Размер:
AAA
Цвет: CCC
Изображения Вкл.Выкл.
Обычная версия сайта
AAВерсия для слабовидящих
Запись на приём
Детская стоматология №2 в Ижевске

Бюджетное учреждение здравоохранения Удмуртской Республики

"Детская клиническая стоматологическая поликлиника министерства здравоохранения Удмуртской Республики"

Политика защиты персональных данных

Приложение 1
к приказу от 2017г. №

Утверждаю: Главный врач
БУЗ УР «ДКСП№2 МЗ УР»
_____________Н.Е.Пермякова
«01» января 2017г.

Политика БУЗ УР «ДКСП№2 МЗ УР» по обработке персональных данных.

Содержание.

1.      Термины и определения.

2.      Общие положения.

3.      Персональные данные подлежащие защите.

4.      Субъекты персональных данных.

5.      Порядок сбора, хранения и использования персональных данных

6.      Доступ к персональным данным.

7.      Требования по обеспечению защиты ПДн при обработке без использования средств автоматизации.

8.      Порядок определения класса и уровня защищённости ИСПДн, оценка угроз безопасности ПДн при их обработке в ИСПДн

9.      Требования по защите ПДн при их обработке в ИСПДн

9.1Общие требования к методам и средствам защиты информации

9.2Организационные меры по защите ПДн при их обработке в ИСПДн

9.2.1 Требования к оборудованию помещений и рабочих мест пользователей ИСПДн

9.2.2 Требования к процедуре получения доступа в ИСПДн

9.3Технические требования по защите ПДн при их обработке в ИСПДн

9.4 Требования к резервированию

9.5 Обеспечение безопасности ПДн при передаче

9.6 Обеспечение безопасности при хранении ПДн

10.контроль обеспечения безопасности ПДн

11.Ответственность

11.1 Ответственность за обеспечение безопасности ПДн

11.2 Ответственность за разглашение информации, содержащей ПДн

11.3 Ответственность за нарушение требований настоящего положения

                                           Термины и определения

  1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
  2. Безопасность персональных данных – состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
  3. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
  4. Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
  5. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
  6. Источник угрозы безопасности информации - субъект доступа, материальный объект или физическое явление, являющееся причиной возникновения угрозы безопасности информации.
  7. Контролируемая зона - это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств.
  8. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
  9. Межсетевой экран – локальное (однокомпонентное) или функционально-распределённое программное (программно-аппаратное) средство(комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и(или), выходящей из информационной системы.
  10. Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
  11. Несанкционированный доступ(несанкционированные действия)-доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.
  12. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
  13. Обработка персональных данных - любое действие(операция) или совокупность действий(операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение(обновление, изменение), извлечение, использование, пересдачу(распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  14. Оператор- государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия(операция), совершаемые с персональными данными.
  15. Персональные данные – любая информация, относящаяся к прямо косвенно определённому или определённому физическому лицу(субъекту персональных данных).
  16. Побочные электромагнитные излучения и наводки - электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных полях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цели питания.
  17. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
  18. Программное (программно-математическое) воздействие- несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
  19. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
  20. Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других информационного.
  21. Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информационного сигнала и средств, которыми добывается защищаемая информация.
  22. Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи и обработки данных(средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства(операционные системы, системы управления базами данных и т.п.), средства защиты информации.
  23. Трансграничная передача персональных данных- передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  24. Угрозы безопасности персональных данных- совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
  25. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержимое персональных данных в информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители персональных данных.

2. Общие положения.

Политика БУЗ УР «ДКСП№2 МЗ УР» по обработке персональных данных(далее Политика) разработано в соответствии с Конституцией РФ от 12.12.1993года, международными договорами РФ, Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных»,Трудовым кодексом РФ и иными нормативными правовыми актами РФ информативно- методическими документами, регламентирующими порядок обеспечения безопасности персональных данных(ПДн):

2.1 Нормативно правовые акты РФ:

-Постановление Правительства РФ от 01.11.2012г. №1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных;

-Постановление Правительства РФ от 15.09.2008г. №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

2.2 Нормативно- методические документы ФСТЭК России:

-РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» от 30.03.1992г.

- «методика определения виртуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК России от 14.02.2008г.

-«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена ФСТЭК России от 15.02.2008г.

2.3 Нормативно- методические документы ФСБ России:

-«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ ;России от 21.02.2008г.№149/54-144;

-«Типовые требования по организации и обеспечению функционирования шифровальных(криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» утверждены руководством 8 Центра ФСБ России от 21.02.2008г. №149/6/6-622

Целью данного Положения является определение порядка обработки персональных данных(ПДн) в БУЗ УР «ДКСП№2 МЗ УР», выполнение мероприятий по защите2 МЗ УР» ПДн, направленных на обеспечение защиты прав и свобод человека и гражданина(пациентов и сотрудников), при обработке его персональных данных, предотвращение возможностей утечки информации и (или) несанкционированного и непреднамеренного изменения или разрушения ПДн, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Защита ПДн физических и юридических лиц, сотрудников(субъектов) БУЗ УР «ДКСП№2 МЗ УР»(оператором) достигается выполнением комплекса организационных мероприятий, применением программного обеспечения и технических средств, с целью обеспечения конфиденциальности, целостности и доступности информации в процессе её обработки, передачи и хранения, а также работоспособности технических средств.

Объектами защиты в БУЗ УР «ДКСП№2 МЗ УР» являются персональные данные, средства и системы информатизации(средства вычислительной техники(СВТ), в том числе информационно-вычислительные комплексы, сети и системы, средства изготовления, тиражирования документов, аудио и видео- записывающие устройства и другие технические средства обработки информации, программные средства(операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки ПДн.

Настоящая политика вступает в силу с момента её утверждения и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным.

Все изменения в Политику вносятся приказом.

Все работники БУЗ УР «ДКСП№2 МЗ УР», обрабатывающие ПДн и обеспечивающие защиту ПДн, должны быть ознакомлены с настоящей Политикой под роспись.

Обрабатываемые персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных в отношении персональных данных субъектов БУЗ УР «ДКСП№2 МЗ УР», снимается в случаях утраты практического значения, обезличивания или по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии, если иное не определено законом.

3. Персональные данные, подлежащие защите

К персональным данным субъектов БУЗ УР«ДКСП№2 МЗ УР» относятся сведения утверждённые перечнем.

Обработка персональных данных осуществляется оператором с целью оказания медицинских услуг и осуществления трудовых отношений с работниками.

Оператор в своих полномочиях осуществляет обработку персональных данных, как с использованием средств автоматизации, так и без их использования.

Информационные ресурсы, содержащие ПДН, расположены в информационных системах персональных данных (ИСПДн) на средствах вычислительной техники (далее –СВТ), состоящих из автоматизированных рабочих мест(АРМ) пользователей на базе персональных электронно-вычислительных машин, серверов хранения данных и съёмных носителях информации(HDD,Flash-накопители).

В целях информационного обеспечения в БУЗ УР «ДКСП№2 МЗ УР» могут создаваться общедоступные источники персональных данных( в том числе справочники, телефонные книги, адресные книги, размещение на сайте информации о медицинском персонале, его квалификации, должности, режиме работы и т.д.).

Режим конфиденциальности персональных данных для общедоступных источников персональных данных не устанавливается.

Персональные данные, обработка которых осуществляется без использования средств автоматизации, обособляются от иной информации путём фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм(бланков).

При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

4. Субъекты персональных данных.

В соответствии с разделом 3 настоящей политики к субъектам персональных данных относятся следующие категории лиц:

-граждане, обращающиеся за услугами;

-сотрудники;

-кандидаты для приёма на работу.

Все персональные данные субъекта персональных данных оператору, следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлён об этом заранее и от него должно быть получено письменное согласие. Должностное лицо, БУЗ УР «ДКСП№2 МЗ УР» должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствия отказа дать письменное согласие на их получение.

БУЗ УР «ДКСП№2 МЗ УР» не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, частной жизни, за исключением случаев, предусмотренных ФЗ от 27.07.2006года №152-ФЗ « О персональных данных» и Трудовым кодексом РФ от 30.12.2001года №197-ФЗ.

Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе.

Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных ФЗ от 27.07.2006года №152 -ФЗ« О персональных данных»

и возможна только с согласия субъекта.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных по письменному запросу.

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъект персональных данных имеет право на получение следующей информации:

-подтверждения факта обработки персональных данных оператором;

-перечень обрабатываемых персональных данных и источник их получения;

-сроки обработки персональных данных, в том числе сроки их хранения;

-порядок осуществления субъектом персональных данных прав;

-информацию об осуществлённой или о предполагаемой трансграничной передаче данных;

-наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные ФЗ от 27.07.2006года №152 -ФЗ« О персональных данных» или другими федеральными законами.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральным законами, в том числе, если обработка

персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка.

Если субъект персональных данных с нарушением требований ФЗ от 27.07.2006года №152 -ФЗ« О персональных данных» или иным образом нарушает его права и свободу, субъект персональных данных вправе обжаловать действия или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и(или) компенсацию морального вреда в судебном порядке.

5. Порядок сбора, хранения и использования персональных данных.

Субъекты персональных данных должны быть ознакомлены с перечнем сведений, целями и задачами сбора, хранения и использования персональных данных.

Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.

Ввод персональных данных в ИСПДн осуществляется работниками, имеющими доступ к работе с персональными данными согласно списку лиц, и в соответствии с их должностными обязанностями. На бумажном носителе информации, содержащей персональные данные, работники, осуществляющие ввод данных, оставляют отметку о дате ввода информации и о лице, осуществляющем её ввод.

Сотрудники, осуществляющие ввод и обработку данных, несут ответственность за достоверность и полноту введённой информации.

При работе с программными средствами, реализующими функции просмотра и редактирования персональных данных, запрещается демонстрация экранных форм,

содержащих такие данные, лицам, не имеющим соответствующих должностных обязанностей.

Хранение персональных данных в ИСПДн осуществляется на СВТ БУЗ УР «ДКСП№2 МЗ УР» с использованием специализированного программного обеспечения, отвечающего требованиям безопасности.

Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, они подлежат уничтожению по истечении установленных сроков хранения информации, по достижении целей обработки или в случае утраты необходимости в их достижении.

Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренным архивным законодательством РФ.

Хранение резервных и технологических копий баз данных ИСПДн, содержащих персональные данные, осуществляется на сменных носителях информации(HDD.Flash), доступ к которым ограничен.

Вынос резервных и технологических копий баз данных ИСПДн, содержащих информацию ограниченного доступа, с БУЗ УР «ДКСП№2 МЗ УР» запрещён.Передача и копирование резервных и технологических копий без данных допустимо только для прямого использования с целью технологической поддержки ИСПДн.

Копировать и делать выписки из персональных данных разрешается исключительно в служебных целях.

                         6. Доступ к персональным данным.

Доступ сотрудников к персональным данным, содержащимся как в информационной системе персональных данных БУЗ УР «ДКСП№2 МЗ УР», так и на бумажных носителях осуществляется согласно списку лиц.

При получении доступа к персональным данным сотрудники подписывают обязательство(соглашение) о неразглашении персональных данных.

Доступ к информационной системе персональных данных разграничен политикой безопасности системы, реализуемой с использованием технических и организационных мероприятий.

Каждый пользователь имеет индивидуальную учётную запись, которая определяет его права и полномочия в ИСПДн. Информация об этой учётной записи не может быть передана другим лицам. Пользователь несёт персональную ответственность за конфиденциальность сведений собственной учётной записи.

Запрещается использование для доступа к ИСПДн учётной записи других пользователей.

Созданием, удалением и изменением учётных записей пользователей ИСПДн в соответствии с должностными обязанностями.

Внутренний доступ - доступ внутри БУЗ УР «ДКСП№2 МЗ УР».

Перечень лиц, имеющих доступ к персональным данным, определён перечнем допущенных лиц.

Внешний доступ.

К числу массовых потребителей персональных данных вне БУЗ УР «ДКСП№2 МЗ УР» можно отнести государственные и негосударственные функциональные структуры:

-налоговые инспекции;

-правоохранительные органы;

-органы статистики;

-военкоматы;

-страховые организации;

-органы социального страхования;

-пенсионные фонды;

-банки;

-подразделения муниципальных органов управления.

Надзорно - контрольные органы имеют доступ к информации только в своей компетенции.

Сведения о субъекте персональных данных могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением заверенной копии заявления.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

7. Требования по обеспечению защиты ПДН при обработке без использования средств автоматизации.

Персональные данные при обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путём фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм(бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели, обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемых без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель( например, отдельные ан кеты).

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществить

обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

- при необходимости использования или распространения определённых персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, на подлежащих распространению или использованию, используется (распространяется) копия персональных данных.

- при необходимости уничтожения или блокирования части персональных данных уничтожаются или блокируются, материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе(удаление, вымарывание).

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путём обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путём фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путём изготовления нового материального носителя с уточнёнными персональными данными.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (типовая форма), должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы ( инструкция по их заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя(наименование) и адрес, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своём согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости- получения письменного согласия на обработку персональных данных;

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушающая прав и законных интересов иных субъектов персональных данных;

- типовая форма должна исключить объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо не совместимы.

БУЗ УР «ДКСП№2 МЗ УР» обязано обеспечить сохранность персональных данных путём установления мер, исключающих несанкционированный доступ к персональным данным. К таким мерам относятся:

-ограничения перечня лиц, имеющих право доступа и обработки ПДн и уровня доступа;

-ведение учёта выданных персональных данных, ведение журнала и учёт выданных ПДн возлагается на ответственного сотрудника;

-реализация особого режима хранения для документов, содержащих персональные данные субъектов.

БУЗ УР «ДКСП№2 МЗ УР» обеспечивает раздельное хранение персональных данных(материальных носителей), обработка которых осуществляется в различных целях.

БУЗ УР «ДКСП№2 МЗ УР» вправе определить дополнительные меры в целях обеспечения сохранности персональных данных и исключения несанкционированного доступа к персональным данным в своих локальных актах или приказах.

8. Порядок определения класс и уровня защищённости ИСПДн, оценка угроз безопасности ПДн при их обработке в ИСПДн.

Определение класса и уровня защищённости ИСПДн проводится в соответствии с РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» от 30.03.1992г. Постановлением Правительства РФ от 01.11.2012г. №1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных».

Определение класса и уровня защищённости ИСПДн проводится на этапе создания ИСПДн или в ходе их эксплуатации (для ранее введённых в эксплуатацию и (или) модернизируемых ИСПДн) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности ПДн.

Класс и уровень защищённости ИСПДн определяется с учётом актуальных угроз, категорий и принадлежности накапливаемым, обрабатываемых и распределяемых с их использованием ПДн с целью установления методов и средств защиты, необходимых для обеспечения безопасности ПДн. Состав и функциональное содержание методов и средств защиты зависят от вида и степени ущерба, возникающего вследствие реализации угроз безопасности ПДн.

В случае выделения в составе ПДн подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс и уровень защищённости, соответствующий наиболее высокому уровню защищённости

входящих в неё подсистем.

По результатам классификации ИСПДн оформляется акт классификации автоматизированной системы, утверждаемый руководителем БУЗ УР «ДКСП№2 МЗ УР.

Класс и уровень защищённости ИСПДн может быть пересмотрен:

-по решению комиссии по определению класса и уровня защищённости на основе проведённого анализа и оценки угроз безопасности ПДн с учётом особенностей и(или) изменений конкретной ИСПДн;

-по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационных системах.

Выбор и реализация методов защиты ИСПДн и ПДн осуществляются на основе определённых угроз безопасности персональных данных и в зависимости от класса и уровня защищённости информационной системы.

Выбранные и реализованные методы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Выявление угроз ПДн, реализуемых с применением программных и программно-аппаратных средств, осуществляется на основе экспертного метода, в том числе путём опроса специалистов, персонала ИСПДн, должностных лиц, при этом могут использоваться специальные инструментальные средства(сетевые сканеры) для подтверждения наличия и выявления уязвимостей программного и аппаратного обеспечения ИСПДн. Для проведения опроса могут составляться специальные опросные листы.

Угрозы безопасности ПДн при их обработке в ИСПДн определяются на основе Постановления Правительства РФ от 01.11.2012г. №1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных», «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённой ФСТЭК России от14.02.2008г. и «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённой ФСТЭК России от14.02.2008г.

Угрозы безопасности ПДн при их обработке в ИСПДн, могут уточняться и дополняться по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности персональных данных в ИСПДн. Кроме того, угрозы могут быть пересмотрены на основе периодически проводимого анализа и оценки угроз безопасности ПДн с учётом особенностей и(или) изменений ИСПДн, а также по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в информационной системе.

При использовании средств криптографической защиты информации в ИСПДн для каждой такой ИСПДн должна определяться модель нарушителя безопасности персональных данных. Модель нарушителя определяется на основе руководящих документов ФСБ России «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждённых руководством 8 Центра ФСБ России от 21.02.2008г. №149/54-144 и «типовых требований по организации и обеспечению функционирования шифровальных(криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённых руководством 8 Центра ФСБ России от 21.02.2008г. №149/54-144. на основе выработанной модели нарушителя для каждой ИСПДн определяется уровень криптографической защиты ПДн, которому должно соответствовать применяемое средство криптографической защиты.

9.Требования по защите ПДн при их обработке в ИСПДн.

9.1. Общие требования к методам и средствам защиты информации.

БУЗ УР «ДКСП№2 МЗ УР должно соблюдать режим конфиденциальности персональных данных при обработке ПДн, за исключением случаев, когда обеспечение безопасности ПДн не требуется.

Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путём исключения несанкционированного, в том числе случайного доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.

Методы и средства защиты информации осуществляется в соответствии Приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы в помещениях, в которых они установлены, осуществляется

Таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.

Меры по обеспечению безопасности персональных данных определяются оператором (уполномоченным лицом), в соответствии Приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждённых руководством 8 Центра ФСБ России от 21.02.2008г. №149/54-144 и «Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённых руководством 8 Центра ФСБ России от 21.02.2008г. №149/6/6-622.

Основными мерами по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных, реализуемых в рамках системы защиты персональных данных с учётом актуальных угроз безопасности персональных данных и применяемых информационных технологий, являются:

-идентификация и аутентификация субъектов и объектов доступа;

-управление доступом субъектов доступа к объектам доступа;

-ограничение программной среды;

-защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;

-регистрация событий безопасности;

-антивирусная защита;

-обнаружение(предотвращение) вторжений;

-контроль (анализ) защищённости персональных данных;

-обеспечение целостности информационной системы персональных данных;

-защита средств виртуализации;

- защита технических средств;

- защита информационной системы, её средств, систем связи и передачи данных;

-выявление инцидентов(одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных( далее - инциденты), и реагирование на них;

- управление конфигурацией информационной системы и системы защиты персональных данных.

Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищённости персональных данных, приведены в приложении Приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Для реализации методов и способов защиты информации, могут применяться такие средства защиты информации как средства от несанкционированного доступа, средства криптографической защиты информации, антивирусные средства, межсетевые экраны, система обнаружений вторжений, специализированные комплексы защиты и анализа защищённости информации, прошедших в установленном порядке процедуру оценки соответствия в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

При обработке ПДн в ИСПДн БУЗ УР «ДКСП№2 МЗ УР» должны соблюдаться следующие требования безопасности:

-ограничение состава работников и регламентация их функциональных обязанностей, для выполнения которых требуется доступ к ПДн;

-осуществлять раздельное хранение ПДн (съёмных носителей информации), обработка которых осуществляется в различных целях;

- обработка ПДн должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн(съёмных носителей информации) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;

-применять средства защиты информации, прошедших, в установленном порядке процедуру оценки соответствия;

-вести учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПДн;

-осуществлять контроль за соблюдением условий использования средств защиты информации, предусмотренной эксплуатационной и технической документацией;

-должна обеспечиваться возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-проводить контроль за выполнением требований по защите персональных данных не реже 1 раза в 3года, определяемые оператором.

Съёмные носители информации(HDD.Flash-носители), содержащие персональные данные, утратившие практическое значение должны быть уничтожены физическим путём, с невозможностью восстановления с них информации по соответствующему акту.

9.2 Организационные меры по защите ПДн при их обработке в ИСПДн

9.2.1Требования к оборудованию помещений и рабочих мест пользователей ИСПДн

Все технические средства ИСПДн БУЗ УР «ДКСП№2 МЗ УР» должны находиться в пределах контролируемой зоны, исключающих неконтролируемое пребывание посторонних лиц, а также транспортных и технических средств.

Размещение технических средств, обрабатывающих ПДн, должно осуществляться с учётом требований минимизации доступа в помещения лиц, не связанных с обработкой персональных данных или обслуживанием оборудования.

Размещение устройств отображения и печати информации, используемых в составе АРМ пользователей ИСПДн, должно осуществляться с учётом максимального затруднения визуального просмотра информации посторонним лицам. Кроме того, должны приниматься дополнительные меры, исключающие подобный просмотр (шторы, жалюзи на окнах, непрозрачные экраны).

Неиспользуемые в процессе обработки ПДн устройства ввода/вывода АРМ пользователей

ИСПДн (FDD и CD/DVD дисководы, адаптеры Wi Fi и Bluetooth , а также USB, Fire Wire и инфракрасные порты) необходимо отключить либо опечатать(опломбировать) в случае, если данные функции нельзя реализовать с помощью средств защиты информации на программном уровне.

В целях предотвращения перехвата управления загрузкой с изменением необходимой технологической информации для получения несанкционированного доступа в определённую среду информационной системы в BIOS необходимо установить загрузку персональных электронно-вычислительных машин с жесткого магнитного диска, установить пароль на вход в BIOS, а также должны быть опечатаны (опломбированы).

9.2.2. Требования к процедуре получения доступа в ИСПДн.

Предоставление доступа к ПДн, обрабатываемых в ИСПДн осуществляется на основе списка лиц.

Администратором безопасности в ИСПДн должна проводиться периодическая проверка прав пользователей ИСПДн следующим образом:

-проверка прав пользователей должна проводиться на периодической основе или после каждого изменения в системе. При этом проверка прав пользователей, имеющих особые привилегии для доступа в систему должна проводиться   с меньшей периодичностью;

- должна быть предусмотрена регулярная проверка адекватности назначенных привилегий с целью исключения получения кем-либо из пользователей излишних прав.

9.3. Технические требования по защите ПДн при их обработке в ИСПДн.

Технические требования по защите ПДн при их обработке в ИСПДн., обеспечивающие реализацию подсистем управления доступом, регистрации и учёта, обеспечения целостности, анализа защищённости, обеспечения безопасного межсетевого взаимодействия в зависимости от уровня защищённости информационной системы устанавливаются в соответствии с Приказом Федеральной службы по техническому и экспертному контролю от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и иными нормативно-методическими документами по защите персональных данных.

9.4. Требования к резервированию.

Для обеспечения возможности быстрого восстановления ПДн и средств их обработки, в

случае их повреждения (утраты) рабочей копии в ИСПДн должны выполняться следующие требования:

- резервные копии информационных ресурсов, содержащих ПДн, и инструкции по их восстановлении должны храниться в специально выделенном месте, отдалённом от места обработки самой информации;

-для обеспечения сохранности резервных копий должен быть применён комплекс организационных и технических мер защиты;

-носители, на которые осуществляется резервное копирование, должны регулярно проверяться на работоспособность;

-должны быть предусмотрены регулярные проверки процедур восстановления.

9.5 Обеспечение безопасности ПДн при передаче.

При передаче ПДн субъекта должны соблюдаться следующие требования:

- не сообщать ПДн субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью гражданина, а также в других случаях, предусмотренных действующим законодательством РФ;

-предупреждать лиц, получивших ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие ПДн, обязаны сообщать режим конфиденциальности персональных данных;

- разрешить доступ к ПДн только специальным уполномоченным на это работникам, при этом указанные работники должны иметь право получать только те ПДн, которые необходимы для выполнения ими должностных обязанностей;

-передавать ПДн субъектов их представителям в порядке, установленном действующим законодательством РФ, и ограничивать эту информацию только теми ПДн, которые необходимы для выполнения указанными представителями их должностных функций;

-передача ПДн внешнему потребителю может допускаться в минимальных объёмах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

Трансграничная передача ПДн на территорию иностранного государства обеспечивается адекватная защита ПДн.

9.6 Обеспечение безопасности при хранении ПДн

Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дальше, чем этого требуют цели их обработки. ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, поэтому для каждой системы ПДн в обязательном порядке устанавливается срок хранения ПДн и осуществляется регулярное уничтожение, а также обезличивание ПДн при наличии такой возможности.

10. Контроль обеспечения безопасности ПДн

С целью своевременного выявления и предотвращения утечки информации, содержащих ПДн, в ИСПДн должен проводиться периодический контроль не реже 1 раза в 3 года состояния защиты ПДн, который заключается в оценке:

-наличия организационно-распорядительных документов и их соответствие;

-соблюдения требований нормативно- правовых документов РФ, руководящих и нормативно-методических документов по защите ПДн;

-применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

Контроль осуществляется путём проведения плановых и внеплановых проверок.

Все работы по контролю должны проводиться при строгом соблюдении мер безопасности, исключающих разглашение сведений о проводимых работах, местах размещения технических средств и систем, используемых средств защиты информации и возможных каналах утечки информации, содержащей ПДн.

Ответственность за соблюдение безопасности при проведении проверок выполнения требований по защите ПДн возлагается на уполномоченное лицо.

В случаях обнаружения нарушений при обработке ПДн в ИСПДн ответственные за защиту ПДн обязаны:

-немедленно прекратить обработку ПДн и ИСПДн, где обнаружены нарушения и принять меры к их устранению;

-организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц.

Возобновление работ разрешается только после устранения нарушений и проверки достаточности и эффективности принятых мер, соответствия их требованиям нормативных документов по защите ПДн.

11.Ответственность.

11.1. Ответственность за обеспечение безопасности ПДн.

Лица (работники) БУЗ УР «ДКСП№2 МЗ УР», виновные в нарушении нормативных правовых актов и внутренних актов БУЗ УР «ДКСП№2 МЗ УР», регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную и уголовную ответственность в соответствии с действующим законодательством РФ.

БУЗ УР «ДКСП№2 МЗ УР», как владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения, реализующие полномочия владения, пользования, распоряжения персональными данными в пределах, установленных законом, несёт ответственность за использование персональных данных. Ограничение прав субъектов на основе использования информации, касающейся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни запрещено.

11.2 Ответственность за разглашение информации, содержащей ПДн

Под разглашением информации, содержащей ПДн, понимается действие или бездействие должностных лиц, в результате которых информация, содержащая ПДн, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становиться известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

Утрата документов, содержащих ПДн - это выход (в том числе и временный) документов из владения ответственного за их сохранность, которому они были доверены. Вследствие чего, эти документы, а равно содержащиеся в них сведения, стали либо, могли стать, достоянием посторонних лиц.

Разглашение информации, содержащей ПДн или утрата документов, содержащих таковую, относится к числу грубых нарушений трудового договора (контракта).

За разглашение информации, содержащей ПДн, утрата документов, содержащих такие сведения, а также за иные нарушения режима конфиденциальности ПДн виновные лица, несут дисциплинарную, административную и уголовную ответственность в соответствии с действующим законодательством РФ.

11.3. Ответственность за нарушение требований настоящего Положения.

Руководители структурных подразделений и специалист по кадрам БУЗ УР «ДКСП№2 МЗ УР» несут ответственность за доведение при приёме на работу до сотрудников настоящей Политики (под подпись) и обеспечение его соблюдения в подразделениях.

Сотрудники БУЗ УР «ДКСП32 МЗ УР» несут персональную ответственность за соблюдение настоящего Положения, а также ответственность по действующему законодательству РФ за разглашение сведений, составляющих ПДн, ставших известными им случайно или по роду работы.

                12. Организация системы видеонаблюдения

12.Общие положения.

12.1 Разработано в соответствии с Федеральным Законом РФ «О персональных данных» от 27.07.2006г. №152-ФЗ, Постановлением Правительства РФ от 17.11.2007№781»Об утверждении Положения об обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».

12.2 Под видеонаблюдением понимается непосредственное осуществление видеонаблюдения посредством использования видеокамер для получения видеоинформации об объектах и помещениях, а также запись полученного изображения и его хранение для последующего использования.

12.3 Система открытого видеонаблюдения в БУЗ УР «ДКСП№2 МЗ УР» (далее-поликлиника) является элементом общей системы безопасности рабочего процесса, поддержание трудовой дисциплины и порядка, предупреждение возникновения чрезвычайных ситуаций и обеспечение объективности расследования в случаях их возникновения.

12.4 Система видеонаблюдения является открытой, ведётся с целью обеспечения безопасности работников поликлиники и не может быть направлена на сбор информации о конкретном человеке.

13. Порядок организации системы видеонаблюдения.

13.1 Решение об установке системы видеонаблюдения принимается главным врачом поликлиники.

13.2 Система видеонаблюдения поликлиники входит в систему контроля доступа и включает в себя ряд устройств: камеры, мониторы и записывающие устройства.

13.3 Система видеонаблюдения поликлиники выполняет различные функции: опознавание знакомого человека, опознавание незнакомого человека.

13.4 Установка системы видеонаблюдения   осуществляется в соответствии с её целями и задачами согласно проектной документации после надлежащего уведомления Роскомнадзора об эксплуатации системы видеонаблюдения за помещением.

13.5 Запрещается использование устройств, предназначенных для негласного получения информации (скрытых камер).

14.Цели и задачи системы видеонаблюдения.

14.1 Система видеонаблюдения призвана выполнять следующие задачи:

14.2 Повышение эффективности действий при возникновении нештатных и чрезвычайных ситуаций.

14.3 Обеспечение противопожарной защиты зданий и помещений поликлиники.

14.4 Обеспечение антитеррористической защиты работников и территории поликлиники, охраны порядка и безопасности.

14.5Совершенствование системы информирования и оповещения работников поликлиники об угрозе возникновения   кризисных ситуаций.

14.6 Пресечение противоправных действий со стороны работников поликлиники и посетителей.

14.7 Видеонаблюдение осуществляется с целью документальной фиксации возможных противоправных действий , которые могут нанести вред имуществу, работникам и посетителям. В случае необходимости, материалы видеозаписей, полученных камерами видеонаблюдения, будут использованы в качестве доказательства совершения противоправного действия, а также для установления личности лица, совершившего соответствующее противоправное действие.

15. Меры по обеспечению безопасности персональных данных.

15.1 Поликлиника обязуется принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренные Федеральным Законом

«О персональных данных» и принятыми в соответствии с ним нормальными правовыми актами.

15.2 Обработка персональных данных должна осуществляться на законной основе и ограничиваться достижением конкретных, заранее определённых и законных целей.

Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.

15.3 Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Есть вопросы? Просто позвоните нам 8 (3412) 31-07-95

starsmile_660_237.gif
Бюджетное учреждение здравоохранения Удмуртской Республики "Детская клиническая стоматологическая поликлиника министерства здравоохранения Удмуртской Республики"
© 1996-2024