Приказ о создании комиссии для определения уровня защищенности

от 29.12.17г. № 73 ПРИКАЗ Финансового управления города Киселевска «Об утверждении Положения об учетной политике Финансового управления города Киселевска на 2018 год»

от 21.12.17г. № 71 ПРИКАЗ Финансового управления города Киселевска «О порядке осуществления Финансовым управлением города Киселевска полномочий администратора доходов бюджета и источников финансирования дефицита бюджета Киселевского городского округа»

от 14.12.17г. № 69 ПРИКАЗ Финансового управления города Киселевска «О внесении изменений в приказ Финансового управления города Киселевска от 14.11.2016 № 71 «Об установлении перечня и кодов целевых статей расходов бюджета Киселевского городского округа»»

от 13.12.17г. № 68 ПРИКАЗ Финансового управления города Киселевска «О внесении изменений в приказ Финансового управления города Киселевска от 09.11.17 № 53 «Об установлении перечня и кодов целевых статей расходов бюджета Киселевского городского округа»»

от 29.11.17г. № 64 ПРИКАЗ Финансового управления города Киселевска «Об утверждении организационно-распорядительных документов по защите персональных данных»

от 29.11.17г. № 63 ПРИКАЗ Финансового управления города Киселевска «О назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных»

от 29.11.17г. № 62 ПРИКАЗ Финансового управления города Киселевска «О создании комиссии по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных»

от 23.11.17г. № 60 ПРИКАЗ Финансового управления города Киселевска «Об утверждении Порядка уведомления представителя нанимателя о фактах обращения в целях склонения государственного гражданского служащего Кемеровской области, замещающего должность государственной гражданской службы Кемеровской области в Финансовом управлении города Киселевска, к совершению коррупционных правонарушений»

от 09.11.17г. № 53 ПРИКАЗ Финансового управления города Киселевска «Об установлении перечня и кодов целевых статей расходов бюджета Киселевского городского округа»

от 07.11.17г. № 52 ПРИКАЗ Финансового управления города Киселевска «О проведении инвентаризации»

от 30.08.17г. № 38 ПРИКАЗ Финансового управления города Киселевска «Об утверждении Правил внутреннего трудового распорядка работников Финансового управления города Киселевска, не являющихся государственными гражданскими служащими»

от 30.08.17г. № 37 ПРИКАЗ Финансового управления города Киселевска «Об утверждении Служебного распорядка Финансового управления города Киселевска»

от 28.08.17г. № 35 ПРИКАЗ Финансового управления города Киселевска «Об изменении режима работы работников Финансового управления города Киселевска»

от 29.06.17г. № 30 ПРИКАЗ Финансового управления города Киселевска «О внесении изменений в приказ Финансового управления города Киселевска от 14.11.2016 № 71 «Об установлении перечня и кодов целевых статей расходов бюджета Киселевского городского округа»»

от 06.06.17г. № 26 ПРИКАЗ Финансового управления города Киселевска «О внесении изменений в Положения об отделах и должностные регламенты»

от 29.05.17г. № 24 ПРИКАЗ Финансового управления города Киселевска «О внесении изменений в приказ от 20.05.2016 № 41 Финансового управления города Киселевска»

от 27.04.17г. № 18 ПРИКАЗ Финансового управления города Киселевска «О внесении изменений в перечень и коды главных администраторов доходов бюджета Киселевского городского округа»

от 07.04.17г. № 14 ПРИКАЗ Финансового управления города Киселевска «О внесении изменений в перечень и коды главных администраторов доходов бюджета Киселевского городского округа»

от 04.04.17г. № 13 ПРИКАЗ Финансового управления города Киселевска «О внесении изменений в приказ Финансового управления города Киселевска от 12.01.17 № 2 «Об осуществлении контроля по части 5 статьи 99 Закона № 44-ФЗ»»

от 24.03.17г. № 10 ПРИКАЗ Финансового управления города Киселевска «О проведении внутреннего контроля финансово-хозяйственной деятельности»

Защита персональных данных — Услуги

Оказание услуг по подготовке организации к проверке Роскомнадзора по персональным данным.

Аудит текущего положения дел в Вашей компании на основании заполненного Вами опросного листа (перечень обрабатываемых ПДн, кол-во ИСПДн, число сотрудников обрабатывающих ПДн и т.д.). Скачать опросный лист

Какие работы мы выполняем:

1) Проверяем актуальность поданного уведомления.

2) Готовим политику и рекомендации по размещению на сайте: общедоступной политики и текста согласия для формы онлайн заявки.

3) Разработка приказов на ведения деятельности по обработке ПДн (приказ о допуске персонала, назначения ответственного и т.д.)

4) Разрабатываем приказ о создание комиссии по определению уровней защищенности (УЗ) для информационных систем персональных данных (ИСПДн). Заполняем акты по каждой ИСПДн с указанием уровня защищенности.

5) Разрабатываем положения, регламенты, инструкции.

6) Разрабатываем форму письменного согласия субъектов персональных данных (сотрудников) на обработку его персональных данных.

7) Проверка согласия субъектов персональных данных на обработку его персональных данных (в тексте договора на оказания услуг).

9) Вводим необходимые формы журналов.

10) Разрабатываем типовые формы: ответа Субъекту персональных данных на его запросы.

11) Общие консультации и рекомендации по ведению деятельности по обработке ПДн.

О назначении комиссии для проведения классификации автоматизированной системы и определения уровня защищенности персональных данных

39-р от 20.11.2013

АДМИНИСТРАЦИЯ ЧЕРНАВСКОГО СЕЛЬСОВЕТА
ИНЖАВИНСКОГО РАЙОНА
ТАМБОВСКОЙ ОБЛАСТИ

Р А С П О Р Я Ж Е Н И Е

20. 11.2013 г. с.Чернавка № 39 -р

О назначении комиссии для проведения классификации автоматизированной системы и определения уровня защищенности персональных данных

В соответствии с требованиями нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденного приказом Гостехкомиссии России от 30.08.2002 № 282, руководящего документа, утвержденного решением председателя Гостехкомиссии России от 30.03.1992, руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденного решением председателя Гостехкомиссии России от 30.03.1992, Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:

1. Создать комиссию для проведения классификации автоматизированных систем и определения уровня защищенности персональных данных Администрации Чернавского сельсовета Инжавинского района Тамбовской области в составе:
Председатель комиссии:
Заместитель главы администрации сельсовета Дерябина В.Б.
Члены комиссии: специалист администрации сельсовета Полянская Т.Н.
главный бухгалтер администрации сельсовета Дятлова О.А..
2. Комиссии определить состав технических средств и систем, используемых для обработки информации, содержащей сведения конфиденциального характера.
3. Комиссии провести в срок до 22.11. 2013 г. классификацию автоматизированных систем Администрации района, обрабатывающей информацию конфиденциального характера.
4. Комиссии провести в срок до 22.11. 2013 г. определение уровня защищенности персональных данных в Администрации района.
5. Результаты оформить соответствующими актами.
6. Контроль за исполнением настоящего распоряжения возложить на заместителя главы администрации сельсовета В.Б.Дерябину.

Акт классификации ИСПДн

Акт классификации ИСПДн, как правило, является конфиденциальным документом, и должен иметь гриф конфиденциальности («Конфиденциально», «ДСП», «Коммерческая тайна») и учетный номер.

Для проведения классификации на предприятии должна быть создана комиссия. В состав комиссии обязательно должен входить ответственный за защиту персональных данных. Комиссия должна быть назначена приказом руководителя и осуществлять свою деятельность на основании Положения о комиссии по классификации. По результатам классификации должен быть оформлен акт. Акт классификации ИСПДн должен утверждаться председателем комиссии и подписываться всеми членами комиссии.

Как составить акт классификации ИСПДн

Акт классификации составляется для каждой выявленной ИСПДн. На основании полученных данных каждой ИСПДн определяется необходимый уровень защищенности персональных данных. Это нужно для того, чтобы установить требования для обеспечения защиты информационной системы персональных данных. Определение уровня защищенности персональных данных проводится в соответствии с Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

В акте указывается:

• обрабатываемые в системе персональные данные;
• объем обрабатываемых персональных данных;
• тип актуальных угроз для ИСПДн;
• структура информационной системы;
• наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена;
• режим обработки персональных данных в системе;
• разграничение прав доступа пользователей;
• местонахождение ИСПДн;
• уровень защищенности ПДн.

В акт классификации ИСПДн могут входить системы, в которых хранятся такие данные:

• специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
• биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
• общедоступные персональные данные – сведения, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Довольно редко встречаются системы, в которых обрабатываются персональные данные 3 категории. Это связано с тем, что для реальных задач нужны не только данные идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате).

Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные 2 категории. Например, системы расчета заработной платы сотрудников.

Специальные категории ПДн, как правило, встречаются в учреждениях здравоохранения.

Объем обрабатываемых ПДн определяет количество субъектов, персональные данные которых обрабатываются в системе. Применяется следующая градация:

• более чем 100 000 субъектов ПДн;
• менее чем 100 000 субъектов ПДн.

Виды угроз безопасности персональных данных

Тип актуальных угроз для ИСПДн:

• угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
• угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
• угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

По типу информационные системы персональных данных, описываемые в акте классификации ИСПДн, делятся на типовые и специальные. Типовые ИСПДн – информационные системы, в которых требуется обеспечить только конфиденциальность ПДн. Специальные ИСПДн – информационные системы, в которых, кроме конфиденциальности, необходимо обеспечить еще хотя бы одну характеристику безопасности персональных данных (целостность, доступность).

Кроме того, к специальным системам относятся все ИСПДн, обрабатывающие данные о здоровье субъектов, и ИСПДн, в которых предусмотрено принятие решений порождающих для субъекта юридические последствия на основании автоматизированной обработки.

Большинство существующих ИСПДн – специальные. Это связано с тем, что кроме конфиденциальности также важно, чтобы ПДн были всегда доступны для обработки, целостны и достоверны. Для всех специальных систем необходимо разработать «Частную модель актуальных угроз».

Классификация информационных системы персональных данных по структуре:

• Автономные. Представляет собой одно автоматизированное рабочее место (компьютер).
• Локальные. Автоматизированные рабочие места (АРМ), объединенные в локальную сетью.
• Распределенные. Автоматизированные рабочие места или локальные сети, связанные между собой при помощи технологий удаленного доступа.

По режиму обработки персональных данных в системе ИСПДн делятся на однопользовательские и многопользовательские. Однопользовательские системы – большая редкость. Как правило, даже за одним автономным рабочим местом работают минимум два человека (на случай отпусков и болезней).

Классификация многопользовательских ИСПДн делятся на:

• Без разграничения прав доступа. В таких системах все пользователи имеют доступ ко всей информации.
• С разграничением прав доступа. Каждый пользователь имеет доступ к строго определенной части информации в системе.

По месту нахождения ИСПДн делятся на:

• Системы, которые полностью находятся в пределах РФ;
• Системы которые частично или целиком находятся за пределами РФ.

На этой странице вы можете заполнить шаблон акта классификации ИСПДн и скачать готовый документ в формате Word или PDF.

Пакет организационно-распорядительных документов по защите персональных данных

уже сделано для вас

готовые пакеты документов — 3900 руб.

Универсальный пакет

Государственные органы, бюджет

Организации ЖКХ

Облачные системы

Нотариальные конторы

Интернет-магазины

Финансовые организации

Коммерческие организации

Все готовые пакеты содержат обезличенные документы, созданные для реальных заказчиков.

Соответствие требованиям нормативных актов:

1. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

2. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

3. Постановление от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

4. Приказ ФСТЭК №21 от 18 февраля 2013 года «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

5. Приказ ФСТЭК №17 от 11.02.2013 года «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

6. Постановление Правительства от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О Персональных данных»;

7. Постановление Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации».

Список документов:

1. Приказ о создании комиссии.

2. Приказ об организации работ по защите персональных данных.

3. План мероприятий по обеспечению защиты персональных данных.

4. Акт обследования информационной системы.

5. Приказ об утверждении контролируемых зон.

6. Перечень ИСПДн.

7. Перечень защищаемых информационных ресурсов.

8. Приказ об утверждении документа «Перечень персональных данных».

9. Акт определения уровня защищенности ИСПДн

10. Требования по обеспечению безопасности ПДн.

11. Заключение об оценке вреда субъектам ПДн.

12. Модель угроз.

13. Положение о защите ПДн общее.

14. Положение о защите ПДн работников.

15. Положение о защите ПДн граждан.

16. Приказ о списке лиц, допущенных к ПДн.

17. Приказы о назначении ответственных.

18. Инструкция ответственного за обеспечение безопасности

19. Инструкция администратора защиты.

20. Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств.

21. Инструкция по организации антивирусной защиты в информационной системе персональных данных.

22. Инструкции по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационной системы персональных данных

23. Инструкция по организации парольной защиты.

24. Инструкция по созданию копий.

25. Инструкция пользователя.

26. Регламент использования Интернет.

27. Приказ об обеспечении безопасности (Положение об организации и проведении работ по обеспечению безопасности персональных данных).

28. Матрица доступа.

29. Приказ о принятии документов.

30. Приказ об учете обращений.

31. Приказ об утверждении форм актов уничтожения бумажных носителей с ПД.

32. Приказ об утверждении мест хранения материальных носителей.

33. Приказ о списке должностей, допущенных до работы с ПД.

34. Положение о порядке обработки ПДн без использования средств автоматизации.

35. Отзыв согласия.

36. Приказ об утверждении типовой формы разъяснения.

37. Положение по работе с инцидентами ИБ.

38. Уведомление в РКН об обработке ПДн

Разработка включает в себя:

— аудит имеющейся документации;

— получение данных об информационных системах;

— пояснения — какие документы и зачем нужны, на что обратить внимание и что делать;

— рекомендации по технической защите;

— подготовку необходимых документов;

— комментарии по дальнейшим действиям;

— помощь в подаче уведомления в Роскомнадзор;

— ответы на вопросы, пока документы не будут приняты.

— актуализация документов по запросу в течение следующих 3-х лет;

— помощь при прохождении проверки Роскомнадзора (пишу ответные письма, пояснительные записки, консультирую, какие копии куда и зачем прикладывать) — по запросу в течение года бесплатно.

Готовый пакет шаблонов документов

Получаете набор документов, инструкцию, и подправляете под свою организацию.

разработка пакета документов дистанционно

Приезжаем или созваниваемся для получения информации. Делаем, высылаем.

Периодический аудит и актуализация документов

Законодательство в сфере персональных данных время от времени меняется, принимаются новые регламентирующие документы ФСТЭК, поправки и пояснения к существующим. Также постоянно накапливается опыт проверок Роскомнадзора, запросы которого к операторам в различных регионах пока еще различаются, и требуют различных подтверждающих документов.

И, конечно же, внутри самой организации происходят кадровые перестановки, появляются новые работники, добавляются информационные системы или меняется оборудование.

В соответствии с этим для поддержания документов и ситуации с персональными данными в организации в актуальном состоянии, рекомендуется проводить периодический аудит хотя бы раз в год.

Аудит предполагает обследование вновь введенных в эксплуатацию информационных систем, актуализацию перечня персональных данных и корректировку базового набора мер обеспечения безопасности в зависимости от уровня защищенности введенной в эксплуатацию информационной системы и др.

Также актуализируются все приказы, проверяется исполнение инструкций, порядок получения ПД (берутся ли согласия), ведение журналов, осуществление периодических действий в соответствии с Планом мероприятий по защите ПД в организации .

В результате аудита разрабатываются недостающие документы, актуализируются имеющиеся в наличии, проводится инструктаж для новых сотрудников, если не был проведен. Если аудит проводится комиссией, то подписывается протокол заседания комиссии. Если аудит проводила привлеченная организация, то подписывается акт обследования и акт выполнения работ.

Модель угроз из шаблона документов. Что в ней?

В Модели угроз рассматривается, как реализованы в организации:

— требования к установленному уровню защищенности ИСПДн, предусмотренные Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» для каждой ИСПДн;

— базовый набор мер для установленного уровня защищенности ИСПДн, предусмотренный Приказом ФСТЭК №21 от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» для каждой ИСПДн.

Далее в Модели угроз в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при обработке в информационной системе персональных данных», утвержденной 14 февраля 2008 года для каждой ИСПДн определяется:

— степень исходной защищенности;

— перечень угроз (209 штук), которые берутся из Банка данных угроз безопасности информации ФСТЭК (http://bdu.fstec.ru/), которые потенциально могут иметь отношение к данной организации.

Для каждой ИСПДн определяется вероятная частота реализации каждой угрозы, показатель опасности угрозы, проводится анализ реализованных мер защиты и, в итоге, выводится актуальность угроз.

ПОМОЩЬ ПРИ ПРОХОЖДЕНИИ ПРОВЕРКИ РОСКОМНАДЗОРА

Вы присылаете скан письма РКН и сканы имеющейся у вас сейчас организационно-распорядительной документации (ОРД) по защите персональных данных (ПДн).

Мы делаем аудит, рассказываем ситуацию, в чем могут быть замечания, делаем недостающие документы.

По каждому пункту запроса РКН даем комментарии и рассказываем, копии каких документов нужно приложить по каждому пункту.

Пишем пояснительную записку для РКН по ИСПДн (информационным системам персональных данных), с описанием выполнения требований законодательства и применяемых мерах, со ссылками на ОРД.

Говорим, что нужно срочно-срочно исправить, чтобы избежать или уменьшить штраф, если ошибки уже были допущены в прошлом, и совсем все плохо. Или что лучше совсем скрыть и как правильно это сделать.

Чаще всего проблемы при проверках возникают от незнания того, как все должно быть и для чего, и где искать ответ на тот или иной вопрос проверяющего. Это когда вся ОРД в порядке, но никто ее не читал и не исполнял. Тут как раз нужно быстро изучить тему и разобраться в самом основном, что нужно знать, чтобы понимать, где, что и зачем, и что говорить проверяющему.

Наша пояснительная записка сильно упрощает дело и вам, и РКН, и в ней можно описать моменты законодательства, запрошенные проверяющим, которые не имеют к вам отношения, или не имеют больше нигде подтверждения, но ответ по ним дать нужно.

В общем, когда вы ждете проверку и не знаете, что и как у вас с ПДн, сменился человек, который был в теме, или давно не актуализировали документы и не собирали согласия, то наша помощь придется весьма кстати.

Делаем быстро, за 1-2 дня. Стоимость в зависимости от объема работы, от 10 000 руб.

Приказ о создании комиссии для определения уровня защищенности

Данной статьей хотелось бы как-то помочь медицинским организациям справиться с выполнением первичных мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах.

Итак, что же необходимо сделать в первую очередь. Если кратко, то привести свои системы в упорядоченный вид, то есть определиться с тем, что у нас имеется и тщательно задокументировать это.

Роскомнадзор, осуществляя проверки, в первую очередь контролирует именно исполнение положений закона с юридической точки зрения, а не техническую часть. Поэтому отсутствие хотя бы одного организационно-распорядительного документа, необходимого по закону, будет означать для них нарушение. Много ли нужно задокументировать?

1. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок выполнения организационных и технических мер по защите персональных данный и сведений обрабатываемых в информационных системах МО рекомендуется включить следующие документы:

— Приказ об организации работ по защите ПДн на предприятии (в том числе, при необходимости, об организации криптографической защиты информации).
— Приказ о назначении комиссии по определению требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.
— Акты определения требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.-
— Приказ о создании структурного подразделения, ответственного за обеспечение безопасности ПДн.
— Приказ об утверждении перечня лиц, допущенных к обработке ПДн.
— Приказ о назначении ответственного пользователя СКЗИ.
— Приказ об утверждении перечня лиц допущенных к работе с СКЗИ.
— Приказ о назначении ответственных за выявление инцидентов и реагирования на них.
— Приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных.
— Приказ о назначении комиссии по уничтожению ключевых документов.
— Модель угроз безопасности информации.
— Положение по организации и проведению работ по обеспечению безопасности информации, включающее в том числе:

• перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
• правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
• правила рассмотрения запросов субъектов персональных данных или их представителей;
• правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора
• правила работы с обезличенными данными;
• перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн.

— Положение об организации режима обеспечения безопасности помещений.
— Разрешительная система доступа (матрица доступа).

2. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок учета, хранения и эксплуатации средств защиты информации (далее — СрЗИ) МО рекомендуется включить следующие документы:

— Порядок оформления допуска (доступа) к обработке ПДн.
— Форма согласия на обработку персональных данных.
— Форма заявки на доступ к обработке ПДн.
— Форма обязательства служащего прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
— Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
— Форма акта об уничтожении ключевых документов.
— Перечень событий безопасности, состав и содержание информации о событиях безопасности, подлежащих регистрации и сроки их хранения.
— Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных (отдельно, либо в составе «Положение об организации режима обеспечения безопасности помещений»).
— Инструкции персоналу:

• инструкция должностного лица (администратора безопасности), ответственного за безопасность информации;
• инструкция пользователя ИСПДн;
• инструкция по резервному копированию данных, технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры;
• инструкция по резервному копированию ПДн на резервные машинные носители
• инструкция по уничтожению (стиранию) или обезличиванию конфиденциальной информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации;
• инструкция об организации учета средств защиты ПДн и эксплуатационной и технической документации к ним;
• инструкция по организации парольной защиты;
• инструкция ответственного за выявление инцидентов и реагирования на них;
• инструкция (регламент) по реализации удаленного доступа через внешние информационные сети;
• инструкция об обмене ПД со сторонними организациями;
• инструкция по размещению устройств вывода (отображения) информации;
• инструкция о порядке хранения и уничтожения носителей ПДн;
• инструкция ответственного за использование СКЗИ;
• инструкция пользователя СКЗИ;
• инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ;
• инструкция по уничтожению носителей ключевых документов;

— Регламент использования в информационной системе технологий беспроводного доступа.
— Регламент использования в информационной системе мобильных технических средств.
— Журналы учета, хранения и эксплуатации ИСПДн:

• журнал учета магнитных, оптических и иных носителей конфиденциальной информации;
• журнал обращений пользователей к ПДн (электронная форма);
• журнал поэкземплярного учета используемых криптосредств, эксплуатационной и технической документации к ним;
• журнал учета и выдачи носителей с ключевой информацией;
• журнал учета пользователей криптосредств;
• лицевые счета на пользователей криптосредств;
• журнал событий безопасности (возможно в электронном виде или встроенными возможностями СрЗИ);
• журнал регистрации событий в виртуальной инфраструктуре (возможно в электронном виде или встроенными возможностями СрЗИ);
• журнал учета нарушений, ликвидации их причин и последствий;
• журнал учета хранилищ, ключей от хранилищ ключевых документов и технической документации;
• журнал проверок исправности сигнализации;
• журнал службы охраны.

— Перечень разрешенного к использованию ПО.
— Технический паспорт ИСПДн.
— Эксплуатационная документация на СКЗИ.
— Лицензии и сертификаты соответствия требованиям по безопасности информации на СрЗИ (в том числе СКЗИ).
— Документы о поставке на СрЗИ (в том числе СКЗИ).
— Заключение о возможности эксплуатации СЗИ по результатам проведения проверки их готовности к использованию.
— Акты о вводе СКЗИ в эксплуатацию.
— Программа и методика испытаний.
— Оценка соответствия (аттестат соответствия) требованиям информационной безопасности.

При этом стоит помнить, что согласно

Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687)
… 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), примеч. например, врачи в нашем случае, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии). и

ТК РФ Статье 22. Основные права и обязанности работодателя
… Работодатель обязан:
… знакомить работников под роспись с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью;
В итоге такая бумажная работа, а точнее её отсутствие частично или полностью, может привести к проблемам с Роскомнадзором. Одним из самых ярких случаев является плановая выездная проверка в отношении Департамента здравоохранения Ивановской области 1 декабря 2011 года. По окончании проверки выданы 14 предписаний. О том, что отсутствовало и было нарушено подробнее по ссылке 37.rkn.gov.ru/news/news31219.htm

Что нужно сделать в медицинских организациях (далее — МО) для обеспечения безопасности наших персональных данных?

Руководителям МО приказом по МО определить (назначить) должностное лицо, ответственное за обеспечение безопасности персональных данных (ПДн), обрабатываемых в информационных системах МО.

Кто им будет? Точного ответа нет, но если в МО отсутствует служба информационной безопасности, ответственным, возможно, будет назначен системный администратор. Далее довольно сухой и сложночитаемый текст, но если назначили вас, наберитесь терпения.

Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, нужно определить:

– перечень и состав подлежащей защите информации ограниченного доступа, не составляющей государственную тайну, обрабатываемой в информационных системах МО, в том числе обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) на рабочих местах сотрудников МО;
– перечень информационных систем МО, в которых ведется обработка ПДн (далее – информационные системы персональных данных, ИСПДн);
– перечень государственных и/или муниципальных информационных систем МО, в которых ведется обработка иной информации (не персональные данные) ограниченного доступа, не составляющей государственную тайну – сведений конфиденциального характера (далее – государственные информационные системы, ГИС);
– границы контролируемых зон (в виде схем периметров охраняемых территорий и/или зданий и помещений) с описанием режимов (порядка и правил) доступа;
– данные о сетевой инфраструктуре МО (схемы связи, характеристики сетевого оборудования, параметры подключений к внешним сетям, в т.ч. общедоступным сетям провайдеров (операторов связи) и сети Интернет);
– состав программного обеспечения и программно-технических средств информационных систем МО, задействованных в обработке ПДн;
– перечень и типы актуальных угроз, потенциальных нарушителей безопасности ПДн, обрабатываемых в информационных системах МО, в соответствии с [1] и [2].

1. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, для повышения начального уровня защищенности объекта, определить (при необходимости) мероприятия по модернизации сетевой структуры и/или внесению изменений в технологии и порядок обработки и доступа к подлежащей защите информации, обрабатываемой в информационных системах МО.
2. Руководителям МО приказом по МО определить (назначить) комиссию по определению требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО и по классификации государственных и муниципальных информационных систем. Мероприятия по определению требуемых уровней защищенности ПДн, обрабатываемых в информационных системах МО и классификации государственных и муниципальных информационных систем, в соответствии с [3] и [4].
3. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, определить базовый набор мер по обеспечению в информационных системах МО требуемых уровней защищенности, в соответствии с [4] и [5].
4. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, разработать план мероприятий по реализации базовых мер по защите информации и проведению работ по созданию системы защиты ПДн (далее – план мероприятий), в соответствии с [4] и [5], включающий в т.ч. расчет-оценку затрат на реализацию мероприятий.
5. Сотрудникам, ответственным безопасности ПДн в МО, на основании плана мероприятий организовать подготовку технического задания на создание системы защиты ПДн МО.
6. До начала работ по созданию системы защиты информации организовать и провести следующие мероприятия:
— определить и утвердить приказом по МО перечень лиц, допущенных к обработке ПДн в МО;
— определить правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
— определить правила рассмотрения запросов субъектов персональных данных или их представителей;
— определить правила работы с обезличенными данными;
— утвердить перечень должностей работников МО, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;
— провести мероприятия по учету, хранению и организации эксплуатации средств криптографической защиты информации (СКЗИ). Прим. Данные мероприятия проводятся в МО, имеющих программные и/или программно–технические СКЗИ.
7. В целях достижения результатов, при выполнении работ первичных мероприятий по обеспечению безопасности ПДн при их обработке в информационных системах МО, допускается привлечение на договорной основе юридических лиц, имеющих соответствующие лицензии на осуществление деятельности по конкретным видам работ в соответствии с Федеральный законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности».

1. Техническое задание на создание системы защиты ПДн (СЗ ПДн) должно содержать требования к следующим мероприятиям по созданию СЗ ПДн:
– формирование требований к СЗ ПДн, обрабатываемых в информационных системах ПДн;
– разработка (проектирование) СЗ ПДн;
– внедрение СЗ ПДн;
– оценка эффективности (аттестация) принимаемых мер по защите ПДн и ввод ее в действие;
– обеспечение защиты информации в ходе эксплуатации СЗ ПДн;
– обеспечение защиты информации при выводе из эксплуатации СЗ ПДн или после принятия решения об окончании обработки информации.
2. Рекомендации по формированию требований к СЗ ПДн.
2.1. Техническое задание на создание СЗ ПДн должно отображать необходимый состав требований, сформированный с учетом [6] и [7] и в том числе:
– определение требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО (далее — классификация информационной системы);
– определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
– определение требований к СЗ ПДн.
3. Рекомендации по разработке (проектированию) СЗ ПДн.
3.1. При проектировании СЗ ПДн, должны быть выполнены следующие мероприятия:
– определены типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
– определены методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
– выбраны меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;
– определены виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
– определена структура СЗ ПДн, включая состав (количество) и места размещения ее элементов;
– осуществлен выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также уровня защищенности информационной системы;
– определены параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
– определены меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
3.2. Результаты проектирования СЗ ПДн должны отображаться в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на СЗ ПДн, разрабатываемой с учетом [8].
Проектная документация должна содержать в том числе:
– анализ процесса обработки информации в проектируемой системе;
– описания информационных потоков и сетевой структуры объекта;
– анализ информационных ресурсов, требующих защиты. Перечни защищаемой информации;
– модель угроз информационной безопасности;
– классификация проектируемой системы по требованиям безопасности информации
– перечень требований по информационной безопасности для объектов защиты проектируемой системы
– описание технических решений по реализации подсистем информационной безопасности (подсистему защиты от НСД, подсистему антивирусной защиты, подсистему криптографической защиты, подсистему межсетевого экранирования, подсистему анализа защищенности, подсистему резервного копирования, подсистему обнаружения вторжений);
– сводный перечень средств защиты информации
– комплекс организационных мероприятий, с указанием перечня необходимой организационно-р
аспорядительной документации (ОРД);
– комплект шаблонов ОРД.
3.3. При проектировании СЗ ПДн должна быть разработана эксплуатационная документация на систему защиты информации информационной системы разрабатывается с учетом [7], [8] и [9] и должна, в том числе, содержать описание:
– структуры системы защиты информации информационной системы;
– состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
– правил эксплуатации системы защиты информации информационной системы.
4. Рекомендации по внедрению СЗ ПДн.
4.1. Внедрение СЗ ПДн рекомендуется осуществлять в следующем порядке:
– установка и настройка средств защиты информации СЗ ПДн;
– разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации ходе ее эксплуатации СЗПДн (далее — ОРД);
– внедрение организационных мер защиты информации;
– проведение предварительных испытаний СЗ ПДн;
– проведение опытной эксплуатации СЗ ПДн;
– проведение анализа уязвимостей и принятие мер защиты информации по их устранению;
– проведение приемочных испытаний СЗ ПДн.
5. Рекомендации по проведению оценки соответствия (аттестации) ИСПДн и ввод ее в действие
5.1. Оценка соответствия (аттестация) ИСПДн должна проводиться в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе.
По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии ИСПДн требованиям о защите информации и оценка соответствия (аттестат соответствия) в случае положительных результатов аттестационных испытаний.
Повторная оценка соответствия (аттестация) ИСПДн должна осуществляться в случае окончания срока действия аттестата соответствия или повышения уровня защищенности ПДн, обрабатываемых в информационных системах МО. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании СЗ ПДн, должны проводиться дополнительные испытания в рамках действующей оценки соответствия (аттестата соответствия).
5.2. Ввод в действие ИСПДн должен осуществляться в соответствии с [9] и законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом оценки соответствия (аттестата соответствия).
6. Рекомендации по обеспечению защиты информации в ходе эксплуатации ИСПДн.
6.1 Обеспечение защиты информации в ходе эксплуатации ИСПДн должно осуществляться оператором в соответствии с эксплуатационной документацией на СЗ ПДн и организационно-распорядительными документами по защите информации и в том числе должно включать в себя:
– управление (администрирование) системой защиты информации информационной системы;
– выявление инцидентов и реагирование на них;
– управление конфигурацией аттестованной информационной системы и ее системы защиты информации;
– контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе.
7. Рекомендации по обеспечению защиты информации при выводе из ИСПДн эксплуатации мы или после принятия решения об окончании обработки информации
7.1. Обеспечение защиты информации при выводе из эксплуатации ИСПДн или после принятия решения об окончании обработки информации должно осуществляется оператором в соответствии с эксплуатационной документацией на СЗ ПДн и организационно-распорядительными документами по защите информации и в том числе включать в себя:
– архивирование информации, содержащейся в информационной системе;
– уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

Немного технической части

На данный момент лечебно-профилактическими учреждениями (ЛПУ) используется Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ). В каждом ЛПУ своя БД, она синхронизируется с общей БД, находящейся в ЦОД (МИАЦ). Все это происходит по защищенным с помощью ПАК ViPNet каналам. ПАК ViPNet были разосланы по всей РФ для организации подключения к этой системе.

Многие подробности можно найти на сайте portal.egisz.rosminzdrav.ru/materials

Подводя итоги «базовой информатизации», бывший директор ИТ-департамента министерства Роман Ивакин отмечал, что удалось обеспечить «достаточно высокий уровень развития инфраструктуры».
«Что касается подключения ЛПУ к интернету, то, по нашим данным, эта задача выполнена на 100% на уровне юридических лиц. Частично неохваченными остались, может быть, их локальные подразделения, например ФАПы (фельдшерско-акушерские пункты). Но не надо забывать о том, что таких объектов более 40 тыс., а работы по подключению фактически начались только в июне 2012 года. Для сравнения: на подключение 52 тыс. школ к сети ушло около 1,5 лет».
Однако, даже сейчас привести информационные системы всех подведомственных учреждений и тем более систему защиты информации в единообразный вид удалось не всем. В лечебных учреждениях всё ещё может встретиться зоопарк медицинских систем, включая самописное ПО. Требования к технической части во многом зависят от того, какой уровень защищенности ПДн определен для конкретной ИСПДн. Подробнее о системах обработки персональных данных специальной категории (сведения о состоянии здоровья), биометрических ПДн, обезличивании, получения согласия на обработку и других особенностях мы расскажем в одной из следующих статей нашего блога.