и министерства здравоохранения Рязанской области

5.1. В целях обеспечения достоверности персональных данных субъект ПДн обязан:
5.1.1. Предоставлять Министерству здравоохранения Рязанской области полные и достоверные данные о себе.
5.1.2. В случае изменения сведений, составляющих персональные данные субъекта ПДн, незамедлительно предоставить данную информацию министерству здравоохранения Рязанской области.
5.1.3. Подписать обязательство о неразглашении ПДн, полученных в ходе выполнения должностных обязанностей (приложение N 2 к Положению).
5.2. министерство здравоохранения Рязанской области обязано:
5.2.1. Осуществлять защиту персональных данных субъекта ПДн.
5.2.2. Обеспечивать хранение документации, содержащей персональные данные субъектов ПДн. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.

6. Права субъекта ПДн в целях защиты персональных данных

6.1. В целях обеспечения защиты персональных данных, обрабатываемых министерством здравоохранения Рязанской области, субъекты ПДн имеют право на:
6.1.1. Полную информацию об их персональных данных и методах их обработки, в частности, субъект ПДн имеет право знать перечень обрабатываемых персональных данных, кто и в каких целях использует или использовал его персональные данные.
6.1.2. Свободный запрос и бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта ПДн, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
6.1.3. Определение представителей для защиты своих персональных данных.
6.1.4. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
6.1.5. Требование об извещении министерством здравоохранения Рязанской области всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
6.1.6. Обжалование в судебном порядке любых неправомерных действий или бездействия министерства здравоохранения Рязанской области при обработке и защите его персональных данных.

7. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн

7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном федеральными законами Российской Федерации, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
7.2. Неправомерный отказ министерства здравоохранения Рязанской области исключить или исправить персональные данные субъекта ПДн, а также любое иное нарушение прав субъекта ПДн на защиту персональных данных влечет возникновение у субъекта ПДн права требовать устранения нарушения его прав и компенсации причиненного таким нарушением морального вреда.

Приложение N 1 к Положению об обработке и защите ПДн в ИСПДн министерства здравоохранения Рязанской области

                              ФОРМА СОГЛАСИЯ
                     на обработку персональных данных
    Я, ____________________________________________________________________
                             (Ф.И.О. полностью)
проживающий по адресу (регистрация) _______________________________________
паспорт __________ N _______, выдан _______________________________________
___________________________________________________________________________
                 (дата выдачи, название выдавшего органа)

в соответствии с требованиями статьи 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" подтверждаю свое согласие на обработку министерством здравоохранения Рязанской области (далее - Оператор) по адресу:
____________________________________________________________
моих персональных данных, включающих:
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, передавать в необходимом объеме в:
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.
Я ознакомлен с юридическими последствиями моего отказа о предоставлении Оператору моих персональных данных, необходимых для исполнения обязательств Оператора.
В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва.

"__"__________ 20 __ г.                             _______________________
                                                           (Подпись)

Приложение N 2 к Положению об обработке и защите ПДн в ИСПДн министерства здравоохранения Рязанской области

                            ФОРМА ОБЯЗАТЕЛЬСТВА
                    о неразглашении персональных данных
    Я, ____________________________________________________________________
                         (фамилия, имя, отчество)
работник  министерства здравоохранения  Рязанской области, предупрежден(а),
что   на  период  исполнения  должностных  обязанностей  в  соответствии  с
должностной  инструкцией  (должностным  регламентом) мне будет предоставлен
допуск  к  персональным  данным.  Настоящим  добровольно  принимаю  на себя
обязательства:

1. Не распространять третьим лицам персональные данные, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня персональные данные сообщать непосредственному руководителю, а также лицу, ответственному за организацию обработки персональных данных в информационных системах персональных данных министерства здравоохранения Рязанской области.
3. Выполнять относящиеся ко мне требования приказов, инструкций и положений в области обработки и защиты персональных данных, с которыми я ознакомлен(а).
4. Не использовать персональные данные с целью получения выгоды.
5. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
В случае увольнения с работы я обязуюсь неукоснительно соблюдать требования пунктов "1" и "2" настоящего обязательства.
Я предупрежден(а), что в случае нарушения данного обязательства буду привлечен(а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.

"__"__________ 20 __ г.                             _______________________
                                                           (подпись)

Приложение N 6 к приказу министерства здравоохранения Рязанской области от 17 сентября 2014 г. N 1467

ПОЛОЖЕНИЕ О РАЗГРАНИЧЕНИИ ПРАВ ДОСТУПА К ОБРАБАТЫВАЕМЫМ ПЕРСОНАЛЬНЫМ ДАННЫМ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ


1 Общие положения

1.1. Настоящее Положение определяет права доступа к обрабатываемым персональным данным в информационных системах персональных данных Министерства здравоохранения Рязанской области, а также уровень доступа к обрабатываемым персональным данным (далее - ПДн).
1.2. Разграничение прав осуществляется на основании Модели угроз безопасности персональных данных, обрабатываемой в ИСПДн Министерства здравоохранения Рязанской области, а также исходя из характера и режима обработки персональных данных в ИСПДн Министерства здравоохранения Рязанской области.
1.3. Работники Министерства здравоохранения Рязанской области, которые в рамках свои должностных обязанностей обрабатывают персональные данные субъектов ПДн, должны быть внесены в Перечень лиц, имеющих доступ к ПДн в ИСПДн Министерства здравоохранения Рязанской области.
1.4. Уровень прав доступа представлен в таблице.

Таблица

Перечень ответственных лиц, имеющих доступ к ПДн в ИСПДн

NN пп
Группа
Уровень доступа к ПДн, техническим средствам, прикладному ПО и СЗИ
Разрешенные действия
1
Администратор ИСПДн
Доступ на правах администратора к ПДн, техническим средствам и прикладному программному обеспечению
- Модернизация, настройка и мониторинг работоспособности комплекса технических средств (серверов, рабочих станций);
- установка, модернизация, настройка и мониторинг работоспособности системного и базового программного обеспечения;
- установка, настройка и мониторинг прикладного программного обеспечения;
- соблюдение правил, оговоренных в инструкции Администратора ИСПДн
2
Ответственный за организацию обработки ПДн Администратор ИСПДн
Доступ на правах администратора к ПДн и средствам защиты информации
- Разработка, управление и реализация эффективной политики информационной безопасности ИСПДн;
- управление правами доступа пользователей к функциям системы;
- проверка состояния используемых средств защиты информации от несанкционированного доступа, проверка правильности их настройки;
- обеспечение функционирования и поддержание работоспособности средств защиты информации;
- проведение инструктажа эксплуатационного персонала и пользователей средств вычислительной техники по правилам работы с используемыми средствами защиты информации;
- осуществление мониторинга информационной безопасности;
- контроль и предотвращение несанкционированного изменения целостности ресурсов;
- контроль аппаратной конфигурации защищаемых компьютеров и предотвращение попытки ее несанкционированного изменения
3
Администратор ИСПДн
Доступ на правах администратора к ПДн, техническим средствам и прикладному программному обеспечению
- Изготовление резервных копий информации;
- анализ объемов данных резервного копирования;
- замена неработоспособных или выработавших свой ресурс носителей резервной информации;
- восстановление программ и данных из резервных копий в случае порчи или утери данных;
- хранение и учет резервных копий в защищаемых хранилищах;
- оповещение ответственного за организацию обработки ПДн в случае возникновения ошибок или нештатных ситуаций в процессе резервного копирования
4
Ответственный за организацию обработки ПДн Администратор ИСПДн
Доступ на правах администратора к сертифицированным средствам криптографической защиты информации
- Осуществлять поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним;
- осуществлять контроль за соблюдением условий использования криптосредств, установленных эксплуатационной и технической документацией на средства криптографической защиты информации;
- осуществлять учет и контроль пользователей криптосредств;
- надежно хранить эксплуатационную и техническую документацию к криптосредствам, ключевые документы, носители дистрибутивов криптосредств, бумажные и машинные носители ПДн;
- проводить расследования и составлять заключения по фактам нарушения условий использования средств криптографической защиты информации, которые могут привести к снижению требуемого уровня безопасности информации;
- осуществлять разработку и принимать меры по предотвращению возможных негативных последствий нарушений
5
Пользователь ИСПДн
Доступ на правах пользователя к ПДн, прикладному программному обеспечению и средствам защиты информации
- Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление записей, содержащих ПДн

Приложение N 7 к приказу министерства здравоохранения Рязанской области от 17 сентября 2014 г. N 1467

АКТ ОПРЕДЕЛЕНИЯ УРОВНЯ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ

1. Исходные данные об информационных системах персональных данных (далее - ИСПДн) "Бухгалтерия", ИСПДн "Кадры", расположенных по адресу: г. Рязань, ул. Свободы, д. 32:
1.1. Категория персональных данных:
- персональные данные только сотрудников.
1.2. Тип угроз безопасности персональных данных, актуальных для ИСПДн "Бухгалтерия" и ИСПДн "Кадры":
угрозы 3 типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
1.3. Объем обрабатываемых персональных данных: в ИСПДн "Бухгалтерия" и ИСПДн "Кадры" одновременно обрабатываются данные:
- персональные данные только сотрудников.
1.4. В соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" определен 4 уровень защищенности персональных данных при их обработке в информационных системах персональных данных "Бухгалтерия" и "Кадры".
2. Исходные данные об информационной системе персональных данных "Лицензирование", расположенной по адресу: г. Рязань, ул. Первомайский проспект, д. 62, к. 2:
2.1. Категория персональных данных:
- иные категории персональных данных, если в ней не обрабатываются персональные данные.
2.2. Тип угроз безопасности персональных данных, актуальных для ИСПДн "Лицензирование":
- угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
2.3. Объем обрабатываемых персональных данных: в ИСПДн "Лицензирование" одновременно обрабатываются данные:
- менее чем 100000 субъектов персональных данных.
2.4. В соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" определен 4 уровень защищенности персональных данных при их обработке в информационной системе персональных данных "Лицензирование".
3. Исходные данные об информационной системе персональных данных "ДЛО", расположенной по адресу: г. Рязань, ул. Свободы, д. 32:
3.1. Категория персональных данных:
- специальные персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
3.2. Тип угроз безопасности персональных данных, актуальных для ИСПДн "ДЛО":
- угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
3.3. Объем обрабатываемых персональных данных: в ИСПДн "ДЛО" одновременно обрабатываются данные:
более 100000 субъектов персональных данных.
3.4. В соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" определен 2 уровень защищенности персональных данных при их обработке в информационной системе персональных данных "ДЛО".
4. Исходные данные об информационной системе персональных данных "Здравоохранение", расположенной по адресу: г. Рязань, ул. Свободы, д. 32, и г. Рязань, ул. Первомайский проспект, д. 62, к. 2:
4.1. Категория персональных данных:
специальные персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
4.2. Тип угроз безопасности персональных данных, актуальных для ИСПДн "Здравоохранение":
- угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
4.3. Объем обрабатываемых персональных данных: в ИСПДн "Здравоохранение" одновременно обрабатываются данные:
менее чем 100000 субъектов персональных данных.
4.4. В соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" определен 3 уровень защищенности персональных данных при их обработке в информационной системе персональных данных "Здравоохранение".

Приложение N 8 к приказу министерства здравоохранения Рязанской области от 17 сентября 2014 г. N 1467

                               ЖУРНАЛ N ___
         учета обращений субъектов персональных данных по вопросам
           обработки их ПДн в ИСПДн министерства здравоохранения
                             Рязанской области
Начат "__"_________ 20__ г.         На ____ листах
Окончен "__"_______ 20__ Г.
_______________________________________________          __________________
(Ф.И.О. ответственного лица за ведение журнала)               подпись

NN пп
Дата обращения
Сведения о запрашивающем лице
Краткое содержание обращения
Отметка о предоставлении или отказе в предоставлении информации (предоставлено/отказано)
Дата передачи/отказа в предоставлении информации
Подпись запрашивающего лица
Подпись ответственного сотрудника
1
2
3
4
5
6
7
8

















































































Приложение N 9 к приказу министерства здравоохранения Рязанской области от 17 сентября 2014 г. N 1467

ПЛАН МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ

NN пп
Наименование мероприятия
Срок выполнения
Примечание
1
Выявление угроз безопасности и разработка моделей угроз и нарушителя информационной системы персональных данных (далее - ИСПДн)
При необходимости
Разрабатывается пакет проектной документации по защите персональных данных (далее - ПДн) министерства здравоохранения Рязанской области (далее - Оператор), включающий в себя Модель угроз безопасности персональных данных,
Частное техническое задание на разработку системы защиты персональных данных (далее - СЗПДн),
Модель нарушителя безопасности персональных данных и Проект системы защиты персональных данных
2
Определение уровня защищенности персональных данных, обрабатываемых в ИСПДн
При необходимости
Определение уровня защищенности проводится при создании ИСПДн, при выявлении новых обрабатываемых ПДн, при изменении состава, структуры самой ИСПДн или технических особенностей ее построения (изменились программное обеспечение, топология и прочее)
3
Документальное регламентирование работы с ПДн
При необходимости
Назначение приказами ответственных за обработку и защиту ПДн, разработка положения по обработке персональных данных, инструкций для ответственных лиц по обработке и защите ПДн либо внесение изменений в существующую организационно-распорядительную документацию
4
Получение Оператором письменного
согласия субъектов ПДн физических лиц) на обработку ПДн в случаях, когда этого требует законодательство
Постоянно
Письменное согласие получается при передаче персональных данных субъектами ПДн Оператору для обработки в ИСПДн. Форма согласия приведена в Положении об обработке ПДн
5
Ограничение доступа работников Оператора к ПДн
При необходимости
В случае изменения структуры ИСПДн необходимо разграничивать доступ сотрудников Оператора к персональным данным субъектов ПДн (сотрудники наделяются минимальными полномочиями доступа, необходимыми для выполнения ими своих обязанностей, например, могут иметь права только на просмотр ПДн)
6
Направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку ПДн с использованием средств автоматизации
При необходимости
Уведомление направляется при вводе в эксплуатацию новых ИСПДн Министерства здравоохранения Рязанской области либо при внесении изменений в существующие ИСПДн
7
Оформление правового основания обработки ПДн
При вводе ИСПДн в эксплуатацию
При создании ИСПДн оформляется приказ о вводе ее в эксплуатацию
8
Аттестация (сертификация) СЗПД или декларирование соответствия по требованиям безопасности ПДн
Не реже 1 раза в 3 года
Проводится совместно с лицензиатами ФСТЭК
9
Повышение квалификации сотрудников в области защиты персональных данных
Постоянно
Ответственный за организацию обработки ПДн должен повышать квалификацию не менее одного раза в два года, повышение осведомленности сотрудников - постоянно (данное обучение проводит ответственный за организацию обработки персональных данных)
10
Контроль безопасности ПДн при эксплуатации ИСПДн
Постоянно
Проводится с целью выявления и устранения неправомерных действий с ПДн
11
Инвентаризация информационных ресурсов
Раз в полгода
Проводится с целью контроля обработки ПДн в ИСПДн