Приказ о назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах (название Медицинской организации)
|
Скачать 1.53 Mb.
|
|
3. Порядок обработки персональных данных без использования средств автоматизации.
- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы; - персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков); - документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных; - дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
3.4.1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; 3.4.2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных; 3.4.3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; 3.4.4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
4.9. Резервное копирование на файловый сервер должно осуществляться непосредственно после любого изменения состояния баз данных или программного обеспечении этих баз, но не реже, чем раз в неделю. 4.10. Если программный продукт, на основе которого функционирует ИСПДн, имеет функцию резервного копирования, то администратор ИСПДн создает резервную копию при помощи данной функции. 4.11. Специалист, ответственный за техническое обеспечение учреждения создает резервную копию сетевого каталога, в котором хранятся резервные копии всех ИСПДн не реже чем раз в месяц. 4.12. Специалист, ответственный за техническое обеспечение учреждения, при помощи специализированного программного обеспечения, средств создает образы дисков всех рабочих мест ИСПДн не реже, чем раз в квартал. 4.13. Восстановление программного обеспечения производится путем его инсталляции с использованием эталонных дистрибутивов либо полного восстановления системы с образа диска. 4.14. Ремонт носителей защищаемой информации не допускается. Неисправные носители с защищаемой информацией подлежат уничтожению в соответствии с порядком уничтожения носителей защищаемой информации. Работа с использованием неисправных технических средств запрещается. 4.15. При работе на компьютерах ИСПДн рекомендуется использовать источники бесперебойного питания с целью предотвращения повреждения технических средств и (или) защищаемой информации в результате сбоев в сети электропитания. 4.16. При восстановлении работоспособности средств защиты информации следует выполнить их настройку в соответствии с требованиями безопасности информации, изложенными в техническом задании на создание системы защиты персональных данных. 4.17. Восстановление средств защиты информации производится с использованием эталонных сертифицированных дистрибутивов, которые хранятся в хранилище. После успешной настройки средств защиты информации необходимо выполнить резервное копирование настроек данных средств на зарегистрированный носитель. 4.18. Ответственность за проведение резервного копирования ИСПДн в соответствии с требованиями настоящего Положения возлагается на администратора ИСПДн. 4.19. Ответственность за проведение резервного копирования сетевого каталога хранения резервных копий ИСПДн возлагается на специалистов, ответственных за техническое обеспечение учреждения. 4.20. Мероприятий по восстановлению работоспособности технических средств и программного обеспечения баз данных организуются и проводятся специалистов, ответственных за техническое обеспечение учреждения, привлечением ответственного пользователя той ИСПДн, функционирование которой было нарушено. 5. Порядок контроля защиты информации в ИСПДн и приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления. Порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации и принятие мер по предотвращению возможных опасных последствий. 5.1. Контроль защиты информации в ИСПДн - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения посторонними лицами охраняемых сведений, выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности систем информатизации. 5.2. Основными задачами контроля являются: - проверка организации выполнения мероприятий по защите информации в подразделениях ________________________________________________________, (название МО) учета требований по защите информации в разрабатываемых плановых и распорядительных документах; - выявление демаскирующих признаков объектов ИСПДн; - уточнение зон перехвата обрабатываемой на объектах информации, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию; - проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации; - проверка выполнения требований по защите ИСПДн от несанкционированного доступа; - проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест; - проверка знаний работников по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места; - оперативное принятие мер по пресечению нарушений требований (норм) защиты информации в ИСПДн; - разработка предложений по устранению (ослаблению) демаскирующих признаков и технических каналов утечки информации. 5.3. Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей в ИСПДн _______________________________________________ (название МО) и осуществляется по объектовому принципу, при котором на объекте одновременно проверяются все вопросы защиты информации. Перечень каналов утечки устанавливается в соответствии с моделью угроз. 5.4. В ходе контроля проверяются: - соответствие принятых мер по обеспечению безопасности персональных данных (далее – ОБ ПДн) мерам, предписанным законодательством РФ и установленным нормативными документами предприятия; - своевременность и полнота выполнения требований настоящего Положения и других руководящих документов ОБ ПДн; - полнота выявления демаскирующих признаков охраняемых сведений об объектах защиты и возможных технических каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию; - эффективность проведения организационных и технических мероприятий по защите информации; - устранение ранее выявленных недостатков. 5.5. Основными видами технического контроля являются визуально-оптический контроль, контроль эффективности защиты информации от утечки по техническим каналам, контроль несанкционированного доступа к информации и программно-технических воздействий на информацию. 5.6. Полученные в ходе ведения контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. При обнаружении нарушений норм и требований по защите информации администратор информационной безопасности докладывает руководителю для принятия ими решения о прекращении обработки информации и проведения соответствующих организационных и технических мер по устранению нарушения. Результаты контроля защиты информации оформляются актами либо в соответствующих журналах учета результатов контроля. 5.7. Невыполнение предписанных мероприятий по защите ПДн, считается предпосылкой к утечке информации (далее - предпосылка). По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований по указанию руководителя или ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн проводится расследование. Для проведения расследования назначается комиссия с привлечением администратора информационной безопасности. Комиссия обязана установить, имела ли место утечка сведений, и обстоятельства ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению. После окончания расследования руководитель принимает решение о наказании виновных лиц и необходимых мероприятиях по устранению недостатков. 5.8. Ведение контроля защиты информации осуществляется путем проведения периодических, плановых и внезапных проверок объектов защиты. Периодические, плановые и внезапные проверки объектов организации проводятся, как правило, силами администратора информационной безопасности и (или) ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн, в соответствии с утвержденным планом или по согласованию с руководителем. 5.9. Одной из форм контроля защиты информации является обследование объектов ИСПДн. Оно проводится не реже одного раза в год рабочей группой в составе администратора информационной безопасности, ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн информации, администратор ИСПДн. Для обследования ИСПДн может привлекаться организация, имеющая лицензию ФСТЭК России на деятельность по технической защите информации. 5.10. Обследование ИСПДн проводится с целью определения соответствия помещений, технических и программных средств требованиям по защите информации, установленным в «Аттестате соответствия» (если проводилась аттестация) и (или) требованиям по безопасности персональных данных. 5.11. В ходе обследования проверяется: - соответствие текущих условий функционирования обследуемого объекта ИСПДн условиям, сложившимся на момент проверки; - соблюдение организационно-технических требований помещений, в которых располагается ИСПДн; - сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления; - соответствие выполняемых на объекте ИСПДн мероприятий по защите информации данным, изложенным в настоящем положении; - выполнение требований по защите информационных систем от несанкционированного доступа; - выполнение требований по антивирусной защите. 6. Порядок обучения персонала практике работы в ИСПДн в части обеспечения безопасности персональных данных. 6.1. Перед началом работы в ИСПДн пользователи должны ознакомиться с инструкциями по использованию программных и технических средств, по использованию средств защиты информации под роспись. 6.2.Пользователи должны продемонстрировать администратору информационной безопасности наличие необходимых знаний и умений для выполнения требований настоящего Положения. Администратор информационной безопасности должен вести журнал учета пользователей, допущенных к информационным системам персональных данных. 6.3. Пользователи, демонстрирующие недостаточные знания и умения для обеспечения безопасности персональных данных в соответствии с требованиями настоящего положения, к работе в ИСПДн не допускаются. 6.4. Ответственным за организацию обучения и оказание методической помощи в _____________________________________________________________ (название МО) является администратор информационной безопасности. 6.5. Для проведения занятий, семинаров и совещаний могут привлекаться специалисты по программному и техническому обеспечению, а также специалисты органов по аттестации объектов ИСПДн, организаций-лицензиатов ФСТЭК России и ФСБ России. 6.6. К работе в ИСПДн допускаются только сотрудники, прошедшие первичный инструктаж по обеспечению безопасности в ИСПДн и показавшие твердые теоретические знания и практические навыки, о чём делается соответствующая запись в Журнале учёта допуска к работе в ИСПДн. 6.7. Администратор информационной безопасности должен иметь профильное образование (либо дипломы о повышении квалификации) в области защиты информации. Рекомендуется прохождение администратором специализированных курсов по администрированию средств защиты информации, используемых в ИСПДн. |
Похожие:
 |
Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных... |
|
Инструкция лица, ответственного за обеспечение безопасности персональных данных общие положения Настоящая Инструкция определяет обязанности должностного лица, ответственным за обеспечение безопасности обработки персональных данных... |
 |
Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |
|
Приказ о назначении ответственного за организацию обработки персональных данных проект приказа Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных... |
|
Приказ о назначении ответственного за организацию обработки персональных данных проект приказа Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных... |
|
Инструкция по работе ответственного за обеспечение безопасности персональных... Настоящая инструкция определяет задачи, функции, обязанности, права и ответственность лица, назначенного ответственным за обеспечение... |
|
Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных... |
|
Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе... В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации... |
|
Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных... |
|
Инструкция пользователей и технология обработки персональных данных... Настоящая Инструкция определяет требования, права, обязанности, а так же порядок реализации задач и функций пользователей информационных... |
|
Приказ о назначении ответственного за обеспечение безопасности персональных данных 10 3 Испдн класса K1 в соответствии с Порядком проведения классификации информационных систем персональных данных утвержденного приказом... |
|
Приказ о назначении ответственного за пожарную безопасность в организации... |
|
Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской... |
|
Положение по организации и проведению работ по обеспечению безопасности... Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных... |
|
Должностная инструкция лица, ответственного за организацию обработки... «Об утверждении перечня мер, направленных па обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных... |
|
Должностная инструкция ответственного за организацию обработки персональных... Федеральным законом от 27. 07. 2006 №152-фз «О персональных данных», нормативными правовыми актами Губернатора Рязанской области... |