ВВЕДЕНИЕ
В настоящее время, на территории Российской Федерации осуществляется государственное регулирование в области обеспечения безопасности персональных данных (далее – ПДн). Правовое регулирование вопросов обработки ПДн осуществляется в соответствии с Конституцией Российской Федерации и международными договорами Российской Федерации, на основании вступившего в силу с 2007 года Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятых во исполнение его положений, нормативно-правовых актов и методических документов.
В силу требований указанного Федерального закона «О персональных данных» все информационные системы персональных данных (далее – ИСПДн), созданные до введения его в действие, должны быть приведены в соответствие установленным требованиям не позднее 1 января 2010 года.
Настоящий документ представляет собой методические рекомендации, разъясняющие руководителям учреждений Минздравсоцразвития, в которых эксплуатируются ИСПДн, последовательность действий для приведения ИСПДн в соответствие с законодательством.
Цели методических рекомендаций:
описание единого подхода к обеспечению безопасности персональных данных и приведению ИСПДн учреждений Минздравсоцразвития в соответствие c ФЗ-152 «О персональных данных»;
предоставление руководителям учреждений Минздравсоцразвития типовых решений по организации защиты ИСПДн;
составление для учреждений программы работ по приведению ИСПДн в соответствие с ФЗ-152 «О персональных данных»;
планирование проведения первоочередных мероприятий по защите ПД в сжатые сроки – до 1 января 2010 г.;
предоставление инструментов для снижения и оптимизации финансовых и трудовых затрат при приведении учреждений в соответствие с требованиями ФЗ-152 «О персональных данных».
Методические рекомендации содержат набор типовых шаблонов организационно-распорядительных документов, а также детальные инструкции по их заполнению.
Данные Методические рекомендации разработаны на основании Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» с учетом действующих нормативных документов ФСТЭК и ФСБ России по защите информации.
ОСНОВНЫЕ ОБЯЗАННОСТИ УЧРЕЖДЕНИЙ ЗДРАВООХРАНЕНИЯ, ЭКСПЛУАТИРУЮЩИХ ИСПДН
Все учреждения и организации системы здравоохранения, социальной сферы, труда и занятости (далее – Учреждения) обязаны обеспечивать защиту персональных данных во внедряемых информационных системах с момента их ввода в эксплуатацию.
В отношении действующих информационных систем, обрабатывающих персональные данные, Учреждения обязаны осуществить ряд мероприятий:
Провести их классификацию с оформлением соответствующего акта;
До 01.01.2010 реализовать комплекс мер по защите персональных данных в соответствии с перечисленными правовыми актами и методическими документами;
Провести оценку соответствия ИСПДн требованиям безопасности в форме сертификации (аттестации) или декларирования соответствия.
ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ПРИВЕДЕНИЮ ИСПДН УЧРЕЖДЕНИЙ В СООТВЕТСТВИЕ С ФЗ-152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Каждое Учреждение, эксплуатирующее ИСПДн, должно выполнить до 1 января 2010 года следующие действия:
Создать комиссию по организации, проведению и контролю мероприятий по обеспечению безопасности ПДн, обрабатываемых в структурных подразделениях Учреждения, определить должностных лиц Учреждения, ответственных за организацию и осуществление мероприятий по обеспечению безопасности ПДн;
Проанализировать информационные потоки, циркулирующие в технических средствах, с целью определения материальных носителей и информационных ресурсов, содержащих ПДн сотрудников Учреждения и сторонних лиц;
Определить перечень технических средств, в которых осуществляется обработка ПДн;
Определить перечень ИСПДн, осуществляющих автоматизированную обработку ПДн. Разработать перечень ПДн, подлежащих защите;
Провести классификацию ИСПДн;
Разработать и утвердить список лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения служебных обязанностей;
Оформить журнал учета допуска к работе пользователей в ИСПДн с указанием логических имен пользователей, а так же перечня информационных ресурсов, к которым пользователи допущены;
Разработать модель угроз безопасности ПДн;
Разработать положение, определяющего организацию и порядок проведения работ по обеспечению безопасности персональных данных при их обработке в ИСПДн;
Оформить журнал учета средств защиты информации с указанием индексов, наименований, серийных номеров средств защиты информации, номеров специальных защитных знаков, номеров и сроков действия сертификатов на средства защиты, мест установки средств защиты информации;
Разработать инструкции по порядку резервирования и восстановления персональных данных;
Оформить журнал учета машинных носителей персональных данных с указанием типа, емкости, учетного номера, места установки (использования), даты установки носителей, ответственного должностного лица, сведений о списании носителя и уничтожения информации;
Настроить средства защиты информации от НСД в соответствии с методами и способами защиты информации в зависимости от класса ИСПДн, утвержденными приказом ФСТЭК России от 5 февраля 2010 г. №58;
Проведение оценки готовности используемых в ИСПДн средств защиты информации с составлением заключений о возможности их эксплуатации;
Оформить и утвердить программы и методики аттестационных испытаний ИСПДн. Оформить протоколы аттестационных испытаний, подтверждающих полученные при испытаниях результаты;
Оформить заключения по результатам аттестационных испытаний ИСПДн, содержащих результаты испытаний внедрённого комплекса организационных, технических и программных средств защиты со ссылками на соответствующие протоколы, а также вывод о возможности выдачи аттестата соответствия ИСПДн требованиям по безопасности информации.
Оформить аттестат соответствия на ИСПДн;
Разработать проект приказа об организации работ по обеспечению безопасности ПДн в учреждении.
|