Приказ о создании комиссии для определения уровня защищенности

Оглавление:

Приказ о создании комиссии для определения уровня защищенности

Практическая защита
персональных данных

Ниже приведен список документов, адаптированный для учреждений, обрабатывающих персональные данные сотрудников и клиентов (физических лиц). Все эти документы Вы можете сгенерировать при помощи нашего онлайн сервиса. Для регистрации в сервисе перейдите по ссылке.

1. Приказ о назначении ответственного за обработку персональных данных
Ответственный осуществляет: контроль соблюдения сотрудниками, обрабатывающими персональные данные, правил обработки и обеспечения безопасности персональных данных.

2. Приказ о назначении администратора безопасности информационных систем персональных данных
Основная задача администратора безопасности — обеспечение защищенности персональных данных в организации. Администраторов безопасности может быть несколько.

3. Приказ об утверждении Плана мероприятий по обеспечению безопасности персональных данных
Приказ об утверждении Плана мероприятий по обеспечению безопасности персональных данных

4. План мероприятий по обеспечению безопасности персональных данных
Определяет какие мероприятия должны быть исполнены и в какой срок. Большинство мероприятий реализуются утверждением документов, входящих в состав настоящего пакета. Если какие то мероприятие нет возможности выполнить в обозримом будущем, то их нужно либо удалить из Плана, либо указать в сроке исполнения «далекую» дату.

5. Приказ «О проведении работ по защите персональных данных»
Приказ вводит в действие документы по защите персональных данных, приведенные ниже.

6. Перечень персональных данных
Определяет какие персональные данные обрабатываются в организации, правовые основания их обработки. Кроме того в перечне указаны сроки и места хранения информации, содержащей персональные данные.

8. Политика информационной безопасности
Документ определяет основные требования к персоналу ИСПДн, степень ответственности персонала, структуру и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн.

9. Положение по защите персональных данных
Определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных

10. Положение об обработке персональных данных работников
Определяет порядок обработки персональных данных работников; права и обязанности организации и работников, связанные с обработкой персональных; защиту персональных данных работников. Все работники должны быть ознакомлены с ним под роспись.

11. Инструкция по обработке персональных данных без использования средств автоматизации
В инструкции приведены особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации, а также меры по обеспечению их безопасности.

12. Приказ о создании комиссии для определения уровня защищенности
Данным приказом назначается комиссия для определения уровня защищенности информационных систем персональных данных организации. Подробнее об определении уровня защищенности информационных систем персональных данных Вы можете прочитать тут.

13. Акт определения уровня защищенности ИСПДН «Сотрудники»
Составляется комиссией. Комиссия назначается отдельным приказом руководителя из числа штатных сотрудников. Подробнее об определении уровня защищенности информационных систем персональных данных Вы можете прочитать тут.

14. Акт определения уровня защищенности ИСПДн «Клиенты»
Составляется комиссией. Комиссия назначается отдельным приказом руководителя из числа штатных сотрудников. Подробнее об определении уровня защищенности информационных систем персональных данных Вы можете прочитать тут

15. Положение о разграничении прав доступа к персональным данным
В данном документе представлен список лиц, ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа к обрабатываемым персональным данным. На стр.4 необходимо указать ФИО и должности сотрудников, имеющих доступ к персональным данным, а также системного администратора.

16. Инструкция по работе с обращениями субъектов персональных данных
Определяет порядок реагирования на обращения субъектов персональных данных. В приложениях есть формы запросов, заявок и уведомлений.

17. Инструкция администратора безопасности информационной системы персональных данных
Определяет обязанности и полномочия администратора информационной безопасности

18. Инструкция пользователя информационной системы персональных данных
Определяет обязанности и полномочия пользователей ИСПДн

19. Инструкция по обеспечению безопасности рабочих мест обработки персональных данных
Определяет требования по защите рабочих мест ИСПДн, на которых ведется обработка и хранение персональных данных

20. Порядок резервирования и восстановления работоспособности
Определяет меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн

21. Инструкция по работе со съемными носителями, содержащими персональные данные
Определяет порядок работы со съемными носителями персональных данных

22. Инструкция о порядке физической охраны помещений, содержащих носители персональных данных
Определяет обязанности должностных лиц и порядок взаимодействия между структурными подразделениями Оператора по обеспечению безопасности носителей персональных данных

23. Инструкция о порядке проведения разбирательств по фактам нарушений
Инструкция определяет порядок проведения разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных

24. Описание технологического процесса обработки персональных данных
Описывает порядок обработки персональных данных в организации.

25. Журнал антивирусных проверок
Журнал заполняется администратором безопасности по результатам каждой антивирусной проверки серверов и рабочих мест информационной системы.

26. Журнал учета логинов
Журнал заполняется администратором безопасности. В нем указываются логины, присвоенные каждому сотруднику, имеющему доступ к информационной системе.

27. Журнал учета обращений субъектов
В журнале фиксируются все обращения субъектов персональных данных, а также ответы на них.

28. Журнал учета СЗИ
Журнал заполняется администратором безопасности. В нем фиксируются все средства защиты информации, установленные в организации. Указывается место установки и учетные номера средств защиты.

29. Журнал учета съемных носителей
Журнал заполняется администратором безопасности. В журнале указываются учетные номера всех съемных носителей, содержащих персональные данные.

30. Приказ о контролируемой зоне
Контролируемая зона — это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств. Все элементы ИСПДн должны располагаться в пределах контролируемой зоны.

31. Перечень помещений, предназначенных для обработки персональных данных
Документ определяет перечень помещений, в которых производится обработка (в том числе и хранение) персональных данных. За каждым помещением закрепляется ответственный.

32. Порядок уничтожения носителей персональных данных
Определяет как правильно уничтожать носители персональных данных.

33. Приказ об утверждении перечня сотрудников, допущенных к обработке персональных данных
Утверждает перечень сотрудников, допущенных к обработке персональных данных, как в ИСПДн, так и без использования средств автоматизации.

34. Дополнения в договоры с работниками, обрабатывающими персональные данные
Рекомендуется внести предлагаемые дополнения в трудовые договоры (должностные инструкции) с работниками, обрабатывающими персональные данные

35. Обязательство о неразглашении информации, содержащей персональные данные
Оформляется в случае если обязательства о неразглашении персональных данных не прописаны в трудовом договоре с работниками, допущенными к обработке.

36. Инструкция по работе с обезличенными персональными данными
Инструкция требуется только для государственных и муниципальных учреждений в в соответствии с Постановлением №211 от 21 марта «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных». В приложении к инструкции приведен «Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных».

37. Согласие на обработку персональных данных
Шаблон согласия сотрудника на обработку его персональных данных

38. Отзыв согласия на обработку персональных данных
Шаблон отзыва согласия на обработку персональных данных

39. Инструкция осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Инструкция требуется только для государственных и муниципальных учреждений в в соответствии с Постановлением №211 от 21 марта «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

40. Пользовательское соглашение (для размещения на сайте компании)
Определяет порядок взаимодействия пользователя с сайтом компании.

41. Политика конфиденциальности (для размещения на сайте)
Определяет порядок защиты персональных данных. Должна быть размещена на сайте.

Приказ о создании комиссии для определения уровня защищенности

Данной статьей хотелось бы как-то помочь медицинским организациям справиться с выполнением первичных мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах.

Итак, что же необходимо сделать в первую очередь. Если кратко, то привести свои системы в упорядоченный вид, то есть определиться с тем, что у нас имеется и тщательно задокументировать это.

Роскомнадзор, осуществляя проверки, в первую очередь контролирует именно исполнение положений закона с юридической точки зрения, а не техническую часть. Поэтому отсутствие хотя бы одного организационно-распорядительного документа, необходимого по закону, будет означать для них нарушение. Много ли нужно задокументировать?

1. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок выполнения организационных и технических мер по защите персональных данный и сведений обрабатываемых в информационных системах МО рекомендуется включить следующие документы:

— Приказ об организации работ по защите ПДн на предприятии (в том числе, при необходимости, об организации криптографической защиты информации).
— Приказ о назначении комиссии по определению требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.
— Акты определения требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.-
— Приказ о создании структурного подразделения, ответственного за обеспечение безопасности ПДн.
— Приказ об утверждении перечня лиц, допущенных к обработке ПДн.
— Приказ о назначении ответственного пользователя СКЗИ.
— Приказ об утверждении перечня лиц допущенных к работе с СКЗИ.
— Приказ о назначении ответственных за выявление инцидентов и реагирования на них.
— Приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных.
— Приказ о назначении комиссии по уничтожению ключевых документов.
— Модель угроз безопасности информации.
— Положение по организации и проведению работ по обеспечению безопасности информации, включающее в том числе:

  • перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
  • правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
  • правила рассмотрения запросов субъектов персональных данных или их представителей;
  • правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора
  • правила работы с обезличенными данными;
  • перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн.

— Положение об организации режима обеспечения безопасности помещений.
— Разрешительная система доступа (матрица доступа).

2. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок учета, хранения и эксплуатации средств защиты информации (далее — СрЗИ) МО рекомендуется включить следующие документы:

Смотрите еще:  Не оплатил штраф не выпустили

— Порядок оформления допуска (доступа) к обработке ПДн.
— Форма согласия на обработку персональных данных.
— Форма заявки на доступ к обработке ПДн.
— Форма обязательства служащего прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
— Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
— Форма акта об уничтожении ключевых документов.
— Перечень событий безопасности, состав и содержание информации о событиях безопасности, подлежащих регистрации и сроки их хранения.
— Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных (отдельно, либо в составе «Положение об организации режима обеспечения безопасности помещений»).
— Инструкции персоналу:

  • инструкция должностного лица (администратора безопасности), ответственного за безопасность информации;
  • инструкция пользователя ИСПДн;
  • инструкция по резервному копированию данных, технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры;
  • инструкция по резервному копированию ПДн на резервные машинные носители
  • инструкция по уничтожению (стиранию) или обезличиванию конфиденциальной информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации;
  • инструкция об организации учета средств защиты ПДн и эксплуатационной и технической документации к ним;
  • инструкция по организации парольной защиты;
  • инструкция ответственного за выявление инцидентов и реагирования на них;
  • инструкция (регламент) по реализации удаленного доступа через внешние информационные сети;
  • инструкция об обмене ПД со сторонними организациями;
  • инструкция по размещению устройств вывода (отображения) информации;
  • инструкция о порядке хранения и уничтожения носителей ПДн;
  • инструкция ответственного за использование СКЗИ;
  • инструкция пользователя СКЗИ;
  • инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ;
  • инструкция по уничтожению носителей ключевых документов;

— Регламент использования в информационной системе технологий беспроводного доступа.
— Регламент использования в информационной системе мобильных технических средств.
— Журналы учета, хранения и эксплуатации ИСПДн:

  • журнал учета магнитных, оптических и иных носителей конфиденциальной информации;
  • журнал обращений пользователей к ПДн (электронная форма);
  • журнал поэкземплярного учета используемых криптосредств, эксплуатационной и технической документации к ним;
  • журнал учета и выдачи носителей с ключевой информацией;
  • журнал учета пользователей криптосредств;
  • лицевые счета на пользователей криптосредств;
  • журнал событий безопасности (возможно в электронном виде или встроенными возможностями СрЗИ);
  • журнал регистрации событий в виртуальной инфраструктуре (возможно в электронном виде или встроенными возможностями СрЗИ);
  • журнал учета нарушений, ликвидации их причин и последствий;
  • журнал учета хранилищ, ключей от хранилищ ключевых документов и технической документации;
  • журнал проверок исправности сигнализации;
  • журнал службы охраны.

— Перечень разрешенного к использованию ПО.
— Технический паспорт ИСПДн.
— Эксплуатационная документация на СКЗИ.
— Лицензии и сертификаты соответствия требованиям по безопасности информации на СрЗИ (в том числе СКЗИ).
— Документы о поставке на СрЗИ (в том числе СКЗИ).
— Заключение о возможности эксплуатации СЗИ по результатам проведения проверки их готовности к использованию.
— Акты о вводе СКЗИ в эксплуатацию.
— Программа и методика испытаний.
— Оценка соответствия (аттестат соответствия) требованиям информационной безопасности.

При этом стоит помнить, что согласно

Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687)
… 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), примеч. например, врачи в нашем случае, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии). и

ТК РФ Статье 22. Основные права и обязанности работодателя
Работодатель обязан:
… знакомить работников под роспись
с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью;
В итоге такая бумажная работа, а точнее её отсутствие частично или полностью, может привести к проблемам с Роскомнадзором. Одним из самых ярких случаев является плановая выездная проверка в отношении Департамента здравоохранения Ивановской области 1 декабря 2011 года. По окончании проверки выданы 14 предписаний. О том, что отсутствовало и было нарушено подробнее по ссылке 37.rkn.gov.ru/news/news31219.htm

Что нужно сделать в медицинских организациях (далее — МО) для обеспечения безопасности наших персональных данных?

Руководителям МО приказом по МО определить (назначить) должностное лицо, ответственное за обеспечение безопасности персональных данных (ПДн), обрабатываемых в информационных системах МО.

Кто им будет? Точного ответа нет, но если в МО отсутствует служба информационной безопасности, ответственным, возможно, будет назначен системный администратор. Далее довольно сухой и сложночитаемый текст, но если назначили вас, наберитесь терпения.

Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, нужно определить:

– перечень и состав подлежащей защите информации ограниченного доступа, не составляющей государственную тайну, обрабатываемой в информационных системах МО, в том числе обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) на рабочих местах сотрудников МО;
– перечень информационных систем МО, в которых ведется обработка ПДн (далее – информационные системы персональных данных, ИСПДн);
– перечень государственных и/или муниципальных информационных систем МО, в которых ведется обработка иной информации (не персональные данные) ограниченного доступа, не составляющей государственную тайну – сведений конфиденциального характера (далее – государственные информационные системы, ГИС);
– границы контролируемых зон (в виде схем периметров охраняемых территорий и/или зданий и помещений) с описанием режимов (порядка и правил) доступа;
– данные о сетевой инфраструктуре МО (схемы связи, характеристики сетевого оборудования, параметры подключений к внешним сетям, в т.ч. общедоступным сетям провайдеров (операторов связи) и сети Интернет);
– состав программного обеспечения и программно-технических средств информационных систем МО, задействованных в обработке ПДн;
– перечень и типы актуальных угроз, потенциальных нарушителей безопасности ПДн, обрабатываемых в информационных системах МО, в соответствии с [1] и [2].

1. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, для повышения начального уровня защищенности объекта, определить (при необходимости) мероприятия по модернизации сетевой структуры и/или внесению изменений в технологии и порядок обработки и доступа к подлежащей защите информации, обрабатываемой в информационных системах МО.
2. Руководителям МО приказом по МО определить (назначить) комиссию по определению требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО и по классификации государственных и муниципальных информационных систем. Мероприятия по определению требуемых уровней защищенности ПДн, обрабатываемых в информационных системах МО и классификации государственных и муниципальных информационных систем, в соответствии с [3] и [4].
3. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, определить базовый набор мер по обеспечению в информационных системах МО требуемых уровней защищенности, в соответствии с [4] и [5].
4. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, разработать план мероприятий по реализации базовых мер по защите информации и проведению работ по созданию системы защиты ПДн (далее – план мероприятий), в соответствии с [4] и [5], включающий в т.ч. расчет-оценку затрат на реализацию мероприятий.
5. Сотрудникам, ответственным безопасности ПДн в МО, на основании плана мероприятий организовать подготовку технического задания на создание системы защиты ПДн МО.
6. До начала работ по созданию системы защиты информации организовать и провести следующие мероприятия:
— определить и утвердить приказом по МО перечень лиц, допущенных к обработке ПДн в МО;
— определить правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
— определить правила рассмотрения запросов субъектов персональных данных или их представителей;
— определить правила работы с обезличенными данными;
— утвердить перечень должностей работников МО, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;
— провести мероприятия по учету, хранению и организации эксплуатации средств криптографической защиты информации (СКЗИ). Прим. Данные мероприятия проводятся в МО, имеющих программные и/или программно–технические СКЗИ.
7. В целях достижения результатов, при выполнении работ первичных мероприятий по обеспечению безопасности ПДн при их обработке в информационных системах МО, допускается привлечение на договорной основе юридических лиц, имеющих соответствующие лицензии на осуществление деятельности по конкретным видам работ в соответствии с Федеральный законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности».

1. Техническое задание на создание системы защиты ПДн (СЗ ПДн) должно содержать требования к следующим мероприятиям по созданию СЗ ПДн:
– формирование требований к СЗ ПДн, обрабатываемых в информационных системах ПДн;
– разработка (проектирование) СЗ ПДн;
– внедрение СЗ ПДн;
– оценка эффективности (аттестация) принимаемых мер по защите ПДн и ввод ее в действие;
– обеспечение защиты информации в ходе эксплуатации СЗ ПДн;
– обеспечение защиты информации при выводе из эксплуатации СЗ ПДн или после принятия решения об окончании обработки информации.
2. Рекомендации по формированию требований к СЗ ПДн.
2.1. Техническое задание на создание СЗ ПДн должно отображать необходимый состав требований, сформированный с учетом [6] и [7] и в том числе:
– определение требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО (далее — классификация информационной системы);
– определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
– определение требований к СЗ ПДн.
3. Рекомендации по разработке (проектированию) СЗ ПДн.
3.1. При проектировании СЗ ПДн, должны быть выполнены следующие мероприятия:
– определены типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
– определены методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
– выбраны меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;
– определены виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
– определена структура СЗ ПДн, включая состав (количество) и места размещения ее элементов;
– осуществлен выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также уровня защищенности информационной системы;
– определены параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
– определены меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
3.2. Результаты проектирования СЗ ПДн должны отображаться в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на СЗ ПДн, разрабатываемой с учетом [8].
Проектная документация должна содержать в том числе:
– анализ процесса обработки информации в проектируемой системе;
– описания информационных потоков и сетевой структуры объекта;
– анализ информационных ресурсов, требующих защиты. Перечни защищаемой информации;
– модель угроз информационной безопасности;
– классификация проектируемой системы по требованиям безопасности информации
– перечень требований по информационной безопасности для объектов защиты проектируемой системы
– описание технических решений по реализации подсистем информационной безопасности (подсистему защиты от НСД, подсистему антивирусной защиты, подсистему криптографической защиты, подсистему межсетевого экранирования, подсистему анализа защищенности, подсистему резервного копирования, подсистему обнаружения вторжений);
– сводный перечень средств защиты информации
– комплекс организационных мероприятий, с указанием перечня необходимой организационно-распорядительной документации (ОРД);
– комплект шаблонов ОРД.
3.3. При проектировании СЗ ПДн должна быть разработана эксплуатационная документация на систему защиты информации информационной системы разрабатывается с учетом [7], [8] и [9] и должна, в том числе, содержать описание:
– структуры системы защиты информации информационной системы;
– состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
– правил эксплуатации системы защиты информации информационной системы.
4. Рекомендации по внедрению СЗ ПДн.
4.1. Внедрение СЗ ПДн рекомендуется осуществлять в следующем порядке:
– установка и настройка средств защиты информации СЗ ПДн;
– разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации ходе ее эксплуатации СЗПДн (далее — ОРД);
– внедрение организационных мер защиты информации;
– проведение предварительных испытаний СЗ ПДн;
– проведение опытной эксплуатации СЗ ПДн;
– проведение анализа уязвимостей и принятие мер защиты информации по их устранению;
– проведение приемочных испытаний СЗ ПДн.
5. Рекомендации по проведению оценки соответствия (аттестации) ИСПДн и ввод ее в действие
5.1. Оценка соответствия (аттестация) ИСПДн должна проводиться в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе.
По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии ИСПДн требованиям о защите информации и оценка соответствия (аттестат соответствия) в случае положительных результатов аттестационных испытаний.
Повторная оценка соответствия (аттестация) ИСПДн должна осуществляться в случае окончания срока действия аттестата соответствия или повышения уровня защищенности ПДн, обрабатываемых в информационных системах МО. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании СЗ ПДн, должны проводиться дополнительные испытания в рамках действующей оценки соответствия (аттестата соответствия).
5.2. Ввод в действие ИСПДн должен осуществляться в соответствии с [9] и законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом оценки соответствия (аттестата соответствия).
6. Рекомендации по обеспечению защиты информации в ходе эксплуатации ИСПДн.
6.1 Обеспечение защиты информации в ходе эксплуатации ИСПДн должно осуществляться оператором в соответствии с эксплуатационной документацией на СЗ ПДн и организационно-распорядительными документами по защите информации и в том числе должно включать в себя:
– управление (администрирование) системой защиты информации информационной системы;
– выявление инцидентов и реагирование на них;
– управление конфигурацией аттестованной информационной системы и ее системы защиты информации;
– контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе.
7. Рекомендации по обеспечению защиты информации при выводе из ИСПДн эксплуатации мы или после принятия решения об окончании обработки информации
7.1. Обеспечение защиты информации при выводе из эксплуатации ИСПДн или после принятия решения об окончании обработки информации должно осуществляется оператором в соответствии с эксплуатационной документацией на СЗ ПДн и организационно-распорядительными документами по защите информации и в том числе включать в себя:
– архивирование информации, содержащейся в информационной системе;
– уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

Смотрите еще:  Красноярск пенсия по инвалидности

Немного технической части

На данный момент лечебно-профилактическими учреждениями (ЛПУ) используется Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ). В каждом ЛПУ своя БД, она синхронизируется с общей БД, находящейся в ЦОД (МИАЦ). Все это происходит по защищенным с помощью ПАК ViPNet каналам. ПАК ViPNet были разосланы по всей РФ для организации подключения к этой системе.

Многие подробности можно найти на сайте portal.egisz.rosminzdrav.ru/materials

Подводя итоги «базовой информатизации», бывший директор ИТ-департамента министерства Роман Ивакин отмечал, что удалось обеспечить «достаточно высокий уровень развития инфраструктуры».
«Что касается подключения ЛПУ к интернету, то, по нашим данным, эта задача выполнена на 100% на уровне юридических лиц. Частично неохваченными остались, может быть, их локальные подразделения, например ФАПы (фельдшерско-акушерские пункты). Но не надо забывать о том, что таких объектов более 40 тыс., а работы по подключению фактически начались только в июне 2012 года. Для сравнения: на подключение 52 тыс. школ к сети ушло около 1,5 лет».
Однако, даже сейчас привести информационные системы всех подведомственных учреждений и тем более систему защиты информации в единообразный вид удалось не всем. В лечебных учреждениях всё ещё может встретиться зоопарк медицинских систем, включая самописное ПО. Требования к технической части во многом зависят от того, какой уровень защищенности ПДн определен для конкретной ИСПДн. Подробнее о системах обработки персональных данных специальной категории (сведения о состоянии здоровья), биометрических ПДн, обезличивании, получения согласия на обработку и других особенностях мы расскажем в одной из следующих статей нашего блога.

Акты (приказы, распоряжения и другие акты) ФСТЭК России; сведения о внесении в них изменений, признании их утратившими силу, о государственной регистрации этих актов в случаях, установленных законодательством Российской Федерации

Приказ ФСТЭК России от 18 февраля 2013 г. N 21

Зарегистрировано в Минюсте России 14 мая 2013 г. N 28375

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

от 18 февраля 2013 г. N 21

ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Список изменяющих документов

(в ред. Приказа ФСТЭК России от 23.03.2017 N 49)

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701) и Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818), приказываю:

1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

2. Признать утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный N 16456).

Федеральной службы по техническому

и экспортному контролю

приказом ФСТЭК России

от 18 февраля 2013 г. N 21

СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Список изменяющих документов

(в ред. Приказа ФСТЭК России от 23.03.2017 N 49)

I. Общие положения

1. Настоящий документ разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701) и устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — меры по обеспечению безопасности персональных данных) для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.

2. Безопасность персональных данных при их обработке в информационной системе персональных данных (далее — информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.

Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

3. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.

4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

6. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

7. Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328).

II. Состав и содержание мер по обеспечению безопасности персональных данных

8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

Смотрите еще:  Справка о трудоустройстве для удо к чему обязывает работодателя

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);

регистрация событий безопасности;

обнаружение (предотвращение) вторжений;

контроль (анализ) защищенности персональных данных;

обеспечение целостности информационной системы и персональных данных;

обеспечение доступности персональных данных;

защита среды виртуализации;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи данных;

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них;

управление конфигурацией информационной системы и системы защиты персональных данных.

Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу.

8.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

8.2. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.

8.3. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.

8.4. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.

8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

8.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

8.7. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.

8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.

8.9. Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.

8.10. Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.

8.11. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

8.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее — средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.

8.13. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.

8.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

8.15. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

9. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:

определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных, приведенными в приложении к настоящему документу;

адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);

уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;

дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.

10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.

11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:

проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;

тестирование информационной системы на проникновения;

использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

12. Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.

При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

в информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;

в информационных системах 2 уровня защищенности персональных данных применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;

в информационных системах 3 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 5 класса;

в информационных системах 4 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 6 класса.

Классы защиты определяются в соответствии с нормативными правовыми актами, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

При использовании в информационных системах средств защиты информации, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности).

Функции безопасности средств защиты информации должны обеспечивать выполнение мер по обеспечению безопасности персональных данных, содержащихся в настоящем документе.

Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются сертифицированные средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

(п. 12 в ред. Приказа ФСТЭК России от 23.03.2017 N 49)

13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа.

Приложение к Составу и содержанию

организационных и технических мер по

обеспечению безопасности персональных

данных при их обработке в информационных

системах персональных данных

СОСТАВ И СОДЕРЖАНИЕ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, НЕОБХОДИМЫХ ДЛЯ ОБЕСПЕЧЕНИЯ КАЖДОГО ИЗ УРОВНЕЙ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Похожие статьи:

  • Налог для граждан по инн Граждане могут не указывать ИНН в представляемых в налоговые органы документах Минфин России рассказал об особенностях постановки на учет в налоговых органах. Соответствующие разъяснения […]
  • Приказ о зачислении в ноу Приказ о зачислении на очную форму обучения в НОУ ВПО ИМТП на 2014-2015 учебный год метро «Кунцевская», «Пионерская», «Славянский бульвар», ст. ж. д. «Кунцево» Тел.: + 7 (968) 617-78-78 […]
  • Способы подачи заявления на развод Какие документы нужны для развода Если Вы уже приняли решение о разводе (расторжении брака), Вам необходимо его документально оформить. Есть только два способа: в отделе ЗАГСа или в суде. […]
  • Закон рф о государственной поддержке малого предпринимательства в российской федерации Федеральный закон Российской Федерации от 24 июля 2007 г. N 209-ФЗ "О развитии малого и среднего предпринимательства в Российской Федерации" Изменения и поправки Принят Государственной […]
  • Развод гобозовой Алиана Гобозова рассталась с мужем из-за проблем в постели Как призналась молодая женщина, они перестали спать вместе. Некоторое время назад Алиана разошлась с супругом, потому что между […]
  • Двойное гражданство выгоды и трудности по праву В чём плюсы и минусы двойного гражданства: мнения ИА REX: В чём плюсы и минусы двойного гражданства. Что можно сказать на основании опыта других стран? Юрий Юрьев, политконструктор: Спустя […]
Перспектива. 2019. Все права защищены.