КОМПЛЕКТ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ, ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ И ФОРМ УЧЕТНО-КОНТРОЛЬНЫХ ДОКУМЕНТОВ

КОМПЛЕКТ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ,
ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ И ФОРМ
УЧЕТНО-КОНТРОЛЬНЫХ ДОКУМЕНТОВ
Министерство здравоохранения Камчатского края
Всего листов ______
Содержание
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
Проект Приказа о назначении ответственного за обеспечение безопасности информации
ограниченного распространения (персональных данных) ..................................................... 4
Проект Приказа о назначении администратора безопасности МИС ..................................... 6
Проект Приказа о создании комиссии по классификации МИС ............................................. 7
Проект Правил рассмотрения запросов субъектов персональных данных или их
представителей ........................................................................................................................ 8
Проект Правил осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных .................................. 32
Проект Приказ о проведении внутренней проверки ............................................................... 38
Проект Плана внутренних проверок режима защиты персональных данных ....................... 39
Проект отчета о результатах проведения внутренней проверки ........................................... 40
Проект Приказа об утверждении списка лиц, которым необходим доступ к персональным
данным, обрабатываемым в информационных системах персональных данных, для
выполнения служебных (трудовых) обязанностей ................................................................. 42
Проект Приказа о выделении помещения (помещений), в котором производится
обработка ограниченного распространения (персональных данных) .................................. 43
Проект Положения об организации режима безопасности помещений, где
осуществляется работа с персональными данными .............................................................. 44
Проект Порядка резервного копирования информации ......................................................... 45
Проект Положения о порядке организации и проведения работ по защите информации
ограниченного распространения (персональных данных) при их обработке в МИС
«Наименование ЛПУ» .............................................................................................................. 47
Проект Положения о защите персональных данных .............................................................. 55
Проект Положения об организации обработки персональных данных ................................. 62
Проект разрешительной системы доступа (матрица доступа пользователей к
информационным ресурсам, программным и техническим средствам МИС
«Наименование ЛПУ») ............................................................................................................ 70
Проект Положения о порядке хранения и уничтожения носителей персональных данных .
................................................................................................................................................... 71
Проект Положения о разграничении прав доступа к обрабатываемым персональным
данным ...................................................................................................................................... 73
Проект Плана мероприятий по обеспечению защиты персональных данных ...................... 74
Проект Журнала по учету применяемых средств защиты информации, эксплуатационной
и технической документации к ним .......................................................................................... 77
Проект Руководства пользователя МИС «Наименование ЛПУ»............................................ 78
Проект Руководства администратора безопасности МИС «Наименование ЛПУ» ................ 80
Проект Инструкции администратора МИС «Наименование ЛПУ» ......................................... 82
Проект Инструкции по антивирусной защите в МИС «Наименование ЛПУ»......................... 84
Проект Инструкции по парольной защите в МИС «Наименование ЛПУ».............................. 90
Проект Инструкции о порядке обращения с носителями конфиденциальной информации
................................................................................................................................................... 93
Проект Журнала учета машинных носителей информации ................................................... 96
Проект Журнала по учету мероприятий по контролю обеспечения защиты персональных
данных в МИС«Наименование ЛПУ» ...................................................................................... 97
Проект Приказа о ведении электронного журнала обращений пользователей
информационных систем персональных данных в «Наименование ЛПУ» ........................... 98
Проект Перечня сведений конфиденциального характера .................................................... 99
Проект Перечня персональных данных, подлежащих защите............................................... 101
2
32. Проект Правил работы с обрабатываемыми обезличенными персональными данными .... 103
33. Проект Перечня должностей, ответственных за проведение мероприятий по
обезличиванию персональных данных ................................................................................... 105
34. Типовые форма согласия на обработку персональных данных ............................................ 106
35. Типовая форма обязательства о неразглашении................................................................... 108
36. Типовая форма разъяснения субъекту персональных данных юридических последствий
отказа предоставить свои данные ........................................................................................... 109
37. Проект Памятки по обеспечению режима безопасности в помещении, в котором
осуществляется обработка персональных данных ................................................................ 110
38. Проект Инструкции по обработке персональных данных без использования средств
автоматизации .......................................................................................................................... 111
3
ПРИКАЗ № _______
(ПРОЕКТ)
г. ________
«_____» ___________201__ г.
О назначении ответственного за обеспечение безопасности
ограниченного распространения (персональных данных)
информации
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации», Трудовым кодексом РФ и другими нормативными
правовыми документами по вопросам использования и защиты информационных ресурсов,
содержащих персональные данные (ПДн),
ПРИКАЗЫВАЮ:
1.
Назначить ответственным за обработку и обеспечение безопасности
персональных
данных
в
информационных
системах
персональных
данных
______________________________________ (ФИО, должность).
2.
Осуществлять доступ лиц ответственных за обработку персональных данных
на основании Положения о разграничении прав доступа к обрабатываемым персональным
данным.
3.
Утвердить
пакет
организационно-распорядительной
документации,
регламентирующей вопросы обработки и защиты персональных данных в следующем
составе:
3.1.
Правила рассмотрения запросов субъектов персональных данных или их
представителей;
3.2.
Правила осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных;
3.3.
План внутренних проверок режима защиты персональных данных;
3.4.
Положение об организации режима безопасности помещений, где
осуществляется работа с персональными данными;
3.5.
Порядок резервного копирования информации;
3.6.
Положение о порядке организации и проведения работ по защите информации
ограниченного распространения (персональных данных) при их обработке в
МИС«Наименование ЛПУ»;
3.7.
Положение о защите персональных данных;
3.8.
Положение об организации обработки персональных данных;
3.9.
Положение о порядке хранения и уничтожения носителей персональных
данных;
3.10. Положения о разграничении прав доступа к обрабатываемым персональным
данным;
3.11. План мероприятий по обеспечению защиты персональных данных;
3.12. Форму Журнала по учету применяемых средств защиты информации,
эксплуатационной и технической докумен6тации к ним;
3.13. Руководство пользователя МИС«Наименование ЛПУ»;
3.14. Руководство администратора безопасности МИС«Наименование ЛПУ»;
3.15. Инструкцию администратора МИС«Наименование ЛПУ»;
3.16. Инструкцию по антивирусной защите в МИС«Наименование ЛПУ»;
4
3.17. Инструкцию по парольной защите в МИС«Наименование ЛПУ»;
3.18. Инструкцию о порядке обращения с носителями конфиденциальной
информации;
3.19. Форму Журнала учета машинных носителей информации;
3.20. Форму Журнала по учету мероприятий по контролю обеспечения защиты
персональных данных в МИС«Наименование ЛПУ»;
3.21. Форму Журнала учета обращений субъектов персональных данных и
выполнении их законных прав, при обработке персональных данных в информационной
системе персональных данных «Наименование ЛПУ»;
3.22. Перечень сведений конфиденциального характера;
3.23. Перечень персональных данных, подлежащих защите;
3.24. Правила работы с обрабатываемыми обезличенными персональными
данными;
3.25. Перечень должностей, ответственных за проведение мероприятий по
обезличиванию персональных данных;
3.26. Типовую форму согласия на обработку персональных данных;
3.27. Типовую форму обязательства о неразглашении;
3.28. Памятку по обеспечению режима безопасности в помещении, в котором
осуществляется обработка персональных данных;
3.29. Инструкцию по обработке персональных данных без использования средств
автоматизации.
4.
Ознакомить с утверждаемым пакетом организационно-распорядительной
документации, регламентирующей вопросы обработки и защиты персональных данных, всех
сотрудников «Наименование ЛПУ», допущенных к обработке персональных данных.
5.
Контроль
за
исполнением
настоящего
приказа
возложить
на____________________.
Главный врач
«Наименование ЛПУ»
(Подпись)
(ФИО)
5
ПРИКАЗ № _______
(ПРОЕКТ)
г. ________
«_____» ___________201__г.
О назначении администратора безопасности медицинской информационной
системы«Наименование ЛПУ»
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации», Трудовым кодексом РФ и другими нормативными
правовыми документами по вопросам использования и защиты информационных ресурсов,
содержащих персональные данные (ПДн),
ПРИКАЗЫВАЮ:
1. Назначить администратором безопасности медицинской информационной системы
(МИС)
в
«Наименование
ЛПУ»
(далее
ГБУЗ)
_________________________________________________.(должность)
2. Возложить на администратора безопасности МИС следующие функции:
– администрирование МИС;
– администрирование средств антивирусной защиты МИС;
– администрирование средств и систем защиты информации в МИС.
3. Утвердить руководство администратора безопасности.
9. Контроль за выполнением требований настоящего приказа возложить на
______________________________.
Главный врач
«Наименование ЛПУ»
(Подпись)
(ФИО)
6
ПРИКАЗ № _______
(ПРОЕКТ)
г. ________
«_____» __________201__ г.
О создании комиссии по классификации медицинской информационной
системы«Наименование ЛПУ»
В соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об
информации, информационных технологиях и о защите информации», Федеральным законом
от 27 июля 2006 года № 152-ФЗ «О персональных данных»,
ПРИКАЗЫВАЮ:
1. Утвердить Комиссию по классификации медицинской
«Наименование ЛПУ»(далее - МИС) в составе:
информационной
системы
Председателя комиссии:
(должность)
(ФИО)
(должность)
(ФИО)
(должность)
(ФИО)
(должность)
(ФИО)
Членов комиссии:
2.
В срок до __________________ Комиссии провести классификацию МИС с
оформлением акта классификации МИС.
3.
При проведении классификации МИС Комиссии руководствоваться:
 «Требованиями к защите персональных данных при их обработке в
информационных
системах персональных данных»,
утвержденными
постановлением Правительства Российской Федерации от 1 ноября 2012 г. №
1119.
 «Требованиями о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах»,
утвержденными приказом ФСТЭК России от 11февраля 2013 г. № 17.
4.
Контроль за выполнением настоящего приказа оставляю за собой.
Главный врач
«Наименование ЛПУ»
(Подпись)
(ФИО)
7
Утверждены приказом № _____от «___» ______ 201__ года
Правила рассмотрения запросов субъектов персональных данных или их
представителей
1.
Общие положения
Настоящие «Правила рассмотрения запросов субъектов персональных данных или
их представителей»(далее - Правила) регулирует отношения, возникающие при выполнении
«Наименование ЛПУ» (далее - ГБУЗ)обязательств согласно требованиям статей 14, 20 и 21
Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 года (далее
152-ФЗ).
Положения настоящих Правил распространяются на действия ГБУЗ при обращении
либо при получении запроса субъекта персональных данных (ПДн) или его законного
представителя, при обращении уполномоченного органа по защите прав субъектов ПДн. Эти
действия направлены на подтверждение наличия, ознакомление, уточнение, уничтожение
или отзыв согласия на обработку ПДн, а также на устранение нарушений законодательства,
допущенных при обработке ПДн.
2.
Термины и определения
Персональные данные (ПД) - любая информация, относящаяся к определенному
или определяемому на основании такой информации физическому лицу (субъекту ПДн), в
том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное,
социальное, имущественное положение, образование, профессия, доходы, другая
информация.
Автоматизированная обработка ПДн - обработка ПДн с помощью средств
вычислительной техники.
Блокирование ПДн - временное прекращение обработки ПДн (за исключением
случаев, если обработка необходима для уточнения ПДн).
Информационная система персональных данных (ИСПДн) - совокупность
содержащихся в базах данных ПДн и обеспечивающих их обработку информационных
технологий и технических средств.
Обработка ПДн - любое действие (операция) или совокупность действий (операций),
совершаемых с использованием средств автоматизации или без использования таких
средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Предоставление ПДн - действия, направленные на раскрытие ПДн определенному
лицу или определенному кругу лиц.
Представитель - лицо, которое наделено правом представлять интересы субъекта
ПДн в силу специального указания закона или лицо, представляющее субъекта ПДн,
действующее на основании поручения (доверенности или иного документа) удостоверенного
(удостоверенной) нотариально, или заверенного (заверенной) способами, приравненными к
нотариальному заверению согласно ст. 185 ГК РФ.
Распространение ПДн - действия, направленные на раскрытие ПДн
неопределенному кругу лиц.
8
Уничтожение ПДн - действия, в результате которых становится невозможным
восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых
уничтожаются материальные носители ПДн.
3. Прием запросов от субъектов ПДн или его законных представителей, а также
от уполномоченного органа, по защите прав субъектов ПДн
При получении запросов от субъектов ПДн или его законных представителей, а также
от уполномоченного органа, по защите прав субъектов ПДн, сотрудники ГБУЗ выполняют
следующие действия:
3.1. В случае поступления Запроса субъекта ПДн или его законного представителя
необходимо зарегистрировать запрос в «Журнале учета обращений граждан (субъектов ПДн)
по вопросам обработки ПДн» (Приложение 1 настоящих Правил).
При личном обращении субъекта ПДн в Центральный офис, в дополнительный или
кредитно-кассовый офис ГБУЗ сотрудник ГБУЗпринимает запрос, заполненный субъектом в
произвольной форме. После принятия запроса сотрудник ГБУЗ сверяет сведения в запросе с
предоставленными ему документами.
Необходимые сведения о субъекте ПДн, которые должны присутствовать в
подаваемом запросе:
 Фамилия, имя и отчество субъекта ПДн;
 Номер основного документа, удостоверяющего личность субъекта ПДн или его
законного представителя, сведения о дате выдачи указанного документа и выдавшем его
органе и собственноручную подпись субъекта ПДн или его законного представителя.
Запрос может содержать дополнительные сведения о субъекте ПДн.
В случае неправильной формы запроса или отсутствии документов, удостоверяющих
личность субъекта ПДн или его законного представителя, сотрудник может отказать в приеме
запроса и потребовать переделать запрос в соответствии с законом 152-ФЗ. При отказе
субъекта ПД или его законного представителя переделать запрос, сотрудник ГБУЗ делает об
этом запись в «Журнале учета обращений граждан (субъектов ПДн) по вопросам обработки
ПДн» (Приложение 1 настоящих Правил).
ПДн не подлежат разглашению (распространению). Прекращение доступа к такой
информации не освобождает работника от взятых им обязательств по неразглашению
конфиденциальной информации.
Если запрос оформлен в соответствии с требованиями законодательства он
принимается к обработке и передается уполномоченному лицу, в соответствии с разделом 5
настоящих Правил.
3.2. В случае поступления Запроса уполномоченного органа по защите прав
субъектов ПДн необходимо зарегистрировать запрос в «Журнале учета обращений граждан
(субъектов ПДн) по вопросам обработки ПДн» (Приложение 1 настоящих Правил).
Запрос принимается к обработке и передается уполномоченному лицу, в
соответствии с разделом 5 настоящих Правил.
4. Действия в ответ на запросы по ПД
4.1. В случае поступления Запроса субъекта ПДн или его законного представителя
по ПДн необходимо выполнить следующие действия, обобщение которых приведено в
«Сводной таблице действий в ответ запросы по ПДн» в Приложении 2:
4.1.1. При получении запроса на наличие ПДн необходимо в течение 30 дней с даты
получения запроса (согласно пункту 1 статьи 20 152-ФЗ) подтвердить обработку ПДн, в
случае ее осуществления. Если обработка ПДн субъекта не ведется, то в течение 30 дней с
даты получения запроса (согласно пункту 2 статьи 20 152-ФЗ) необходимо отправить
уведомление об отказе подтверждения обработки ПДн. Формы ответов на запросы на
наличие ПДн приведена в Приложении 3.
9
4.1.2. При получении запроса на ознакомление с ПДн необходимо в течение 30 дней
с даты получения запроса (согласно пункту 1 статьи 20 152-ФЗ) предоставить для
ознакомления ПДн, в случае осуществления обработки этих ПДн. Если обработка ПДн
субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно пункту 2
статьи 20 152-ФЗ) необходимо отправить уведомление об отказе предоставления
информации по ПДн. Формы ответов на запросы на ознакомление с ПДн приведена в
Приложении 3.
Субъект ПД или его законный представитель имеет право получения информации,
касающейся обработки его ПДн, в том числе содержащей:
 подтверждение факта обработки ПДн оператором;
 правовые основания и цели обработки ПДн;
 цели и применяемые оператором способы обработки ПДн;
 наименование и место нахождения оператора, сведения о лицах (за исключением
работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн
на основании договора с оператором или на основании федерального закона;
 обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник
их получения, если иной порядок представления таких данных не предусмотрен
федеральным законом;
 сроки обработки ПДн, в том числе сроки их хранения;
 информацию об осуществленной или о предполагаемой трансграничной передаче
данных;
 наименование или фамилию, имя, отчество и адрес лица, осуществляющего
обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому
лицу.
4.1.3. При получении запроса на уточнение ПДн необходимо внести в них
необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления
субъектом ПДн или его представителем сведений, подтверждающих, что ПДн, которые
относятся к соответствующему субъекту и обработку которых осуществляет ГБУЗ, являются
неполными, устаревшими, недостоверными, незаконно полученными или не являются
необходимыми для заявленной цели обработки (согласно пункту 3 статьи 20 152-ФЗ), и
отправить уведомление о внесенных изменениях. Если обработка ПДн субъекта не ведется
или не предоставлены сведения, подтверждающие, что ПДн, которые относятся к
соответствующему субъекту и обработку которых осуществляет ГБУЗ, являются неполными,
устаревшими, недостоверными, незаконно полученными или не являются необходимыми для
заявленной цели обработки, то необходимо отправить уведомление об отказе
осуществления изменения ПДн в срок, не превышающий 7 рабочих дней со дня поступления
запроса субъекта ПДн. Формы ответов на запросы на уточнение ПДн приведены в
Приложении 4.
4.1.4. При получении запроса субъекта ПДн или его представителя на уничтожение
ПДн необходимо их уничтожить в срок, не превышающий 7 рабочих дней со дня
представления субъектом ПДн или его представителем сведений, подтверждающих, что
такие ПДн являются незаконно полученными или не являются необходимыми для заявленной
цели обработки (согласно пункту 3 статьи 20 152-ФЗ) и отправить уведомление об
уничтожении. Если обработка ПДн субъекта не ведется или не были предоставлены
сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и
обработку которых осуществляет ГБУЗ, являются незаконно полученными или не являются
необходимыми для заявленной цели обработки, а также в силу необходимости обработки
ПДн по требованиям иных законодательных актов, то необходимо в течение 7 рабочих дней с
10
даты получения запроса отправить уведомление об отказе уничтожения ПДн. Формы ответов
на запросы на уничтожение ПДн приведены в Приложении 5.
4.1.5. При получении запроса на отзыв согласия на обработку ПДн необходимо
прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей
обработки ПДн, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления
указанного отзыва (согласно пункту 5 статьи 21 152-ФЗ), если иное не предусмотрено
договором, стороной которого, выгодоприобретателем или поручителем по которому
является субъект ПДн, иным соглашением между ГБУЗ и субъектом ПДн либо если ГБУЗ не
вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях,
предусмотренных 152-ФЗ или другими федеральными законами (согласно пункту 5 статьи 21
152-ФЗ). Формы ответов на запросы на отзыв согласия на обработку ПДн приведена в
Приложении 6.
4.1.6. При выявлении недостоверности ПДн при обращении или по запросу субъекта
ПДн или его представителя необходимо их блокировать с момента такого обращения или
получения такого запроса на период проверки (согласно пункту 1 статьи 21 152-ФЗ). Если
факт недостоверности ПДн подтвержден на основании сведений, представленных субъектом
ПДн или его представителем, либо уполномоченным органом по защите прав субъектов ПДн,
или иных необходимых документов, необходимо уточнить ПДн в течение 7 рабочих дней со
дня представления таких сведений и снять блокирование ПДн (согласно пункту 2 статьи 21
152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить
уведомление об отказе изменения ПДн. Формы уведомления при выявлении
недостоверности ПДн приведены в Приложении 7.
4.1.7. При выявлении неправомерных действий с ПДн ГБУЗ при обращении или по
запросу субъекта ПДн или его представителя необходимо в срок, не превышающий трех
рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн
(согласно пункту 3 статьи 21 152-ФЗ). В случае если обеспечить правомерность обработки
ПДн невозможно, ГБУЗ в срок, не превышающий 10 рабочих дней с даты выявления
неправомерной обработки ПДн (согласно пункту 3 статьи 21 152-ФЗ), обязано уничтожить
такие ПДн. Об устранении допущенных нарушений или об уничтожении ПДн ГБУЗ обязано
уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн
или его представителя, в случае если запрос направлен уполномоченным органом по защите
прав субъектов ПДн, также указанный орган. Формы уведомления при выявлении
неправомерных действий с ПДн приведены в Приложении 8.
4.1.8. При достижении целей обработки ПДн ГБУЗ обязано незамедлительно
прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий 30
дней с даты достижения цели обработки ПДн (согласно пункту 4 статьи 21 152-ФЗ), если иное
не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по
которому является субъект ПДн, иным соглашением между ГБУЗ и субъектом ПДн, либо если
ГБУЗ не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях,
предусмотренных 152-ФЗ или другими федеральными законами. Формы уведомления при
достижении целей обработки ПДн приведены в Приложении 9.
4.2. В случае поступления Запроса Уполномоченного органа по защите прав
Субъекта ПДн по ПДн необходимо выполнить следующие действия:
4.2.1. При получении запроса необходимо в течение 30 дней (согласно пункту 4
статьи 20 152-ФЗ) предоставить информацию, необходимую для осуществления
деятельности указанного органа.
4.2.2. При выявлении недостоверных ПДн при обращении или по запросу
Уполномоченного органа по защите прав Субъекта ПДн необходимо их блокировать с
момента такого обращения или получения такого запроса на период проверки (согласно
пункту 1 статьи 21 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании
11
документов, предоставленных субъектом ПДн или его законным представителем,
необходимо в течение 7 рабочих дней уточнить ПДн и снять их блокирование (согласно пункту
2 статьи 21 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо
отправить уведомление об отказе изменения и снять блокирование ПДн. Формы уведомления
при выявлении недостоверности ПДн приведены в Приложении 7.
4.2.3. При выявлении неправомерных действий с ПДн ГБУЗ при обращении или по
запросу Уполномоченного органа по защите прав Субъекта ПДн необходимо прекратить
неправомерную обработку в срок, не превышающий 3 рабочих дней, с момента такого
обращения или получения такого запроса на период проверки (согласно пункту 1 статьи 21
152-ФЗ). В случае невозможности обеспечения правомерности обработки ГБУЗ ПДн в срок,
не превышающий 10 рабочих дней с даты выявления неправомерности действий с ПДн,
необходимо уничтожить ПДн и отправить уведомление об уничтожении ПДн. Формы
уведомления при выявлении неправомерных действий с ПДн приведены в Приложении 8.
4.2.4. При достижении целей обработки ПДн ГБУЗ обязан незамедлительно
прекратить обработку ПДн и уничтожить соответствующие ПДн в течение 30 дней с даты
достижения цели обработки ПДн (согласно пункту 4 статьи 21 152-ФЗ), если иное не
предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по
которому является субъект ПДн, иным соглашением между ГБУЗ и субъектом ПДн, либо если
ГБУЗ не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях,
предусмотренных 152-ФЗ или другими федеральными законами и отправить уведомление об
уничтожении ПДн. Формы уведомления при достижении целей обработки ПДн приведены в
Приложении 9.
5. Ответственность
Ответственность за корректировку, проверку и пересмотр настоящих Правил несет
ответственный за защиту ПДн в ГБУЗ.
Организация и проведение работ по ответам на запросы, устранению нарушений, а
также уточнению, блокированию и уничтожению ПДн возлагается на назначенного Приказом
главного врача ГБУЗ ответственного сотрудника.
Ответственность за правильное применение настоящих Правил несут руководители
подразделений и сотрудники ГБУЗ.
12
Приложение №1
К Правилам рассмотрения запросов субъектов
персональных данных или их представителей
Журнал учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных
ГБУЗ
На ___ листах
Структурное подразделение ответственное за ведение журнала: ____________________________________
Начат «__» ____________ 201__ г.
Окончен «___» ____________ 201__ г.
Ответственный за журнал: ____________________________ ____________________________________________________________
Должность и ФИО
№
п/п
1
Подпись и дата
Сведения о
запрашивающем лице
2
Краткое
содержание
обращения
3
Цель запроса
4
Отметка о
предоставлении
информации или
отказе в ее
предоставлении
5
Дата передачи /
отказа в
предоставлени
и информации
Подпись
ответственно
го лица
Примечани
е
6
7
8
13
Приложение №2
К Правилам рассмотрения запросов субъектов
персональных данных или их представителей
Сводная таблица действий в ответ запросы по персональным данным
№
Запрос
Действия
I. Запрос Субъекта ПДн или его Представителя
1.1.
Наличие ПДн
Подтверждение
обработки ПДн
Отказ
подтверждения
обработки ПДн
1.2.
Ознакомление с ПДн
Предоставление
информации по ПДн
1.3.
Уточнение ПДн
Срок
Ответ
30 дней (согласно пункту 1 Подтверждение обработки ПДн
статьи 20 152-ФЗ)
30 дней (согласно пункту 2 Уведомление об отказе подтверждения
статьи 20 152-ФЗ)
обработки ПДн
30 дней (согласно пункту 1 1. Подтверждение обработки ПДн, а
статьи 20 152-ФЗ)
также правовые основания и цели такой
обработки.
2. Способы обработки ПДн.
3. Сведения о лицах, которые имеют
доступ к ПДн.
4. Перечень обрабатываемых ПДн и источник
их получения.
5. Сроки обработки ПДн, в том числе сроки их
хранения.
6. Информация об осуществленных или о
предполагаемой трансграничной передаче.
7. Наименование или фамилию, имя, отчество
и адрес лица, осуществляющего обработку
ПДн по поручению оператора, если обработка
поручена или будет поручена такому лицу.
Отказ
предоставления 30 дней (согласно пункту 2 Уведомление об отказе предоставления
информации по ПДн
статьи 20 152-ФЗ)
информации
Изменение ПДн
7 рабочих дней со дня Уведомление о внесенных изменениях
14
№
Запрос
1.4.
Уничтожение ПДн
1.5.
Отзыв согласия
обработку ПДн
1.6.
Недостоверность
Субъекта
1.7.
Неправомерность
действий
с
Субъекта
Действия
Отказ изменения ПДн
Срок
предоставления уточняющих
сведений (согласно пункту 3
статьи 20 152-ФЗ)
Уничтожение ПДн
7 рабочих дней со дня
предоставления сведений о
Отказ уничтожения ПДн
незаконном получении ПДн
или
отсутствии
необходимости
ПДн
для
заявленной цели обработки
(согласно пункту 3 статьи 20
152-ФЗ)
на Прекращение обработки и 30 дней (согласно пункту 5
уничтожение ПДн
статьи 21 152-ФЗ)
Отказ
прекращения
обработки и уничтожения
ПДн
ПДн Блокировка ПДн
С
момента
обращения
Субъекта
ПДН
о
недостоверности
или
с
момента получения запроса
на период проверки (согласно
пункту 1 статьи 21 152-ФЗ)
Изменение ПДн
7 рабочих дней со дня
предоставления уточненных
Снятие блокировки ПДн
сведений (согласно пункту 2
Отказ изменения ПДн
статьи 21 152-ФЗ)
Прекращение
3 рабочих дня (согласно
ПДн неправомерной обработки пункту 3 статьи 21 152-ФЗ)
ПДн
Ответ
Уведомление об отказе изменения ПДн
Уведомление об уничтожении
Уведомление об отказе уничтожения ПДн
Уведомление о прекращении обработки и
уничтожении ПДн
Уведомление
об
отказе
прекращения
обработки и уничтожения ПДн
Уведомление о внесенных изменениях
Уведомление об отказе изменения ПДн
Уведомление об устранении нарушений
15
№
Запрос
Срок
Ответ
10 рабочих дней (согласно Уведомление об уничтожении ПДн
пункту 3 статьи 21 152-ФЗ)
30 дней (согласно пункту 4
статьи 21 152-ФЗ), если иное
не предусмотрено договором
с субъектом ПДн
II. Запрос Уполномоченного органа по защите прав Субъекта ПДн
2.1.
Информация
для Предоставление
30 дней (согласно пункту 4
осуществления
затребованной информации статьи 20 152-ФЗ)
деятельности
по ПДн
уполномоченного
органа
2.2.
Недостоверность ПДн Блокировка ПДн
С
момента
обращения
Субъекта
Уполномоченного органа о
недостоверности
или
с
момента получения запроса
на период проверки (согласно
пункту 1 статьи 21 152-ФЗ)
Изменение ПДн
7 рабочих дней со дня
предоставления уточненных
Снятие блокировки ПДн
сведений (согласно пункту 2
Отказ изменения ПДн
статьи 21 152-ФЗ)
2.3.
Неправомерность
Прекращение
3 рабочих дня (согласно
действий
с
ПДн
неправомерной
пункту 3 статьи 21 152-ФЗ)
Субъекта
обработки ПДн
Уничтожение ПДн в случае 10 рабочих дней (согласно
невозможности обеспечения пункту 3 статьи 21 152-ФЗ)
правомерности обработки
2.4.
Достижение
целей Блокировка ПДн
30 дней (согласно пункту 4
1.8.
Достижение
обработки
Субъекта
Действия
Уничтожение ПДн в случае
невозможности обеспечения
правомерности обработки
целей Прекращение
обработки
ПДн ПДн
Уничтожение ПДн
Уведомление об уничтожении ПДн
Предоставление
затребованной
информации по ПДн
Уведомление о внесенных изменениях
Уведомление об отказе изменения ПДн
Уведомление об устранении нарушений
Уведомление об уничтожении ПДн
Уведомление об уничтожении ПДн
16
№
Запрос
обработки
Субъекта
Действия
ПДн Уничтожение ПДн
Срок
статьи 21 152-ФЗ), если иное
не предусмотрено договором
с субъектом ПДн
Ответ
17
Приложение № 3
К Правилам рассмотрения запросов субъектов
персональных данных или их представителей
ФОРМЫ ОТВЕТА
на запрос субъекта персональных данных
о наличии и на ознакомление с ПД
Г-ну/Г-же _____________
На Ваш запрос от «___» ________ 201__ г. относительно обработки Ваших персональных
данных могу сообщить следующее.
ГБУЗ в период с «
» ________ 201__ г. по настоящее время обрабатывает в ходе оказания
финансовых услуг (в рамках договора № _____ от «
» ________ 201__ г.) следующие
полученные от Вас персональные данные:
ГБУЗ в период с «__» ___________________ 20__ г. по настоящее время обрабатывает
следующие полученные от Вас персональные данные:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
с целью _________________________________________________________________________.
Эта информация обрабатывается в соответствии с законодательством РФ о персональных
данных, в Ваших интересах и с Вашего согласия. Обработка данных включает хранение,
использование и, в случае необходимости, передачу третьим сторонам. Обработкой Ваших
персональных данных занимаются сотрудники ГБУЗ, ознакомленные с обязанностями,
возложенными на них в связи с обработкой Ваших персональных данных, и давшие подписку об
их неразглашении. Никто другой к обработке Ваших персональных данных не допускается. Ваши
персональные данные будут обрабатываться вплоть до достижения указанных целей.
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста,
обращайтесь.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
Г-ну/Г-же _____________
На Ваш запрос от «____» ___________ 201__ г. относительно обработки Ваших персональных
данных могу сообщить следующее.
ГБУЗ не осуществляет обработки Ваших персональных данных.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
19
Приложение № 4
К Правилам рассмотрения запросов субъектов
персональных данных или их представителей
ФОРМЫ ОТВЕТА
на запрос субъекта персональных данных
на уточнение ПД
Г-ну/Г-же _____________
На Ваш запрос от «____» ___________ 201__ г. относительно уточнения Ваших персональных
данных могу сообщить следующее.
ГБУЗбыли внесены изменения в Ваши персональные данные:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста,
обращайтесь.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
20
Г-ну/Г-же _____________
На Ваш запрос от «____» ___________ 201__ г. относительно уточнения Ваших персональных
данных могу сообщить следующее.
ГБУЗ не может внести изменения в Ваши персональные данные, так как Вами не было
предоставлено необходимые документы, подтверждающие запрашиваемые Вами изменения.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
21
Приложение № 5
К Правилам рассмотрения запросов субъектов
персональных данных или их представителей
ФОРМЫ ОТВЕТА
на запрос субъекта персональных данных
на уничтожение ПД
Г-ну/Г-же _____________
На Ваш запрос от «____»
___________ 201__ г. относительно уничтожения Ваших
персональных данных могу сообщить следующее.
ГБУЗбыли уничтожены Ваши персональные данные:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
22
Г-ну/Г-же _____________
На Ваш запрос от «____»
___________ 201__ г. относительно уничтожения Ваших
персональных данных могу сообщить следующее.
ГБУЗне может уничтожить Ваши персональные данные, так их обработка осуществляется
согласно
требованиям
следующих
законодательных
актов:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста,
обращайтесь.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
23
Приложение № 6
К Правилам рассмотрения запросов субъектов
персональных данных или их представителей
ФОРМЫ ОТВЕТА
на запрос субъекта персональных данных
с отзывом согласия на обработку ПД
Г-ну/Г-же _____________
На Ваш запрос от «___» ___________ 201__ г. относительно отзыва согласия на обработку
Ваших персональных данных могу сообщить следующее.
ГБУЗбыли прекращена обработка и уничтожены Ваши персональные данные:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
24
Г-ну/Г-же _____________
На Ваш запрос от «___» ________ 201__ г. относительно отзыва согласия на обработку Ваших
персональных данных могу сообщить следующее.
ГБУЗне может прекратить обработку и уничтожить Ваши персональные данные, так их
обработка осуществляется согласно требованиям следующих законодательных актов:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста,
обращайтесь.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
25
Приложение № 7
К Правилам рассмотрения запросов субъектов
персональных данных или их представителей
ФОРМЫ УВЕДОМЛЕНИЯ
субъекта персональных данных,
его законного представителя или
уполномоченного органа
по защите прав субъектов персональных данных
при выявлении недостоверности ПД
Г-ну/Г-же _____________
В связи с выявлением недостоверности Ваших персональных данных (персональных данных
г-на/г-жи _____________________________________) могу сообщить следующее.
ГБУЗбыли внесены изменения в Ваши персональные данные (персональные данные г-на/г-жи
_____________________________________):
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных
данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
26
Г-ну/Г-же _____________
На Ваш запрос от «___» ___________ 201__ г. относительно недостоверности Ваших
персональных данных (персональных данных г-на/г-жи _____________________________) могу
сообщить следующее.
ГБУЗне может внести изменения в Ваши персональные данные (персональные данные г-на/г-жи
____________________________________________), так как факт недостоверности не
подтвержден и не было предоставлено необходимых документов, подтверждающих
недостоверность персональных данных.
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных
данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
27
Приложение № 8
К Правилам рассмотрения запросов субъектов
персональных данных или их представителей
ФОРМЫ УВЕДОМЛЕНИЯ
субъекта персональных данных,
его законного представителя или
уполномоченного органа
по защите прав субъектов персональных данных
при выявлении неправомерности действий с ПД
Г-ну/Г-же _____________
В связи с выявлением неправомерности действий с Вашими персональными данными
(персональными данными г-на/г-жи ________________________________________) могу
сообщить следующее.
ГБУЗбыли уничтожены Ваши персональные данные (персональные
_________________________________________________):
данные
г-на/г-жи
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных
данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
28
Г-ну/Г-же _____________
На Ваш запрос от «___» ____________ 201__ г. относительно неправомерности действий с
Вашими
персональными
данными
(персональными
данными
г-на/г-жи
________________________________________) могу сообщить следующее.
ГБУЗне может уничтожить Ваши персональные данные (персональные данные г-на/г-жи
_________________________________________________), так как факт неправомерности
действий с Вашими персональными данными (персональными данными г-на/г-жи
________________________________________) не подтвержден и Вами не было предоставлено
необходимых документов, подтверждающих неправомерность действий с Вашими
персональными
данными
(персональными
данными
г-на/г-жи
________________________________________).
ГБУЗосуществляет обработку Ваших персональных данных (персональных данных г-на/г-жи
________________________________________)
согласно
требованиям
следующих
законодательных актов:
____________________________________________________________________________
____________________________________________________________________________
___________________________________________________________________________.
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных
данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
29
Приложение № 9
К Правилам рассмотрения запросов субъектов
персональных данных или их представителей
ФОРМЫ УВЕДОМЛЕНИЯ
субъекта персональных данных,
его законного представителя или
уполномоченного органа
по защите прав субъектов персональных данных
при достижении целей обработки ПД
Г-ну/Г-же _____________
В связи с достижением целей обработки Ваших персональных данных (персональных данных
г-на/г-жи ________________________________________) могу сообщить следующее.
ГБУЗбыли прекращена обработка и уничтожены Ваши персональные данные (персональных
данных г-на/г-жи ________________________________________):
____________________________________________________________________________
____________________________________________________________________________
___________________________________________________________________________.
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных
данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
30
Г-ну/Г-же _____________
На Ваш запрос от «____» ____________ 201__ г. относительно достижения целей обработки
Ваших
персональных
данных
(персональных
данных
г-на/г-жи
________________________________________) могу сообщить следующее.
ГБУЗне может прекратить обработку и уничтожить Ваши персональные данные (персональные
данные г-на/г-жи ________________________________________), так как их обработка
осуществляется согласно требованиям следующих законодательных актов:
____________________________________________________________________________
____________________________________________________________________________
___________________________________________________________________________.
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных
данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать ГБУЗ)
31
Утверждены приказом№ _____от «___» ______ 201__ года
Правила осуществления внутреннего контроля соответствия обработки персональных
данных требованиям к защите персональных данных
1. Общие положения
Настоящие «Правила осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных» (далее - Правила)
определяют порядок планирования и проведения контроля безопасности режима обработки
персональных данных (ПДн) в «Наименование ЛПУ»(далее – ГБУЗ), в том числе ее
защищенности от несанкционированного доступа (НСД), распространения, искажения и утраты,
а также порядок реагирования на инциденты информационной безопасности.
Целью контроля безопасности режима обработки ПДн в ГБУЗ является определение
истинного состояния дел в области защиты ПДн, оценки эффективности принимаемых для
исключения утечки ПДн мер, выявления возможных каналов утечки, выработки предложений и
рекомендаций руководству ГБУЗ по совершенствованию системы защиты ПДн (СЗПДн).
Организация контроля возлагается на ответственного за обеспечение безопасности ПДн
в ГБУЗ.
В число основных объектов контроля безопасности режима обработки ПДн входят:
 структурные подразделения ГБУЗ, привлекаемые к обработке ПДн;
 сотрудники ГБУЗ, допущенные в установленном порядке к ПДн, и их носителям, и
выполняющие работы с их использованием;
 служебные помещения, в которых проводятся работы с носителями ПДн;
 места непосредственного хранения носителей ПДн (хранилища, сейфы, шкафы);
 непосредственно носители ПДн (документы, материалы, изделия, магнитные
носители);
 компоненты информационных систем ПДн (ИСПДн), в которых осуществляется
обработка ПДн;
 Локальная сеть ГБУЗ.
Особенности контроля безопасности ПДн в отдельных ИСПДн могут регулироваться
дополнительными инструкциями и регламентами.
2. Планирование мероприятий по обеспечению и
персональных данных
контролю
безопасности
2.1 Основные цели планирования мероприятий по обеспечению безопасности ПДн
Основными целями планирования мероприятий по обеспечению безопасности ПДн
являются:
 организация проведения комплекса мероприятий по защите ПДн, направленных на
исключение возможных каналов утечки ПДн;
 установление персональной ответственности всех должностных лиц ГБУЗ за решение
вопросов защиты ПДн в ходе деятельности ГБУЗ
 определение сроков (времени, периода) проведения конкретных мероприятий по
защите ПДн;
32

систематизация (объединение) всех проводимых на плановой основе мероприятий по
различным направлениям защиты ПДн;
 установление системы контроля за обеспечением защиты ПДн в ГБУЗ, а также
системы отчетности о выполнении конкретных мероприятий;
 уточнение (конкретизация) функций и задач по защите ПДн, решаемых отдельными
должностными лицами и структурными подразделениями ГБУЗ.
Основой для планирования мероприятий по защите ПДн в ГБУЗ служат:
 требования законодательных и иных нормативных правовых актов по защите ПДн;
 положения
внутренних организационно-распорядительных документов ГБУЗ
(приказов, положений, инструкций), определяющих порядок ведения деятельности по защите
конфиденциальной информации, а также конкретизирующих вопросы защиты ПДн в ГБУЗ;
 результаты комплексного анализа состояния дел в области защиты ПДн, проводимого
ответственным сотрудником ГБУЗ;
 результаты контроля за состоянием защиты ПДн, проводимого контролирующими
органами (Роскомнадзором, правоохранительными органами и т.п.);
 результаты проверки вышестоящими учреждениями;
 особенности повседневной деятельности ГБУЗ и специфика выполнения в ГБУЗ работ
с использованием ПДн.
Планирование мероприятий по обеспечению и контролю безопасности ПДн
осуществляется на календарный год, в отдельных случаях могут составляться планы на
календарный месяц, неделю, а также на иной определенный срок.
Планы мероприятий по обеспечению безопасности ПДн относятся к конфиденциальным
документам, учитываются и хранятся в порядке, установленном для документов
соответствующей степени конфиденциальности.
Разработка планирующих документов по защите ПДн в ГБУЗ осуществляется
сотрудником, ответственным за обеспечение безопасности ПДн в ГБУЗ, в тесном
взаимодействии с другими подразделениями (отдельными должностными лицами). Кроме того,
при подготовке планов должны учитываться предложения структурных подразделений ГБУЗ,
осуществляющих обработку ПДн.
2.2 Структура и основное содержание планов по обеспечению и контролю безопасности
ПДн
Основным организационно-планирующим документом ГБУЗ в сфере защиты ПДн
является План мероприятий по обеспечению безопасности ПДн на календарный год,
содержащий необходимый перечень мероприятий для обеспечения защиты ПДн.
План мероприятий по обеспечению безопасности ПДн составляется на основании списка
мер, методов и средств защиты, определенных нормативными правовыми актами и
методическими документами по защите ПДн, действующими приказами.
План мероприятий по обеспечению безопасности ПДн в ГБУЗ на календарный год
утверждается руководителем ГБУЗ до начала календарного года, на который он разработан.
Утвержденный план под роспись доводится до сведения ответственных за проведение и
организацию указанных в плане мероприятий в части их касающейся.
Типовой план мероприятий по обеспечению безопасности ПДн на календарный год может
содержать следующие основные разделы:
1) Организационные (административные) мероприятия, связанные с:
 разработкой организационно-планирующих документов в ходе повседневной
деятельности ГБУЗ; подготовкой и изданием приказов ГБУЗ по различным вопросам в сфере
защиты ПДн; переработкой и уточнением должностных обязанностей сотрудников и др.;
33

подготовкой персонала по вопросам защиты ПДн — организацией и проведением
занятий со всеми категориями сотрудников ГБУЗ с учетом специфики выполняемой ими работы;
изучением положений нормативно-методических документов в области защиты ПДн и, при
необходимости, доведением их требований до сведения сотрудников под роспись; проведением
инструктажей с вновь прибывшими или назначенными на должность сотрудниками;
 организацией и ведением конфиденциального делопроизводства в части защиты ПДн
— вопросы учета, хранения, размножения и уничтожения носителей ПДн, порядок работы с ними
персонала ГБУЗ; мероприятия, непосредственно касающихся деятельности по рассмотрению
запросов субъектов ПДн, а также связанные с работой комиссий по отбору документов и
материалов, содержащих ПДн, для уничтожения;
 организацией защиты ПДн при привлечении к обработке ПДн внешних организаций
(контрагентов).
2) Мероприятия по физической защите,связанные ссозданием и совершенствованием
системы пропускного режима и физической охраны объектов ГБУЗ.
3) Технические мероприятия,связанные с защитой ПДн при из обработке в
информационных системах персональных даны (ИСПДн) — организационные мероприятия по
подготовке и вводу в эксплуатацию объектов информатизации, обрабатывающих ПДн, по
технической защите ПДн, защите ПДн от НСД; предотвращению утечки ПДн по каналам связи.
4) Контролирующие мероприятия, в том числе связанные с организацией и
проведением всех видов проверок состояния защиты ПДн и наличия носителей ПДн. Данный
раздел плана предполагает разработку отдельного Плана внутренних проверок режима защиты
ПДн. К контролирующим мероприятиям также относится аналитическая работа, связанная с
составлением отчетов о состоянии дел в области защиты ПДн в ГБУЗ.
В План включается следующая информация:
1) Наименование мероприятия.
2) Периодичность мероприятия (разовое/периодическое).
3) Исполнитель мероприятия/ответственный за исполнение.
Контроль за выполнением конкретных мероприятий, включенных в данный план,
осуществляется руководителем ГБУЗ. Ответственный сотрудник осуществляют текущий
контроль за практической реализацией включенных в план мероприятий и информируют об их
выполнении указанные должностных лиц.
3 Организация контроля режима обработки персональных данных в ГБУЗ
Основными задачами контроля режима обработки ПДн являются следующие:
 сбор, обобщение и анализ информации о состоянии СЗПДн ГБУЗ;
 анализ состояния дел в области защиты ПДн в структурных подразделениях ГБУЗ;
 проверка организации выполнения мероприятий по защите ПДн в структурных
подразделениях ГБУЗ, учета требований по защите ПДн в разрабатываемых плановых и
распорядительных документах;
 выявление угроз безопасности ПДн и выработка мер по их нейтрализации;
 проверка наличия носителей ПДн;
 проверка выполнения установленных норм и требований по защите ПДн от утечки по
техническим каналам, оценка достаточности и эффективности мероприятий по защите ПДн;
 оперативное принятие мер по пресечению нарушений требований (норм) защиты ПДн
в ИСПДн;
 разработка предложений по устранению (ослаблению) демаскирующих признаков и
технических каналов утечки информации;
 оказание практической помощи должностным лицам в устранении нарушений
требований нормативно-методических документов;
34

применение мер административной и дисциплинарной ответственности к лицам,
нарушающим требования по порядку обращения с носителями ПДн;
Основным видом контроля режима обработки ПДн в ГБУЗ являются проверки,
подразделяемые на плановые и внеплановые.
Плановые проверки организуются заблаговременно, включаются в соответствующий
План внутренних проверок режима защиты ПДн, включающий периодичность проведения
внутренних проверок и ответственных исполнителей.
Внеплановые проверки организуются и проводятся при необходимости по указанию
Руководителя ГБУЗ или его заместителей. Они могут проводиться как в масштабах всего, так и в
его структурных подразделениях. Особенность организации таких проверок состоит в том, что
они отсутствуют в Планах внутренних проверок режима защиты ПДн.
Алгоритм подготовки и проведения внеплановой проверки следующий:
1) принятие решения о проведении проверки (например, после инцидента безопасности);
2) подготовка перечня проверяемых вопросов;
3) определение ответственных за проведение проверки лиц;
4) определение сроков проверки;
5) непосредственное проведение проверки;
6) оформление результатов работы;
7) выработка предложений и рекомендаций;
8) доклад результатов проверки на месте;
9) анализ недостатков с проверяемыми;
10) доклад результатов лицу, назначившему проверку.
В ходе выполнения проверки осуществляется сопоставление результатов выполнения
конкретных
мероприятий
по
обеспечению
безопасности
ПДн
с
положениями
нормативно-методических документов по защите ПДн и соответствующими стандартами ГБУЗ.
При этом проверочные мероприятия подразделяются на проверки режима
неавтоматизированной обработки ПДн и с использованием средств автоматизации.
В проведении проверок участвуют сотрудники ответственных подразделений. Результаты
проверки оформляются в виде акта и доводятся до сведения руководителя проверенного
структурного подразделения. В данном акте перечисляются выявленные недостатки, а также
формулируются предложения по их устранению, повышению эффективности работы
должностных лиц (сотрудников) в области защиты ПДн. Проверяющие лица устанавливают
конкретные сроки устранения выявленных недостатков и реализации предложений
(рекомендаций).
При осуществлении контроля режима обработки ПДн особое внимание уделяется
вопросам обращения с носителями ПДн и их хранения в структурных подразделениях ГБУЗ.
Проверяются порядок учета, хранения, размножения (копирования) и уничтожения носителей
ПДн; оборудование помещений, в которых хранятся указанные носители или осуществляется
работа с ними; порядок передачи носителей одними исполнителями другим, в том числе и при
убытии лиц в командировку (отпуск, на лечение) и т.д.
Постоянному контролю подлежат также вопросы допуска и доступа всех категорий
должностных лиц к ПДн, в том числе и непосредственно к носителям ПДн, вопросы организации и
осуществления пропускного и внутриобъектового режимов в ГБУЗ, организации охраны
предприятия и его объектов.
Сотрудник, ответственный за обеспечение безопасности ПДн, организует и ведет учет
результатов контроля, всех видов проводимых проверок.
В план внутренних проверок могут быть включены следующие пункты:
1) Контроль соблюдения организационно-режимных требований в помещениях,
в которых осуществляется обработка ПДн.
35
Ежегодно в соответствии с Планом внутренних проверок должна быть проведен контроль
соблюдения организационно-режимных требований в помещениях, в которых осуществляется
обработка ПДн. Данный вид контроля включает:
 проверку актуальности перечня лиц, имеющих право самостоятельного доступа в
помещение;
 проверку корректности расположения мониторов рабочих станций, на которых
осуществляется обработка ПДн, исключающего несанкционированный ПДн не допущенными
лицами;
 наличие жалюзи на окнах;
 контроль отсутствия конфиденциальных документов, содержащих ПДн, без присмотра
на рабочих столах сотрудников;
 контроль сохранности пломб на технических средствах передачи и обработки ПДн, а
также на устройствах их защиты;
 и т.п.
2) Контроль доступа к приложениям информационных систем, в которых
осуществляется обработка ПДн.
Ежеквартально в целях снижения рисков несанкционированного доступа к информации
должен проводиться контроль доступа к приложениям ИСПДн, включающий в себя:
 контроль фактов подачи заявок на блокирование доступа к ИСПДн, в которых
осуществляется обработка конфиденциальной информации, увольняемых сотрудников и
своевременности подачи таких заявок;
 контроль использования предоставленных прав доступа (в том числе и право
удаленного доступа). Если предоставленные права доступа не используются в течение трех и
более месяцев, администратор безопасности может инициироваться расследование
правомерности подачи заявки на доступ;
 и т.п.
3) Контроль порядка обращения с носителями ПДн.
Ежеквартально ответственным сотрудником должен осуществляться контроль порядка
обращения с носителями ПДн, включающий в себя:
 проверку корректности ведения журнала учета машинных носителей и соответствия
записей в журнале записям в автоматизированной системе контроля съемных магнитных
носителей информации;
 проверку корректности ведения журналов учета конфиденциальных документов в
части ПДн;
 и т.п.
4) Проверка выполнения запросов субъектов персональных данных.
Ежеквартально должна проводиться проверка выполнения запросов субъектов ПДн по
средствам контроля заполнения и выполнения Журнала учета обращений субъектов ПДн по
вопросам обработки ПДн.
5) Контроль нейтрализации выявленных нарушений режима обработки ПДн
Ежеквартально должен осуществляться контроль нейтрализации выявленных нарушений
режима обработки ПДн, включающий в себя проверку корректности ведения базы данных
инцидентов информационной безопасности, заполнения отчетов об инцидентах, а также все ли
обнаруженные инциденты нейтрализованы.
6) Организация анализа и пересмотра имеющихся угроз безопасности ПДн.
Ежегодно на основании анализа произошедших инцидентов информационной
безопасности, изменений в условиях обработки ПДн в ИСПДн должна осуществляться
корректировка Частных моделей угроз безопасности ПДн при их обработке в ИСПДн, а при
36
необходимости и моделирование новых моделей угроз безопасности ПДн в соответствии с
действующими нормативными правовыми акты и методическими документами ФСТЭК и ФСБ
России.
7) Поддержание в актуальном состоянии нормативно-организационных
документов по вопросам обеспечения безопасности ПДн
Ежегодно следует проводить актуализацию нормативно-организационных документов по
вопросам обеспечения безопасности ПДн в соответствии с:
 изменениями требований законодательных и иных нормативных правовых актов по
защите ПДн, отраслевых стандартов;
 результатами анализа состояния дел в области защиты ПДн, проводимого
ответственным сотрудником на основании материалов плановых проверок и расследований
выявленных инцидентов информационной безопасности;
 результатами контроля за состоянием защиты ПДн, проводимого контролирующими
органами (Роскомнадзором, правоохранительными органами и т.п.).
37
ПРИКАЗ № _______
(ПРОЕКТ)
г. ________
«_____» ___________201__ г.
О проведении внутренней проверки
В целях исполнения Федерального закона от 27 июля 2006 года № 152-ФЗ «О
персональных данных» в «Наименование ЛПУ» (далее - ГБУЗ):
ПРИКАЗЫВАЮ:
1. Провести внутреннюю проверку информационных систем персональных данных в
срок до __________ г.
2. В целях проведения внутренней проверки информационных систем персональных
данных, создать комиссию в составе:
Председателя комиссии:
(должность)
(ФИО)
(должность)
(ФИО)
(должность)
(ФИО)
(должность)
(ФИО)
Членов комиссии:
3. Результаты внутренней проверки отразить в Отчете по результатам проведения
внутренней проверки (далее – Отчет) и представить на утверждение руководителю.
4. В Отчете должны быть отражены:

ФИО ответственного за обработку и защиту ПДн в ГБУЗ;

Перечень введенного в эксплуатацию и используемого компьютерного оборудования,
полученного в 2011-2013 гг. по государственным контрактам, направленным на
создание региональной МИС с указанием их количества;

Перечень лиц, допущенных к обработке ПДн в медицинской информационной
системе ГБУЗ, с указанием их должности и предоставленной в системе роли в
соответствии со штатным расписанием;

Количество заведенные электронных медицинских карт от общего количества
медицинских карт пациентов ГБУЗ;
Контроль за исполнением настоящего приказа возложить на ____________________.
Главный врач
«Наименование ЛПУ»
(Подпись)
(ФИО)
38
План внутренних проверок режима защиты персональных данных
1. Общие положения
План внутренних проверок режима защиты персональных данных, содержит перечень
внутренних проверок.
План составляется для мероприятий, в соответствии с Планом мероприятий по
обеспечению защиты персональных данных, и определяет периодичность проведения проверок.
План внутренних проверок содержит следующую информацию:
– название проверяемого мероприятия.
– периодичность проведения проверки.
– исполнитель мероприятия.
План внутренних проверок распространяется на все информационные системы
персональных данных ГБУЗ.
2. План внутренних проверок режима защиты персональных данных
Мероприятие
Контроль над соблюдением режима
обработки ПДн
Контроль над соблюдением режима защиты
Контроль над выполнением антивирусной
защиты
Контроль над соблюдением режима защиты
при подключении к сетям общего
пользования и (или) международного
обмена
Проведение внутренних проверок на
предмет выявления изменений в режиме
обработки и защиты ПДн
Контроль за обновлениями программного
обеспечения и единообразия применяемого
ПО на всех элементах ИСПДн
Контроль за обеспечением резервного
копирования
Организация анализа и пересмотра
имеющихся угроз безопасности ПДн, а так
же предсказание появления новых, еще
неизвестных, угроз
Поддержание в актуальном состоянии
нормативно-организационных документов
Контроль за разработкой и внесением
изменений в программное обеспечение
собственной разработки или штатное ПО
специально дорабатываемое собственными
разработчиками или сторонними
организациями.
Периодичность
Еженедельно
Исполнитель
Ежедневно
Еженедельно
Еженедельно
Ежегодно
Еженедельно
Ежемесячно
Ежегодно
Ежемесячно
Ежемесячно
39
Отчет о результатах проведения внутренней проверки обеспечения защиты
персональных данных в информационных системах персональных данных
(ПРОЕКТ)
1.
Внутренняя проверка (далее – Проверка) произведена на основании Приказа
№_____ от _______________.
2.
Проверка проводилась (дата)________ на территории «Наименование ЛПУ»
(далее – ГБУЗ) ____________ по адресу ____________________.
3.
Ответственным за обработку и обеспечение защиты персональных данных в ГБУЗ
назначен
______________________________________________________________
(ФИО,
должность).
4.
Перечень введенного в эксплуатацию и используемого компьютерного
оборудования в ГБУЗ, полученного в 2011-2013 гг. по государственным контрактам,
направленным на создание региональной МИС с указанием их количества:
№
Наименование оборудование
Получено
(шт.)
п/п
1.
2.
3.
4.
5.
6.
7.
Введено в
эксплуатацию
(шт.)
Введено в
эксплуатацию (%)
ПТК (программно – технический
комплекс - сервер)
АРМ - 1 (терминальные станции)
АРМ – 2 (Персональные
компьютеры)
АРМ – 3 (Персональные
компьютеры для диагностики)
Принтеры
(тип 1,2,3,4,5)
Маршрутизаторы
(тип 1,2,3,4,5)
Коммутаторы
(тип 1,2,3,4,5)
Указывается только фактически полученное оборудование. Если количество введенного в
эксплуатацию оборудования меньше количества полученного – указываются причины, не
позволившие произвести ввод оборудование в эксплуатацию.
5.
Перечень лиц, допущенных к обработке ПДн в медицинской информационной
системе ГБУЗ, с указанием их должности и предоставленной в системе роли в соответствии со
штатным расписанием:
№ п/п
ФИО
Должность
Структурное
подразделение
Предоставленная
в МИС роль
40
6.
Количество заведенных электронных медицинских карт - _________ (____% от
общего количества медицинских карт пациентов ГБУЗ).
Главный врач
«Наименование ЛПУ»
(Подпись)
(ФИО)
41
ПРИКАЗ № _______
(ПРОЕКТ)
г. ________
«_____» ___________201__ г.
Об утверждении списка лиц, которым необходим доступ к персональным данным,
обрабатываемым в информационных системах персональных данных, для выполнения
служебных (трудовых) обязанностей
Во исполнение требований Федерального закона от 27.07.2006 № 152 «О
персональных данных», постановления Правительства Российской Федерации от 01.11.2012
года № 1119 «Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»«Наименование ЛПУ» (далее - ГБУЗ),
ПРИКАЗЫВАЮ:
Разрешить доступ к персональным данным, обрабатываемым в медицинской информационной
системе (МИС) ГБУЗ, которым такой доступ необходим для исполнения служебных
обязанностей:
 администратор МИС - доступ с целью обеспечения работоспособности информационной
системы с правами администратора:
 сотрудники - пользователи информационной системы - с целью обработки персональных
данных:
№
п/п
Фамилия, имя, отчество
Занимаемая должность
Предоставленная в МИС
роль
1.
2.
3.
Главный врач
«Наименование ЛПУ»
(Подпись)
(ФИО
42
ПРИКАЗ № _______
(ПРОЕКТ)
г. ________
«_____» ___________201__ г.
О выделении помещений, в которых производится обработка информации
ограниченного распространения (персональных данных)
Во исполнение требований действующего законодательства о персональных данных,
ПРИКАЗЫВАЮ:
1.
Утвердить список помещений, в которых осуществляется размещение компонент
медицинской информационной системы (МИС) в ГБУЗ (АРМ, ПТК, коммуникационное
оборудование) согласно приложению № 1 к настоящему приказу.
2.
При возможности ограничения перечня лиц, имеющих самостоятельный доступ в
защищаемые помещения представить ответственному за обработку и обеспечение
безопасности персональных данных списки данных сотрудников.
3.
Утвердить прилагаемое «Положение об организации режима безопасности
помещений, в которых осуществляется работа с персональными данными».
4.
Контроль
за
выполнением
настоящего
приказа
возложить
на
________________________.
Главный врач
«Наименование ЛПУ»
Приложение №1 к приказу №__
От «____» _____________ 201__ г.
Перечень защищаемых помещений
№
п/п
Наименование
помещения
Адрес и место
расположения
Перечень лиц, имеющих
права самостоятельного
доступа в помещение
1.
2.
3.
4.
5.
6.
43
Утверждено приказом № _____ от «___» ______ 201__ года
Положение об организации режима безопасности помещений, в которых осуществляется
работа с персональными данными (ПДн)
1 Для каждого помещения, в котором обрабатываются персональные данные, (далее ЗП), должен быть назначен соответствующий ответственный за режим безопасности и
правильность использования установленных в нем технических средств.
2 Перечень ЗП «Наименование ЛПУ» (ГБУЗ) и ответственных за режим безопасности в
них утверждает главным врачом ГБУЗ.
3 Ответственный за режим безопасности ЗП несет ответственность за наличие и
сохранность имущества, установленного в ЗП.
4 Доступ в помещения, в которых обрабатываются персональные данные, должен
предоставляться на основании утвержденного перечня лиц, имеющих право самостоятельного
доступа в помещение.
5 Уборка помещения и все регламентные работы должны проводиться под контролем
должностного лица, имеющего право самостоятельного доступа в ЗП, согласно Перечнюлиц,
имеющих право самостоятельного доступа в данное помещение.
6 В рабочее время в помещении обязательно должно присутствовать должностное
лицо, имеющее право самостоятельного доступа в ЗП. При отсутствии такового лица
нахождение кого-либо в ЗП запрещается и помещение должно закрываться на ключ.
7 При проведении мероприятий по обработке персональных данных двери помещения
должны быть закрыты, жалюзи на окнах зашторены, монитор отвернут от посетителей и других
посторонних лиц, не имеющих санкционированного доступа к медицинской информационной
системе ГБУЗ.
8
Повседневный контроль за выполнением требований по защите ЗП должны
осуществлять должностные лица, имеющие право самостоятельного доступа в ЗП.
44
Утверждена приказом № _____ от «___» ______ 201__ года
Порядок резервного копированияинформации
1. Общие положения
1.1.
Настоящийпорядок разработан в соответствии с требованиями законодательства
Российской Федерации в области защиты информации (в том числе персональных данных), с
целью обеспечения возможности незамедлительного восстановления информации,
модифицированных или уничтоженных вследствие несанкционированного доступа к ней.
1.2.
Порядок определяет правила и объёмы резервирования, а также порядок
восстановления работоспособности
медицинской информационной системы (МИС)
«Наименование ЛПУ»» (далее – ГБУЗ).
1.3.
Носители информации, используемые для резервирования конфиденциальной
информации ГБУЗ (в том числе и персональных данных), подлежат защите в той же степени, что
и резервируемая конфиденциальная информация.
1.4.
Ответственность за исполнением настоящего Порядканесетадминистратор МИС
ГБУЗ.
1.5.
ДанныйПорядокпредназначен для администратора МИСГБУЗ.
1.6.
Порядок описывает действия Администратора МИС.
2. Информационные ресурсы, подлежащие резервированию
2.1.
Резервному копированию подлежат все информационные ресурсы ГБУЗ,
содержащие персональные данные субъектов, а именно: пол; дата рождения; место рождения;
гражданство; данные документа, удостоверяющего личность; место жительства; место
регистрации; дата регистрации; страховой номер индивидуального лицевого счета (при
наличии), принятый в соответствии с законодательством Российской Федерации об
индивидуальном (персонифицированном) учете в системе обязательного пенсионного
страхования; номер полиса обязательного медицинского страхования застрахованного лица
(при наличии); анамнез; диагноз; сведения об организации, оказавшей медицинские услуги; вид
оказанной медицинской помощи; условия оказания медицинской помощи; сроки оказания
медицинской помощи; объем оказанной медицинской помощи; результат обращения за
медицинской помощью; серия и номер выданного листка нетрудоспособности (при наличии);
сведения об оказанных медицинских услугах; примененные стандарты медицинской помощи;
сведения о медицинском работнике или медицинских работниках, оказавших медицинскую
услугу.
3. Порядок резервирования
3.1.
Резервирование информационных ресурсов МИС ГБУЗ, выполняется
администратором МИС.
3.2.
Определяется 2 вида резервирования информации:
полное резервирование информации – резервное копирование всей информации,
хранящейся в МИС;
неполное резервирование информации – резервное копирование части
информации, хранящихся в МИС.
Целью неполного резервирования является сохранение изменений в МИС с момента
полного резервирования информации.
45
3.3.
Периодичность проведения работ по резервированию информации определяется
ответственным за обработки и обеспечение безопасности персональных данных ГБУЗ, но не
менее 1 раза в месяц для полного резервирования и 1 раза в неделю для неполного
резервирования.
3.4.
Администратор МИС использует средства резервного копирования МИС для
резервирования информации на отчуждаемый носитель. В случаях, когда резервирование
информации средствами МСИ не представляется возможным, администратор МИС по
согласованию с ответственным за организацию обработки и обеспечение безопасности
персональных данных в ГБУЗ может использовать средство резервного копирования, не
входящее в состав МИС.
3.5.
Резервное копирование с использованием незащищённых каналов связи общего
пользования не допустимо.
3.6.
Резервное копирование по локальной сети на устройство, находящееся вне МИС,
не допустимо.
3.7.
Администратор
МИС
не
имеет
право
ознакамливаться
с
резервируемойинформацией.
Факт
ознакомления
администратора
МИС
с
резервируемойинформацией может быть расценён как превышение служебных полномочий в
соответствии с Трудовым Кодексом Российской Федерации и Кодексом об Административных
Правонарушениях Российской Федерации.
3.8.
В случае удаления информации из МИС должна быть так же удалена ее резервная
копия.
4. Порядок хранения резервных копий
4.1.
Хранение
резервных
копий
информации
должно
исключать
любой
несанкционированный доступ посторонних лиц к носителям информации.
4.2.
Хранение резервных копий необходимо осуществлять в сейфах, несгораемых
шкафах, металлических шкафах с устройством опечатывания. Доступ к местам хранения
резервных копий должен быть предоставлен только администратору МИС и ответственному за
обработку и обеспечение безопасности персональных данных в ГБУЗ.
4.3.
На носителе информации, содержащем резервные копии защищаемой
информации (в том числе персональных данных), не должна храниться посторонняя
информация.
4.4.
Должно быть обеспечено одновременное хранение не менее двух носителей
информации, хранящих полную резервную копию защищаемой информации МИС.
5. Порядок восстановления информации после сбоя
5.1.
В случае сбоя в работе МИС, восстановление данных из резервных копий
осуществляет администратор МИС.
5.2.
Администратор МИС обязан срочно уведомить ответственного за обработку и
обеспечение безопасности персональных данных в ГБУЗ о факте сбоя в работе МИС,
повлёкшего нарушение целостности данных.
46
Утверждено приказом № _____ от «___» ______ 201__ года
Положение
о порядке организации и проведения работ по защите информации
ограниченного распространения (персональных данных) при их обработке в
МИС «Наименование ЛПУ»
1. Общие положения
1.1. Настоящее Положение устанавливает требования к обеспечению безопасности
информации (персональных данных) при ее обработке в информационных системах
персональных данных (далее – ИСПДн)«Наименование ЛПУ» (далее - ГБУЗ), представляющих
собой совокупность персональных данных, содержащихся в базах данных, а также
информационных технологий и технических средств, позволяющих осуществлять обработку
таких персональных данных с использованием средств автоматизации и без использования
таковых.
1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27
июля 2006 года № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами,
регламентирующими обращение и защиту персональных данных.
2. Порядок определения защищаемых информационных ресурсов
2.1. В соответствии с действующим законодательством ГБУЗ является оператором
персональных данных и обрабатывает информационные ресурсы, содержащие персональные
данные, в пределах своих полномочий, установленных в соответствии с федеральным и
областным законодательством, а также организационно-распорядительными документами ГБУЗ
(далее – ОРД) в целях обеспечения реализации прав субъектов персональных данных (далее
Субъектов ПДн).
2.2. В соответствии с ОРД в ГБУЗ определяется и утверждается содержание, состав и
объём обрабатываемых персональных данных.
2.3. В соответствии с ОРД в ГБУЗ определяется и утверждается перечень ИСПДн.
2.4. При проектирования вновь создаваемой или документировании ранее созданной
(эксплуатируемой) ИСПДн определяются цели и содержание обработки персональных данных,
определяемые действующим законодательством, и утверждается перечень обрабатываемых
персональных данных.
3. Основные условия проведения обработки персональных данных в ИСПДн
3.1. Должностные лица ГБУЗ, осуществляющие обработку персональных данных в
ИСПДн, являются пользователями ИСПДн и обязаны принимать необходимые организационные
и технические меры для их защиты.
3.2. Пользователи ИСПДн или иные должностные лица, на законных основаниях
получившие доступ к персональным данным, обязаны не допускать их распространение без
согласия субъекта ПДн или наличия иного законного основания.
3.3. Для планирования, разработки и осуществления мероприятий по обеспечению
безопасности персональных данных при их обработке в ИСПДн распорядительным документом
назначаются ответственные должностные лица.
3.4. Должностными лицами ГБУЗ, получающими доступ к персональным данным в
ИСПДн ГБУЗ, должна обеспечиваться конфиденциальность таких данных.
47
4. Обработка персональных данных в ИСПДн
4.1. Не допускается обработка персональных данных в ИСПДн при отсутствии
комплексной
системы
защиты
информации,
соответствующей
требованиям
нормативно-правовых актов и организационно-распорядительных документов ГБУЗ.
5. Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн
5.1. Допуск к обработке персональных данных ответственных должностных лиц
осуществляется на основании утверждённого списка (перечня).
5.2. Должностные лица ГБУЗ (далее – пользователи) имеют право в отведенное им
рабочим распорядком или распоряжением руководителя структурного подразделения время
решать поставленные задачи в соответствии с полномочиями доступа к информационным
ресурсам ИСПДн.
5.3. Доступ пользователям к ресурсам ИСПДн осуществляется на основании
персональных идентификаторов или паролей.
5.4. Запись и хранение информации, содержащей ПДн, может осуществляться
пользователями только на учтённые в установленном порядке электронные носители
информации.
5.5. Пользователи, участвующие в автоматизированной обработке ПДн и имеющие
доступ к аппаратным средствам, программному обеспечению и данным ИСПДн, несут
персональную ответственность за свои действия и обязаны:
- соблюдать установленные правила обеспечения безопасности информации при
работе с программными и техническими средствами ИСПДн;
- знать и выполнять правила работы со средствами защиты информации,
установленными на АРМ;
- обеспечивать конфиденциальность персональных паролей и сохранность
персональных идентификаторов (ключей);
- выполнять требования по проведению антивирусной защиты в полном объеме.
5.6. Пользователи обязаны извещать руководителя структурного подразделения и
администратора защиты информации ИСПДн в случае:
- утери персонального устройства идентификации (ключа) или при подозрении
компрометации личных ключей и паролей;
- обнаружения нарушений целостности пломб (наклеек), нарушении или несоответствии
номеров печатей на составляющих узлах и блоках автоматизированных рабочих мест (далее АРМ) или иных фактов совершения в его отсутствие попыток несанкционированного доступа
(далее - НСД);
- несанкционированных изменений в конфигурации программных или аппаратных
средств ИСПДн;
- отклонений в нормальной работе системных и прикладных программных средств,
затрудняющих эксплуатацию АРМ, выхода из строя или неустойчивого функционирования узлов
АРМ или периферийных устройств;
- обнаружения ошибок или сбоев функционирования средств защиты информации;
- непредусмотренных конфигурацией АРМ отводов кабелей и подключенных устройств.
5.7. Пользователю категорически запрещается:
- использовать компоненты программного и аппаратного обеспечения АРМ в
неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных
средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства,
не предусмотренные архивом дистрибутивов установленного программного обеспечения АРМ;
- создавать (преднамеренно или непреднамеренно) возможность для ознакомления с
48
защищаемой информацией лиц, не допущенных к ПДн, в том числе оставлять без личного
присмотра на рабочем месте персональный идентификатор, машинные носители и документы,
содержащие защищаемую информацию, либо размещать средства отображения информации
таким образом, чтобы создавалась возможность визуального просмотра информации;
- записывать и хранить ПДн и другую конфиденциальную информацию на неучтенных
носителях информации;
- оставлять АРМ без присмотра во включенном состоянии, не активизировав средства
защиты от НСД (временную блокировку экрана и клавиатуры);
- умышленно использовать недокументированные свойства и ошибки в программном
обеспечении или в настройках средств защиты, которые могут привести к возникновению
предпосылок или угроз утечки (неправомерной модификации) ПДн.
6. Порядок резервирования информации и восстановления работоспособности
технических средств и программного обеспечения ИСПДн, а также средств защиты
информации в ИСПДн
6.1. Для создания резервной копии конфиденциальной информации, обрабатываемой в
ИСПДн, используются только учтённые (зарегистрированные) в установленном порядке
носители информации.
6.2. Пользователи обязаны осуществлять резервное копирование конфиденциальной
информации, в том числе содержащей ПДн, с периодичностью, регламентированной
организационно-распорядительной документацией и технологией обработки информации в
ИСПДн.
6.3. Перед резервным копированием пользователь обязан проверить носитель
информации на отсутствие вредоносных программ.
6.4. Файлы, помещаемые в электронный архив, должны в обязательном порядке
проходить антивирусный контроль.
6.5. Запрещается запись посторонней информации на учтённые носители
информации, предназначенные для копирования ПДн.
6.6. Ответственность за проведение резервного копирования в ИСПДн в соответствии
возлагается на пользователя или системного администратора.
6.7.
Ответственность
за
проведение
мероприятий
по
восстановлению
работоспособности технических средств и программного обеспечения возлагается на
системного администратора ИСПДн.
6.8.
Ответственность
за
проведение
мероприятий
по
восстановлению
работоспособности средств защиты информации (далее - СЗИ) возлагается на администратора
защиты информации ИСПДн.
6.9. При использовании для резервного копирования персональных данных, к
носителям информации предъявляются следующие требования:
6.9.1. Носители информации, содержащие персональные данные, подлежат учёту
(регистрации);
6.9.2. К каждому носителю информации оформляется опись файлов, содержащихся на
нем, с указанием цели обработки и категории персональных данных.
6.9.3. Все носители ПДн, в том числе бумажные, должны храниться в служебных
помещениях в надежно запираемых и опечатываемых (при необходимости) шкафах (сейфах). При
этом должны быть созданы условия, обеспечивающие их сохранность.
7. Правила антивирусной защиты ИСПДн
7.1. Организация антивирусной защиты возлагается на системного администратора и
администратора защиты информации ИСПДн, ответственность за проведение мероприятий
49
антивирусной защиты непосредственно на АРМ ИСПДн возлагается на пользователей.
7.2. К использованию на АРМ ИСПДн допускаются только лицензионные антивирусные
средства.
7.3. Установка и начальная настройка средств антивирусного контроля на АРМ ИСПДн
может осуществляться специализированными организациями, а также администратором защиты
информации.
7.4. Администратор защиты информации осуществляет обновление антивирусных баз с
периодичностью, установленной порядком проведения антивирусного контроля или в
соответствии с рекомендациями производителя.
7.5. Настройка антивирусных программных средств должны предусматривать проверку
на наличие вредоносных программ в начале работы в режиме автозагрузки всех
информационных ресурсов АРМ.
7.6. Файлы, помещаемые в электронный архив на носителях информации, должны в
обязательном порядке подвергаться антивирусной обработке. Периодические проверки
электронных архивов должны проводиться не реже одного раза в месяц.
7.7. Устанавливаемое (изменяемое) программное обеспечение должно быть
предварительно проверено на отсутствие вирусов. Непосредственно после установки
программного обеспечения компьютера или внесения в него изменений, администратором
безопасности должна быть выполнена антивирусная проверка ИСПДн.
7.8. При выявлении признаков наличия на АРМ вредоносных программ (нештатная
работа программного обеспечения, появление графических и звуковых эффектов, искажений
данных, немотивированная утрата массивов данных, частое появление сообщений о системных
ошибках и т.п.) пользователь самостоятельно обязан провести внеочередную антивирусную
обработку своего АРМ известив об этом системного администратора или администратора
защиты информации.
8. Организация парольной защиты в ИСПДн
8.1. Организация процессов генерации паролей, а также контроль периодичности смены
паролей, а также прекращения их действия во всех подсистемах ИСПДн возлагается на сетевого
администратора или администратора защиты информации ИСПДн.
8.2. Персональные пароли пользователей могут генерироваться пользователями
самостоятельно с извещением сетевого администратора (администратора защиты информации)
ИСПДн.
8.3. Генерация паролей осуществляется с учетом следующих требований:
- персональный пароль должен содержать не менее 6 символов;
- в числе символов пароля могут использоваться буквы в верхнем или нижнем
регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена,
фамилии, наименования АРМ и т.д.);
- при смене пароля новое значение должно отличаться от предыдущего;
- пользователь не имеет права сообщать личный пароль другим лицам.
8.4. Полная смена паролей пользователей должна проводиться регулярно не реже
одного раза в квартал.
8.5. В случае прекращения полномочий пользователя (увольнение, смена исполняемых
функций внутри ГБУЗ и т.п.) внеплановая смена личного пароля или удаление учетной записи
пользователя должны производиться сетевым администратором или администратором защиты
информации, с внесением изменений в разрешительную систему доступа ИСПДн.
50
9. Аудит обращений к информационным ресурсам ИСПДн
9.1. С целью выявления фактов несанкционированного доступа к конфиденциальной
информации в ИСПДн система защиты информации в ИСПДн должна предусматривать
подсистему аудита обращений.
9.2. Право настройки электронных журналов, а также проверки и контроля обращений к
ИСПДн, имеют администратор защиты информации и системный администратор.
10. Правила обновления общесистемного и прикладного программного
обеспечения ИСПДн, а также технического обслуживания
10.1. Организация обновления (модификации) общесистемного и прикладного
программного обеспечения, технического обслуживания возлагается на системного
администратора ИСПДн.
10.2. Изменения в конфигурацию аппаратно-программных средств защиты информации,
входящих в состав ИСПДн, осуществляется администратором защиты информации с внесением
соответствующих отметок в организационно-распорядительные документы ИСПДн. Работы
производятся с ведома должностного лица, ответственного за эксплуатацию данной ИСПДн.
10.3. Все изменения конфигураций технических и программных средств должны
производиться на основании заявок должностных лиц, ответственных за эксплуатацию ИСПДн.
10.4. Заявка на внесение изменений в конфигурацию системных и прикладных
программных средств, входящих в состав ИСПДн, может предусматривать установку
(развертывание), обновление, а также удаление на АРМ программных средств, используемых
для решения задач ИСПДн;
10.5. Решение по существу содержащихся в заявке предложений с учётом мнения
администратора защиты информации принимает руководитель структурного подразделения.
10.6. Установка и обновление программного обеспечения на АРМ производится только с
оригинальных лицензионных дистрибутивных носителей, полученных в установленном порядке,
прикладного программного обеспечения - с эталонных копий программных средств.
10.7. После установки (обновления) программного обеспечения системы защиты
информации ИСПДн администратор защиты информации должен произвести соответствующую
запись в «Журнале учета выполнения профилактических работ, установки и модификации
программных средств в ИСПДн» (Приложение № 1 к настоящему Положению), а также
соответствующую отметку в «Техническом паспорте на объект информатизации (ИСПДн)».
10.8. При возникновении ситуаций, требующих передачи компонент АРМ, входящего в
состав ИСПДн, специализированной сервисной организации для ремонта и обслуживания,
носители информации, содержащие персональные данные, извлекаются и помещаются для
хранения в специально отведённое для этих целей хранилище. Носители информации,
извлечённые из системных блоков АРМов, и содержащие персональные данные выносу за
пределы ГБУЗ не подлежат.
11. Осуществление контроля состояния защиты информации в ИСПДн
11.1. Контроль состояния защиты информации в ИСПДн - проверка организационных и
технических мероприятий, предпринятых для обеспечения безопасности ПДн при обработке в
ИСПДн, которые организуются и осуществляются в целях предупреждения и пресечения
возможности получения техническими средствами охраняемых сведений, выявления и
предотвращения утечки информации по техническим каналам, исключения или существенного
затруднения несанкционированного доступа к информации, хищения технических средств и
носителей информации, предотвращения специальных программно-технических воздействий,
вызывающих нарушение целостности информации или работоспособности систем
информатизации.
51
11.2. Основными мероприятиям по контролю состояния защиты информации в ИСПДн
являются:
проверка соответствия условий эксплуатации ИСПДн требованиям нормативных
правовых и организационно-распорядительных документов по защите информации в ИСПДн;
выявление
возможных
каналов
утечки
информации
и
внешних
программно-технических воздействий на информацию, обрабатываемую в ИСПДн;
проверка выполнения установленных норм и требований по защите информации
от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по
защите информации;
проверка выполнения требований по защите ИСПДн от несанкционированного
доступа;
проверка выполнения требований по антивирусной защите всех компонент ИСПДн;
оперативное принятие мер по пресечению нарушений требований и норм защиты
информации в ИСПДн.
11.3. Контроль защиты информации осуществляется с учетом реальных условий
эксплуатации ИСПДн как непосредственно на АРМах ИСПДн, в том числе с применением
средств
аудита
обращений
к
ИСПДн,
так
и
путём
ознакомления
с
организационно-распорядительными документами на ИСПДн.
11.4. С целью проверки эффективности применения организационных и технических
мероприятий по защите информации могут проводиться необходимые инструментальные
исследования и расчеты с привлечением специалистов специализированной организации,
обладающей соответствующими лицензиями на право проведение указанных работ.
11.5. Основными видами технического контроля на объекте организации являются
визуальный контроль условий эксплуатации объектов информатизации, контроль
эффективности защиты информации от утечки по техническим каналам, контроль
эффективности
защиты
от
несанкционированного
доступа
к
информации
и
программно-технических воздействий на информацию.
11.6. Невыполнение установленных нормативных требований по защите ПДн считается
предпосылкой утечки (утраты) защищаемой информации.
11.7. В случае выявления предпосылок утечки (утраты) защищаемой информации с
целью установления обстоятельств их возникновения может проводиться служебное
расследование.
11.8. Контроль защиты информации осуществляется путем проведения как плановых,
так и внеплановых проверок объектов защиты. Плановые проверки проводятся не реже одного
раза в год.
11.9. Обследование объектов информатизации проводится с целью определения
соответствия объектов информатизации ИСПДн требованиям по защите информации,
установленным «Аттестатом соответствия требованиям по безопасности информации». В ходе
обследования объектов информатизации проверяется:
- соответствие класса ИСПДн условиям, сложившимся на момент проверки;
- выполнение требований предписаний на эксплуатацию технических средств и систем,
организации электропитания и заземления;
- соответствие выполняемых в ИСПДн мероприятий по защите информации данным,
изложенным в организационно-распорядительной документации;
выполнение
требований
по
защите
автоматизированных
систем
от
несанкционированного доступа;
- выполнение требований по антивирусной защите;
- сохранность печатей, пломб на технических средствах передачи и обработки
информации, а также на устройствах их защиты;
52
- наличие электробытовой, радио- телевизионной и иной аппаратуры, которыемогут
способствовать возникновению каналов утечки информации.
11.10. Государственный контроль состояния защиты информации вправе осуществлять
федеральные уполномоченные органы в соответствии с действующим законодательством
Российской Федерации. В части обеспечения технической защиты информации (персональных
данных) без применения криптографических средств государственный контроль осуществляет
Федеральная служба технического и экспортного контроля Российской Федерации. В части
защиты информации с применением криптографических средств государственный контроль
осуществляет Федеральная служба безопасности Российской Федерации.
12. Ответственность должностных лиц
12.1. Должностные лица ГБУЗ, допущенные к обработке персональных данных в
ИСПДн, виновные в нарушении норм, регулирующих получение, обработку и защиту
персональных данных, несут дисциплинарную административную, гражданско-правовую или
уголовную ответственность в соответствии с законодательством Российской Федерации.
53
Приложение № 1
к Положению о порядке организации и проведения работ
по защите информации ограниченного распространения
(персональных данных) при их обработке в МИС
«Наименование ЛПУ»
Журнал
учета выполнения профилактических работ, установки и модификации программных
средств МИС
№
п/п
Дата
1
2
Краткое
описание
выполненной
работы
3
ФИО
ФИО
Подпись
Примечание
исполнителей ответственного администратора (ссылка на
и их подписи
за
защиты
заявку)
эксплуатацию
информации
АРМ, подпись
4
5
6
7
54
Утверждено приказом № _____ от «___» ______ 201__ года
Положение о защите персональных данных
1.
Общие положения
1.1 Цель настоящего Положения – обеспечение в соответствии с законодательством
Российской Федерации хранения и защиты персональных данных сотрудников, пациентов, а
также персональных данных, содержащихся в документах, полученных из других организаций, в
обращениях граждан и иных субъектов персональных данных в «Наименование ЛПУ» (далее ГБУЗ).
1.2 Основанием для разработки данного Положения являются:
–
Конституция РФ;
–
Трудовой кодекс РФ;
–
Федеральный закон от 27.07.06г. № 152-ФЗ «О персональных данных» (в ред. от
27.07.2010г. № 204-ФЗ);
–
Федеральный закон от 27.07.06г. № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
–
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении
требований к защите персональных д;анных при их обработке в информационных системах
персональных данных»
–
Федеральный закон от 29.07.04г. №98-ФЗ «О коммерческой тайне»;
–
Федеральный закон РФ от 22.07.1993г. № 5487-1 «Основы законодательствава
Российской Федерации об охране здоровья граждан (в ред. от 28.09.2010г. № 243-ФЗ)»;
–
Федеральный закон Российской Федерации от 21.11.2011 № 323-ФЗ "Об основах
охраны здоровья граждан в Российской Федерации";
–
Федеральный закон Российской Федерации от 29.11.2010 №326-ФЗ «Об
обязательном медицинском страховании в Российской Федерации».
2.
Термины и определения, используемые в настоящем положении
2.1. Для целей настоящего Положения в тексте применяются следующие термины и
определения:
–
Оператор персональных данных (далее оператор) - государственный орган,
муниципальный орган, юридическое или физическое лицо, организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели и содержание
обработки персональных данных. В рамках настоящего положения оператором является ГБУЗ;
–
Субъект персональных данных – далее субъект. Безопасность персональных
данных достигается путем исключения несанкционированного, в том числе случайного, доступа к
персональным данным, результатом которого может стать уничтожение, изменение,
блокирование, копирование, распространение персональных данных, а также иных
несанкционированных действий;
Врачебная тайна – соблюдение конфиденциальности информации о факте
обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его
заболевания и иных сведений, полученных при его обследовании и лечении;
Персональные данные пациента - любая информация, относящаяся к
определенному или определяемому на основании такой информации физическому лицу
55
(субъекту персональных данных), в том числе его фамилия, имя, отчество (последнее - при
наличии); пол; дата рождения; место рождения; гражданство; данные документа,
удостоверяющего личность; место жительства; место регистрации; дата регистрации; страховой
номер индивидуального лицевого счета (при наличии), принятый в соответствии с
законодательством Российской Федерации об индивидуальном (персонифицированном) учете в
системе обязательного пенсионного страхования; номер полиса обязательного медицинского
страхования застрахованного лица (при наличии); анамнез; диагноз; сведения об организации,
оказавшей медицинские услуги; вид оказанной медицинской помощи; условия оказания
медицинской помощи; сроки оказания медицинской помощи; объем оказанной медицинской
помощи; результат обращения за медицинской помощью; серия и номер выданного листка
нетрудоспособности (при наличии); сведения об оказанных медицинских услугах; примененные
стандарты медицинской помощи; сведения о медицинском работнике или медицинских
работниках, оказавших медицинскую услугу;
Документы, содержащие персональные сведения пациента – формы
медицинской и иной учетно-отчетной документации, включающие сведения о персональных
данных;
Обработка персональных данных пациента - действия (операции) с
персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение
(обновление, изменение), использование, распространение (в том числе передачу),
обезличивание, блокирование, уничтожение персональных данных сотрудника;
Распространение персональных данных - действия, направленные на передачу
персональных данных определенному кругу лиц (передача персональных данных) или на
ознакомление с персональными данными неограниченного круга лиц, в том числе
обнародование персональных данных в средствах массовой информации, размещение в
информационно-телекоммуникационных сетях или предоставление доступа к персональным
данным каким-либо иным способом;
Использование персональных данных - действия (операции) с персональными
данными, совершаемые оператором в целях принятия решений или совершения иных действий,
порождающих юридические последствия в отношении субъекта персональных данных или
других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных
или других лиц;
Блокирование персональных данных - временное прекращение сбора,
систематизации, накопления, использования, распространения персональных данных, в том
числе их передачи;
Уничтожение персональных данных - действия, в результате которых
невозможно восстановить содержание персональных данных в информационной системе
персональных данных или в результате которых уничтожаются материальные носители
персональных данных;
Обезличивание персональных данных - действия, в результате которых
невозможно определить принадлежность персональных данных конкретному субъекту
персональных данных;
Информационная система персональных данных - информационная система,
представляющая собой совокупность персональных данных, содержащихся в базе данных, а
также информационных технологий и технических средств, позволяющих осуществлять
обработку таких персональных данных с использованием средств автоматизации или без
использования таких средств;
Конфиденциальность персональных данных - обязательное для соблюдения
ГБУЗ или иным получившим доступ к персональным данным лицом требование не допускать их
распространение без согласия субъекта персональных данных или наличия иного законного
56
основания;
Несанкционированный доступ (несанкционированные действия) - доступ к
информации или действия с информацией, нарушающие правила разграничения доступа, в том
числе с использованием штатных средств, предоставляемых информационными системами
персональных данных;
Общедоступные персональные данные - персональные данные, доступ
неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных
или на которые в соответствии с федеральными законами не распространяется требование
соблюдения конфиденциальности.
3.
Общие принципы и условия обработки персональных данных
3.1 Обработка персональных данных осуществляется на основе принципов:
–
законности целей и способов обработки персональных данных и добросовестности;
–
соответствия целей обработки персональных данных целям, заранее
определенным и заявленным при сборе персональных данных, а также полномочиям ГБУЗ;
–
соответствия объема и характера обрабатываемых персональных данных, способов
обработки персональных данных целям обработки персональных данных;
–
достоверности персональных данных, их достаточности для целей обработки,
недопустимости обработки персональных данных, избыточных по отношению к целям,
заявленным при сборе персональных данных;
–
недопустимости объединения созданных для несовместимых между собой целей
баз данных информационных систем персональных данных.
3.2 В целях обеспечения прав и свобод человека и гражданина ГБУЗ и его
представители при обработке персональных данных пациента обязаны соблюдать следующие
общие требования:
–
обработка персональных данных пациента может осуществляться исключительно в
целях обеспечения соблюдения законов и иных нормативных правовых актов, для
осуществления государственной политики в сфере здравоохранения, обеспечивающей
необходимые условия при реализации конституционных прав гражданина на охрану здоровья,
получение медицинской помощи, лекарственного обеспечения, реализации на территории
Камчатского края проектов и целевых программ в сфере здравоохранения, участия в реализации
государственной политики в области обязательного медицинского страхования граждан в
соответствии с законодательством Российской Федерации и Камчатского края, контроля
количества и качества оказанной пациенту медицинской помощи;
–
все персональные данные пациента следует получать у него самого или его
полномочного представителя. Если персональные данные пациента, возможно, получить только
у третьей стороны, то пациент должен быть уведомлен об этом заранее и от него должно быть
получено письменное согласие;
–
При определении объема и содержания, обрабатываемых персональных данных
пациента, ГБУЗ должно руководствоваться Конституцией Российской Федерации, Федеральным
законом № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»,
законодательством РФ в сфере защиты персональных данных и обработки информации, и
иными Федеральными законами и локальными нормативными актами в области защиты
персональных данных;
–
ГБУЗ не имеет права получать и обрабатывать персональные данные пациента о
его политических, религиозных и иных убеждениях и частной жизни;
–
ГБУЗ не имеет права получать и обрабатывать персональные данные пациента о
его членстве в общественных объединениях или его профсоюзной деятельности;
57
–
При принятии решений, затрагивающих интересы пациента, ГБУЗ не имеет права
основываться на персональных данных пациента, полученных исключительно в результате их
автоматизированной обработки или электронного получения;
–
Защита персональных данных пациента от неправомерного их использования или
утраты должна быть обеспечена ГБУЗ за счет его средств в порядке, установленном
федеральным законом и другими нормативными документами.
3.3 При приеме к врачу пациент представляет следующие документы, содержащие
персональные данные о себе:
–
паспорт или иной документ, удостоверяющий личность, гражданство;
–
полис ОМС;
–
страховой номер индивидуального лицевого счета в Пенсионном фонде России
(СНИЛС);
–
в отдельных случаях с учетом специфики обследования, в ГБУЗ действующим
законодательством
РФ
может
предусматриваться
необходимость
предъявления
дополнительных документов.
3.4 При поступлении на работу работник представляет сотрудникам отдела кадров
следующие документы, содержащие персональные данные о себе:
–
паспорт или иной документ, удостоверяющий личность;
–
трудовую книжку, за исключением случаев, когда трудовой договор заключается
впервые или работник поступает на работу на условиях совместительства;
–
страховое свидетельство государственного пенсионного страхования;
–
свидетельство о регистрации индивидуального налогового номера (ИНН);
–
документы воинского учета - для военнообязанных и лиц, подлежащих призыву на
военную службу;
–
документ об образовании, о квалификации или наличии специальных знаний - при
поступлении на работу, требующую специальных знаний или специальной подготовки.
3.5 При заключении трудового договора и в ходе трудовой деятельности может
возникнуть необходимость в предоставлении служащим документов:
–
о возрасте детей;
–
об инвалидности;
–
о донорстве;
–
о составе семьи;
–
о необходимости ухода за больным членом семьи;
–
прочие.
3.6 После того, как будет принято решение о приеме работника на работу, а также
впоследствии в процессе трудовой деятельности, к документам, содержащим персональные
данные субъекта, также будут относиться:
–
трудовой договор;
–
приказ о приеме на работу;
–
приказы о поощрениях и взысканиях;
–
медицинский осмотр сотрудника при приеме на работу (флюрограмма грудной
клетки, анализ крови на RW, ВИЧ, гепатиты);
–
приказы, связанные с прохождением учебы сотрудников;
–
карточка унифицированной формы Т-2, утвержденная постановлением Госкомстата
России от 05.01.04 №1;
–
другие документы согласно законодательству Российской Федерации.
58
4.
Хранение и защита персональных данных работников
4.1 Персональные данные работников хранятся на бумажных носителях в помещении
отдела кадров (регистратуре). Для этого используются специально оборудованные шкафы и
сейфы. Личные дела уволенных (прошедших обследование, лечение) субъектов хранятся в
архиве ГБУЗ.
4.2 Сведения о начислении и выплате заработной платы работникам ГБУЗ хранятся на
бумажных носителях в помещении управления экономики и бухгалтерского учета. По истечении
сроков хранения, установленных законодательством РФ, данные сведения передаются в архив
ГБУЗ.
4.3 Конкретные обязанности по ведению, хранению личных дел работников,
заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные
данные субъектов, возлагается на работников отдела кадров, а по хранению личных дел
уволенных (обследованных, пролеченных) субъектов – на работников архива и закрепляются в
должностных инструкциях.
4.4 Персональные данные субъектов хранятся не дольше, чем этого требуют цели их
обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты
необходимости в их достижении. Документы, содержащие персональные данные, подлежат
хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской
Федерации.
5.
Порядок хранения и использования персональных данных пациентов
Информация персонального характера пациента обрабатывается с соблюдением
требований российского законодательства о защите персональных данных.
5.1 Доступ к персональным данным пациентов имеют работники ГБУЗ, допущенные к
работе с персональными данными работников приказом ГБУЗ. В должностные инструкции
данных работников включается пункт об обязанности сохранения врачебной тайны.
5.2 Обработка персональных данных пациентов осуществляется смешанным путем:
–
Неавтоматизированным способом обработки персональных данных;
–
Автоматизированным способом обработки персональных данных (с помощью ПЭВМ
и специальных программных продуктов).
5.3 Персональные данные пациентов преимущественно хранятся на бумажных
носителях.
5.4 Основным документом, содержащим персональные данные пациента, является
медицинская карта амбулаторного больного и история болезни стационарного больного.
5.5 Медицинская карта амбулаторного больного заводится на каждого обратившегося в
поликлинику за оказанием медицинском помощи при первом обращении и хранится в
регистратуре поликлиники ГБУЗ. Медицинская карта передается врачам-специалистам
поликлиники при личном обращении пациента в поликлинику, по окончании приема медицинская
карта сдается медсестрой врача-специалиста в регистратуру поликлиники.
5.6 История болезни стационарного больного заводится при каждой госпитализации
пациента в стационарные отделения ГБУЗ. После выписки пациента из стационарного
отделения история болезни подлежит передачи в архив.
5.7 Журналы и другие формы медицинской документации, содержащие персональные
данные пациентов, оформляются и хранятся в подразделениях ГБУЗ в соответствии с
требованиями действующих приказов.
5.8 Прочие документы, используемые при оказании медицинской помощи и содержащие
персональные данные пациентов (акты, направления, договоры, квитанции и пр.), после
59
оформления передаются работнику, допущенному к работе с персональными данными, в
должностные обязанности которого входит обработка этих данных.
5.9 Хранение оконченных производством документов, содержащих персональные
данные пациентов, осуществляется в архиве ГБУЗ.
5.10 Регламент работы с медицинской документацией утверждён приказом главного
врача.
5.11 Персональные данные пациентов также хранятся в электронном виде на сервере
баз данных ГБУЗ. Доступ к электронным базам данных ограничен паролем.
5.12 Возможна передача персональных данных пациентов по внутренней сети
организации с использованием технических и программных средств защиты информации, с
доступом только для работников ГБУЗ, допущенных к работе с персональными данными
работников приказом главного врача и только в объеме, необходимом данным работникам для
выполнения своих должностных обязанностей.
5.13 Для обеспечения хранения персональных данных пациентов определяются
следующие оснащенные средствами защиты места:
–
Регистратура поликлиники ГБУЗ, ограниченного доступа в течение рабочего дня, по
окончании рабочего дня закрывается на ключ.
–
Врачебные кабинеты поликлинического отделения;
–
Ординаторские стационарных отделений ГБУЗ
–
Архив ГБУЗ
5.14 ГБУЗ пользуется услугами вневедомственной охраны и здания ГБУЗ находятся под
его охраной. Также здания снабжены пожарной сигнализацией.
5.15 Хранение персональных данных пациентов осуществляется не дольше, чем этого
требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в
случае утраты необходимости в их достижении.
5.16 Хранение
документов,
содержащих
персональные
данные
пациентов,
осуществляется в течение установленных действующими нормативными актами сроков
хранения данных документов. По истечении установленных сроков хранения документы
подлежат уничтожению в порядке, предусмотренном приказами по архивному делу.
6.
Защита персональных данных
6.1 Защита информации представляет собой принятие правовых, организационных и
технических мер, направленных на:
–
обеспечение защиты информации от неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования, предоставления, распространения, а также от
иных неправомерных действий в отношении такой информации;
–
соблюдение конфиденциальности информации ограниченного доступа;
–
реализацию права на доступ к информации.
6.2 Для обеспечения безопасности персональных данных при неавтоматизированной
обработке предпринимаются следующие меры:
–
все действия по обработке персональных данных осуществляются только
работниками ГБУЗ, допущенными приказом главного врача к работе с персональными данными,
и только в объеме, необходимом данным лицам для выполнения своей трудовой функции;
–
обработка персональных данных осуществляется с соблюдением порядка,
предусмотренного Постановлением Правительства от 15.09.2008 № 687 «Об утверждении
Положения об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации».
6.3 Для обеспечения безопасности персональных данных пациентов при
60
автоматизированной обработке предпринимаются следующие меры:
–
персональные компьютеры, с которых осуществляется доступ к персональным
данным, защищены паролями доступа. Пароли устанавливаются администратором и
сообщаются индивидуально работнику, допущенному к работе с персональными данными и
осуществляющему обработку персональных данных пациентов на данном ПК;
–
иные меры, предусмотренные Положением о порядке организации и проведения
работ по защите информации ограниченного распространения (персональных данных) при их
обработке в медицинской информационной системе «Наименование ЛПУ»;
–
обработка персональных данных осуществляется с соблюдением порядка,
предусмотренного Постановлением Правительства от 01.11. 2012 № 1119 «Об утверждении
требований к защите персональных данных при их обработке в информационных системах
персональных данных».
61
Утверждено приказом № _____ от «___» ______ 201__ года
Положение об организации обработки персональных данных
1.
Общие положения
1.1
Настоящим Положением определяется порядок получения, обработки, хранения,
передачи и любого другого использования персональных данных субъектов, персональных
данных «Наименование ЛПУ» (далее – ГБУЗ) (работников и пациентов), а также ведения их
личных дел, медицинских карт.
1.2
Цель настоящего Положения – обеспечение в соответствии с законодательством
Российской Федерации обработки, хранения и защиты персональных данных сотрудников,
пациентов, а также персональных данных, содержащихся в документах, полученных из других
организаций, в обращениях граждан и иных субъектов персональных данных.
1.3
Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым
кодексом РФ, Федеральным законом от 27.07.06г. № 152-ФЗ «О персональных данных» (в ред. от
27.07.2010г. № 204-ФЗ), Федеральным законом от 27.07.06г. № 149-ФЗ «Об информации,
информационных технологиях и о защите информации», Федеральным законом от 29.07.04г.
№98-ФЗ «О коммерческой тайне», Федеральным законом от 22.10.04г. № 125-ФЗ «Об архивном
деле в Российской Федерации», указанием Федерального агентства по образованию от 22. 10.
09г. №17-187 «Об обеспечении защиты персональных данных»,Федеральным законом РФ от
22.07.1993г. № 5487-1 «Основы законодательства Российской Федерации об охране здоровья
граждан (в ред. от 28.09.2010г. № 243-ФЗ)».
1.4
В настоящем Положении используются следующие термины и определения:
Оператор персональных данных (далее оператор) - государственный орган,
муниципальный орган, юридическое или физическое лицо, организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели и содержание
обработки персональных данных.
Субъект персональных данных – далее субъект. Безопасность персональных данных
достигается путем исключения несанкционированного, в том числе случайного, доступа к
персональным данным, результатом которого может стать уничтожение, изменение,
блокирование, копирование, распространение персональных данных, а также иных
несанкционированных действий.
Персональные данные (ПД) – любая информация, относящаяся к определенному или
определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе:
фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая информация,
определяемая нормативно-правовыми актами Российской Федерации в области трудовых
отношений и здравоохранения, Положением об обработке и защите персональных данных и
приказами Организации.
Обработка персональных данных – действия (операции) с персональными данными,
включая систематизацию, накопление, хранение, комбинирование, уточнение (обновление,
изменение), использование, распространение (в том числе передачу), обезличивание,
блокирование, уничтожение персональных данных.
Защита персональных данных – деятельность уполномоченных лиц по обеспечению с
помощью локального регулирования порядка обработки персональных данных и обеспечение
62
организационно-технических мер защиты информации от неправомерного доступа,
уничтожения,
модифицирования,
блокирования,
копирования,
предоставления,
распространения.
Конфиденциальная информация – это информация (в документированном или
электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.
Распространение персональных данных - действия, направленные на передачу
персональных данных определенному кругу лиц (передача персональных данных) или на
ознакомление с персональными данными неограниченного круга лиц, в том числе
обнародование персональных данных в средствах массовой информации, размещение в
информационно-телекоммуникационных сетях или предоставление доступа к персональным
данным каким-либо иным способом.
Использование персональных данных - действия (операции) с персональными
данными, совершаемые оператором в целях принятия решений или совершения иных действий,
порождающих юридические последствия в отношении субъекта персональных данных или
других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных
или других лиц.
Блокирование
персональных
данных - временное прекращение сбора,
систематизации, накопления, использования, распространения персональных данных, в том
числе их передачи.
Уничтожение персональных данных - действия, в результате которых невозможно
восстановить содержание персональных данных в информационной системе персональных
данных или в результате которых уничтожаются материальные носители персональных данных.
2.
Сбор и обработка персональных данных субъектов персональных данных
2.1.
Информационные системы классифицируются государственными органами,
муниципальными органами, юридическими или физическими лицами, организующими и (или)
осуществляющими обработку персональных данных, а также определяющими цели и
содержание обработки персональных данных (далее – оператор), в зависимости от объема
обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам
личности, общества и государства. Сбор и обработка персональных данных осуществляется
исключительно с письменного согласия субъекта.
2.2.
В целях обеспечения прав и свобод человека и гражданина оператор и его
представители при обработке персональных данных субъекта ПД обязаны соблюдать
следующие общие требования:
–
обработка персональных данных субъекта может осуществляться исключительно
в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия
работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной
безопасности, количества и качества выполняемой работы, обследования, наблюдения и
лечения пациентов и обеспечения сохранности имущества оператора, работника (пациента) и
третьих лиц;
–
обработка персональных данных может осуществляться для статистических или
иных научных целей при условии обязательного обезличивания персональных данных;
–
при определении объема и содержания обрабатываемых персональных данных
оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом
РФ и иными федеральными законами;
–
информация о персональных данных субъекта предоставляется оператору
субъектом устно, либо путем заполнения личных карточек формы Т-2 для работников
(медицинских карт для пациентов), которые хранятся в личном деле в отделе кадров
63
(регистратуре/архиве). Если персональные данные субъекта возможно получить только у
третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено
письменное согласие (либо письменный отказ). В письменном уведомлении оператор должен
сообщить субъекту о целях, предполагаемых источниках и способах получения персональных
данных, характере подлежащих получению персональных данных (например, оформление
запроса в медицинское учреждение о прохождении обследования и лечения и т.п.) и
последствиях отказа субъекта дать письменное согласие на их получение;
–
оператор не имеет права получать и обрабатывать персональные данные
субъекта, касающиеся расовой, национальной принадлежности, политических взглядов,
религиозных или философских убеждений, состояния здоровья и частной жизни. В случаях,
непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24
Конституции Российской Федерации, оператор вправе получать и обрабатывать данные о
частной жизни субъекта только с его письменного согласия;
–
оператор не имеет права получать и обрабатывать персональные данные
субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за
исключением случаев, предусмотренных федеральными законами;
–
при принятии решений, затрагивающих интересы субъекта, оператор не имеет
права основываться на персональных данных субъекта, полученных исключительно в
результате их автоматизированной обработки или электронного получения.
2.3.
При поступлении на работу работник представляет сотрудникам отдела кадров
следующие документы, содержащие персональные данные о себе:
–
паспорт или иной документ, удостоверяющий личность;
–
трудовую книжку, за исключением случаев, когда трудовой договор заключается
впервые или работник поступает на работу на условиях совместительства;
–
страховое свидетельство государственного пенсионного страхования;
–
свидетельство о регистрации индивидуального налогового номера (ИНН);
–
документы воинского учета - для военнообязанных и лиц, подлежащих призыву на
военную службу;
–
документ об образовании, о квалификации или наличии специальных знаний - при
поступлении на работу, требующую специальных знаний или специальной подготовки.
2.4.
При приеме к врачу пациент представляет следующие документы, содержащие
персональные данные о себе:
–
паспорт или иной документ, удостоверяющий личность, гражданство;
–
полис ОМС;
–
страховой номер индивидуального лицевого счета в Пенсионном фонде России
(СНИЛС);
–
в отдельных случаях с учетом специфики обследования в учреждение
здравоохранения
действующим
законодательством
РФ
может
предусматриваться
необходимость предъявления дополнительных документов.
2.5.
Запрещается требовать от лица, поступающего на работу (или прием), документы
помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами
Президента Российской Федерации и постановлениями Правительства Российской Федерации.
2.6.
При заключении трудового договора и в ходе трудовой деятельности может
возникнуть необходимость в предоставлении служащим документов:
–
о возрасте детей;
–
об инвалидности;
–
о донорстве;
–
о составе семьи;
–
о необходимости ухода за больным членом семьи;
64
–
прочие.
2.7.
После того, как будет принято решение о приеме работника на работу, а также
впоследствии в процессе трудовой деятельности, к документам, содержащим персональные
данные субъекта, также будут относиться:
–
трудовой договор;
–
приказ о приеме на работу;
–
приказы о поощрениях и взысканиях;
–
медицинский осмотр сотрудника при приеме на работу (флюрограмма грудной
клетки, анализ крови на RW, ВИЧ, гепатиты);
–
приказы, связанные с прохождением учебы сотрудников;
–
карточка унифицированной формы Т-2, утвержденная постановлением
Госкомстата России от 05.01.04 №1;
–
другие документы согласно законодательству Российской Федерации.
2.8 В целях информационного обеспечения могут создаваться общедоступные источники
персональных данных (в том числе справочники, электронные базы). В общедоступные
источники персональных данных могут включаться фамилия, имя, отчество, должность,
подразделение, служебные телефоны и адрес электронной почты.
2.9 К числу массовых потребителей персональных данных вне учреждения относятся
государственные и негосударственные функциональные структуры: налоговые инспекции;
правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы
социального страхования; пенсионные фонды; подразделения федеральных, областных и
муниципальных органов управления. Надзорно - контрольные органы имеют доступ к
информации только в сфере своей компетенции.
3.
Хранение и защита персональных данных субъектов персональных данных
3.1
Персональные данные субъектов хранятся на бумажных носителях в помещении
отдела кадров (регистратуре). Для этого используются специально оборудованные шкафы и
сейфы. Личные дела уволенных (прошедших обследование, лечение) субъектов хранятся в
архиве учреждения здравоохранения.
3.2
Сведения о начислении и выплате заработной платы работникам учреждения
здравоохранения хранятся на бумажных носителях в помещении управления экономики и
бухгалтерского учета. По истечении сроков хранения, установленных законодательством РФ,
данные сведения передаются в архив учреждения здравоохранения.
3.3
Конкретные обязанности по ведению, хранению личных дел субъектов,
заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные
данные субъектов, возлагается на работников отдела кадров, а по хранению личных дел
уволенных (обследованных, пролеченных) субъектов – на работников архива и закрепляются в
должностных инструкциях.
3.4
Персональные данные субъектов хранятся не дольше, чем этого требуют цели их
обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты
необходимости в их достижении. Документы, содержащие персональные данные, подлежат
хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской
Федерации.
3.5
Сведения о субъектах ПД учреждения здравоохранения хранятся также на
электронных носителях – в базах данных (ПЕРЕЧИСЛИТЬ БАЗЫ ДАННЫХ).
3.6
При получении сведений, составляющих персональные данные субъектов
заинтересованные лица имеют право получать только те персональные данные, которые
необходимы для выполнения конкретных функций и заданий.
65
3.7
Защита информации о персональных данных.
–
сотрудники ГБУЗ, имеющие доступ к персональным данным, обязаны принимать
необходимые организационные и технические меры для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования,
копирования, распространения, а также от иных неправомерных действий в отношении данной
информации;
–
сотрудники ГБУЗобеспечивают следующие меры по защите хранящейся на
сервере информации:

ограничение сетевого доступа на сервер для определенных пользователей;

организацию в отдельном сегменте сети всех компьютеров пользователей и
серверов с ограниченным доступом из локальной сети ГБУЗ;

организацию контроля технического состояния серверов и уровней защиты и
восстановления информации;

проведение регулярного резервного копирования информации;

ведение аудита действий пользователей и своевременное обнаружение фактов
несанкционированного доступа к информации.
4.
Передача персональных данных субъектов ПД
При передаче персональных данных субъектов сотрудники ГБУЗ, имеющие доступ к
персональным данным, должны соблюдать следующие требования:
4.1
Не сообщать персональные данные субъекта третьей стороне без письменного
согласия работника субъекта, за исключением случаев, когда это необходимо в целях
предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных
Трудовым кодексом РФ или иными федеральными законами.
4.2
Не сообщать персональные данные субъекта в коммерческих целях без его
письменного согласия.
4.3
Предупредить лиц, получающих персональные данные субъекта, о том, что эти
данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих
лиц подтверждения того, что это правило соблюдено.
4.4
Разрешать доступ к персональным данным субъектов только специально
уполномоченным лицам, при этом указанные лица должны иметь право получать только те
персональные данные субъектов, которые необходимы для выполнения конкретных функций.
4.5
Передавать персональные данные работника представителю работника в порядке,
установленном Трудовым кодексом РФ и настоящим Положением, и ограничивать эту
информацию только теми персональными данными работника, которые необходимы для
выполнения указанным представителем его функций.
4.6
Передача персональных данных пациентов третьим лицам осуществляется ГБУЗ
только с письменного согласия пациента, с подтверждающей визой главного врача, за
исключением случаев, предусмотренных статьёй 13 ФЗ № 323:
–
в целях проведения медицинского обследования и лечения гражданина, который в
результате своего состояния не способен выразить свою волю, с учётом положений пункта 1
части 9 статьи 20 указанного Федерального закона;
–
при угрозе распространения инфекционных заболеваний, массовых отравлений и
поражений;
–
по запросу органов дознания и следствия, суда в связи с проведением
расследования или судебным разбирательством, по запросу органа уголовно-исполнительной
системы в связи с исполнением уголовного наказания и осуществлением контроля за
поведением условно осужденного, осужденного, в отношении которого отбывание наказания
66
отсрочено, и лица, освобожденного условно-досрочно;
–
в случае оказания медицинской помощи несовершеннолетнему в соответствии с
пунктом 2 части 2 статьи 20 указанного Федерального закона, а также несовершеннолетнему, не
достигшему возраста, установленного частью 2 статьи 54 указанного Федерального закона, для
информирования одного из его родителей или иного законного представителя;
–
в целях информирования органов внутренних дел о поступлении пациента, в
отношении которого имеются достаточные основания полагать, что вред его здоровью причинён
в результате противоправных действий;
–
в целях проведения военно-врачебной экспертизы по запросам военных
комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных
органов исполнительной власти, в которых федеральным законом предусмотрена военная и
приравненная к ней служба;
–
в целях расследования несчастного случая на производстве и профессионального
заболевания;
–
при обмене информацией медицинскими организациями, в том числе
размещенной в медицинских информационных системах, в целях оказания медицинской помощи
с учетом требований законодательства Российской Федерации о персональных данных;
–
в целях осуществления учета и контроля в системе обязательного социального
страхования;
–
в целях осуществления контроля качества и безопасности медицинской
деятельности в соответствии с указанным Федеральным законом.
4.7
Лица, которым в установленном законом порядке переданы сведения,
составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками
несут ответственность за разглашение врачебной тайны дисциплинарную, административную
или уголовную ответственность в соответствии с законодательством Российской Федерации.
4.8
ГБУЗ обеспечивает ведение журнала учета передачи персональных данных
пациентов, в котором регистрируются поступившие запросы, фиксируются сведения о лице,
направившем запрос, дата передачи персональных данных, а также отмечается, какая именно
информация была передана (Приложение №1).
4.9
В случае если лицо, обратившееся с запросом, не уполномочено федеральным
законом на получение персональных данных пациента, либо отсутствует письменное согласие
пациента на
предоставление
его персональных данных, ГБУЗ обязано отказать в
предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом,
выдаётся мотивированный отказ в предоставлении персональных данных в письменной форме,
копия отказа хранится у ГБУЗ.
4.10 В целях выполнения необходимых условий для реализации конституционных прав
граждан на охрану здоровья, получение медицинской помощи, лекарственного обеспечения,
профилактики инвалидности и медицинской реабилитации инвалидов, оказания медицинской и
профилактической помощи населению, санаторно-курортного лечения возможна передача
персональных данных пациентов при наличии письменного согласия пациента, в
уполномоченные региональные и федеральные органы исполнительной власти по отрасли
здравоохранения и социального развития, федеральные и региональные Фонды, страховые
медицинские организации, другие медицинские и фармацевтические организации, участвующие
в реализации Программы государственных гарантий оказания гражданам бесплатной
медицинской помощи, в том числе государственной политики в области обязательного
медицинского страхования граждан и ДМС, реализации приоритетных национальных проектов и
целевых программ по отрасли здравоохранение, обеспечении отдельных категорий граждан
необходимыми лекарственными средствами, а также работодателю – в случаях проведения
профилактических медицинских осмотров в соответствии с заключенным между ГБУЗ и
67
работодателем пациента договором.
4.11 Передача указанных сведений и документов осуществляется с согласия пациента.
Согласие пациента оформляется письменно в виде отдельного документа. После получения
согласия пациента дальнейшая передача указанных сведений и документов, данных лицам
дополнительного письменного согласия не требует.
5.
Права субъектов в целях защиты персональных данных
В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты
имеют право на:
–
полную и безвозмездную информацию об их персональных данных и обработке
этих данных;
–
свободный бесплатный доступ к своим персональным данным, включая право на
получение копий любой записи, содержащей персональные данные субъекта, за исключением
случаев, предусмотренных федеральным законом;
–
определение своих представителей для защиты своих персональных данных;
–
требование об исключении или исправлении неверных или неполных
персональных данных, а также данных, обработанных с нарушением требований Трудового
кодекса РФ или иного федерального закона. При отказе оператора исключить или исправить
персональные данные субъекта он имеет право заявить в письменной форме оператору о своем
несогласии с соответствующим обоснованием такого несогласия. Персональные данные
оценочного характера субъект имеет право дополнить заявлением, выражающим его
собственную точку зрения;
–
требование об извещении оператором всех лиц, которым ранее были сообщены
неверные или неполные персональные данные субъекта, обо всех произведенных в них
исключениях, исправлениях или дополнениях;
–
обжалование в суд любых неправомерных действий или бездействия оператора
при обработке и защите его персональных данных.
6.
Ответственность за нарушение норм, регулирующих получение, обработку и
защиту персональных данных субъекта
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту
персональных данных субъекта, привлекаются к ответственности в порядке, установленном
Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к
гражданско-правовой, административной и уголовной ответственности в порядке,
установленном федеральными законами.
68
№
п/п
Сведения о
запрашивающем
лице
Подпись
ответственного
сотрудника
Подпись
запрашивающего
лица
Дата передачи/отказа
в передаче
персональных
данных
Отметка о передаче
или отказе в передаче
персональных
данных
Цель получения
персональных
данных
Состав
запрашиваемых
персональных
данных
Приложение №1
Журнал учета передачи персональных данных
1.
2.
3.
69
Утвержден приказом № _____ от «___» ______ 201__ года
Проект разрешительной системы доступа (матрица доступа пользователей к
информационным ресурсам, программным и техническим средствам МИС
«Наименование ЛПУ»)
Матрица доступа пользователей
Перечень групп, участвующих в обработке персональных данных в МИС
Структурное
подразделение
Должность
Роль в МИС
Разрешенные действия
70
Утвержден приказом № _____ от «___» ______ 201__ года
Положение о порядке хранения и уничтожения носителей персональных данных
1. Общие положения
1.1.
Настоящее «Положение о порядке хранения и уничтожения носителей
персональных данных» (далее – Положение) определяет условия хранения, вывода из
эксплуатации и уничтожения работниками «Наименование ЛПУ» (далее - ГБУЗ) защищаемых
носителей информации.
1.2.
Цель настоящего Положения заключается в доведении до всех работников правил
использования защищаемых носителей информации и достижения эффективного
использования защищаемых носителей информации.
1.3.
Все защищаемые носители информации делятся на съемные машинные носители
информации (далее – СМНИ) и накопители на жёстких магнитных дисках (НЖМД).
1.4.
СМНИ являются средством передачи и хранения различной информации в
электронном виде. Нарушения правил использования СМНИ приводят к утечке информации
ограниченного доступа, нарушению функционирования телекоммуникационных систем, утрате и
искажению информации, что может нанести ущерб ГБУЗ. Наиболее часто встречаются СМНИ в
виде USB-флеш накопителей, CD (DVD)-R или CD-RW дисков, различных типов карт флеш
памяти, мультимедийных устройств, сотовых телефонов (смартфонов коммуникаторов),
внешних жестких дисков, цифровых фотоаппаратов и видеокамер.
1.5.
Требования настоящего Положения обязательны для всех работников ГБУЗ.
1.6.
Настоящее Положение распространяется на любые устройства независимо от
интерфейсов подключения, способные подключаться к телекоммуникационному оборудованию,
компьютерам, иным служебным техническим средствам и использоваться в качестве СМНИ.
1.7.
Настоящее Положение не распространяется на СМНИ, предназначенные для
записи и хранения сведений, составляющих государственную тайну.
1.8.
Все СМНИ, используемые в ГБУЗ делятся на служебные и личные.
1.9.
СМНИ регистрируются в Журнале учёта машинных носителей информации (далее
- журнал учета СМНИ) в структурном подразделении, использующем этот СМНИ.
1.10. НЖМД регистрируются в Техническом паспорте на информационную систему
персональных данных (ИСПДн)
2.
Организация хранения СМНИ.
2.1.
Хранение СМНИ осуществляется в условиях, исключающих несанкционированное
копирование, изменение или уничтожение информации ограниченного доступа, а также хищение
носителей. Носители должны храниться в служебных помещениях, в металлическом шкафу
(сейфе).
2.2.
Запрещается хранить СМНИ вместе с носителями открытой информации, на
рабочих столах, оставлять их без присмотра или передавать на хранение другим лицам,
выносить СМНИ из служебных помещений для работы с ними на дому, а также использовать
СМНИ в личных целях.
2.3.
В случае утраты СМНИ, содержащих персональные данные, либо разглашения
содержащихся в них сведений, ставится в известность ответственное лицо за организацию
обработки персональных данных в ГБУЗ. Соответствующие отметки вносятся в журнал учета
71
машинных носителей информации.
3.
Вывод СМНИ из эксплуатации
3.1
Процедуре вывода из эксплуатации подлежат только служебные СМНИ. Выводу из
эксплуатации подлежат СМНИ в следующих случаях:
- выход из строя СМНИ;
- утеря СМНИ;
- передача СМНИ за пределы ГБУЗ.
3.2
Перед выводом из эксплуатации ответственный пользователь обязан убедиться в
существовании актуальной копии информации, содержащейся на выводимом из эксплуатации
СМНИ.
3.3
Факт вывода СМНИ из эксплуатации регистрируется в журнале учета машинных
носителей информации в структурном подразделении, отвечающем за его учет.
3.4
Работник, отвечающий за учет СМНИ, уничтожает имеющуюся на СМНИ
информацию путем использования средств гарантированного уничтожения информации, в
случае если СМНИ подлежит уничтожению или передаче третьему лицу. В случае передачи
информации, хранимой на СМНИ, за пределы ГБУЗ уничтожение информации не проводится, а
проверяется соответствие хранящейся на СМНИ информации и информации, требующей
передачи.
4.
Уничтожение СМНИ
4.1
Уничтожению подлежат только служебные СМНИ, выводимые из эксплуатации,
которые невозможно использовать повторно, т.е. вышедшие из строя (поврежденные).
4.2
Уничтожение СМНИ проводится путем гарантированного уничтожения
информации и физического разрушения, а в случае повреждения СМНИ проводится только
физическое разрушение.
4.3
Факт уничтожения СМНИ регистрируется в журнале учета машинных носителей
информации.
4.4
При уничтожении СМНИ, содержащий персональные данные, в обязательном
порядке должен быть составлен акт уничтожения носителей персональных данных
72
Утверждено приказом № _____ от «___» ______ 201__ года
Положение о разграничении прав доступа к обрабатываемым персональным
данным
Перечень лиц, получивших доступ к персональным данным
№
Роль
ФИО сотрудника
Подразделение
1.
2.
3.
4.
5.
6.
7.
73
Утвержден приказом № _____ от «___» ______ 201__ года
План мероприятий по обеспечению защиты персональных данных
1. Общие положения
План мероприятий по обеспечению защиты персональных данных (далее – План),
содержит необходимый перечень мероприятий для обеспечения защиты персональных данных.
Выбор конкретных мероприятий осуществляется на основании анализа Отчета по
результатам внутренней проверки и Модели угроз безопасности.
В План включены следующие категории мероприятий:
–
организационные (административные);
–
физические;
–
контролирующие.
В План включена следующая информация:
–
название мероприятия.
–
периодичность мероприятия (разовое/периодическое).
–
исполнитель мероприятия/ответственный за исполнение.
План внутренних проверок составляется на все информационные системы персональных
данных «Наименование ЛПУ».
2. План мероприятий по обеспечению защиты ПДн
Мероприятие
Периодичность
Организационные мероприятия
Первичная внутренняя проверка
Определение перечня ИСПДн
Определение обрабатываемых ПДн и
объектов защиты
Определение круга лиц участвующих в
обработке ПДн
Определение ответственности лиц
участвующих в обработке
Определение прав разграничения доступа
пользователей ИСПДн, необходимых для
выполнения должностных обязанностей
Назначение ответственного за безопасность
ПДн
Введение режима защиты ПДн
Собрание коллегиального органа по
классификации ИСПДн
Классификация всех выявленных ИСПДн
Первичный анализ актуальности УБПДн
Исполнитель/
Ответственный
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
74
Установление контролируемой зоны вокруг
ИСПДн
Выбор помещений для установки аппаратных
средств ИСПДн в помещениях, с целью
исключения НСД лиц, не допущенных к
обработке ПДн
Организация режима и контроля доступа
(охраны) в помещения, в которых установлены
аппаратные средства ИСПДн.
Организация порядка резервного копирования
защищаемой информации на твердые
носители
Организация порядка восстановления
работоспособности технических средств, ПО,
баз данных с подсистем СЗПДн
Введение в действие инструкции по порядку
формирования, распределения и применения
паролей
Организация информирования и обучения
сотрудников о порядке обработки ПДн
Организация информирования и обучения
сотрудников о введенном режиме защиты ПДн
Организация журнала учета обращений
субъектов ПДн
Организация перечня по учету технических
средств и средств защиты, а так же
документации к ним
Физические мероприятия
Организация постов охраны для пропуска в
контролируемую зону
Внедрение технической системы контроля
доступа в контролируемую зону и помещения
(по электронным пропускам, токену,
биометрическим данным и т.п.)
Внедрение технической системы контроля
доступа к элементам ИСПДн (по электронным
пропускам, токену, биометрическим данным и
т.п.)
Внедрение видеонаблюдения
Установка дверей на входе в помещения с
аппаратными средствами ИСПДн
Установка замков на дверях в помещениях с
аппаратными средствами ИСПДн
Установка жалюзи на окнах
Установка решеток на окнах первого и
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
75
последнего этажа здания
Установка системы пожаротушения в
помещениях, где расположены элементы
ИСПДн
Установка систем кондиционирования в
помещениях, где расположены аппаратные
средства ИСПДн
Установка систем бесперебойного питания на
ключевые элементы ИСПДн
Внедрение резервных (дублирующих)
технических средств ключевых элементов
ИСПДн
Контролирующие мероприятия
Создание журнала внутренних проверок и
поддержание его в актуальном состоянии
Контроль над соблюдением режима обработки
ПДн
Контроль над соблюдением режима защиты
Контроль над выполнением антивирусной
защиты
Контроль над соблюдением режима защиты
при подключении к сетям общего пользования
и (или) международного обмена
Проведение внутренних проверок на предмет
выявления изменений в режиме обработки и
защиты ПДн
Контроль за обновлениями программного
обеспечения и единообразия применяемого
ПО на всех элементах ИСПДн
Контроль за обеспечением резервного
копирования
Организация анализа и пересмотра
имеющихся угроз безопасности ПДн, а так же
предсказание появления новых, еще
неизвестных, угроз
Поддержание в актуальном состоянии
нормативно-организационных документов
Контроль за разработкой и внесением
изменений в программное обеспечение
собственной разработки или штатное ПО,
специально дорабатываемое собственными
разработчиками или сторонними
организациями.
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Разовое
срок до
Ежемесячно
Еженедельно
Ежедневно
Еженедельно
Еженедельно
Ежегодно
Еженедельно
Ежемесячно
Ежегодно
Ежемесячно
Ежемесячно
76
Утвержден приказом №___ от «__» ______ 201__ года
ЖУРНАЛ
по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним
На ___ листах
Структурное подразделение ответственное за ведение журнала: ____________________________________
Начат «__» _____________ 201__ г.
Окончен «__» _____________ 201__ г.
Ответственный за журнал: _________________________________________________________ «__» _____________ 201__ г.
Должность, ФИО, подпись
№
п/
п
1
1.
2.
3.
4.
Индекс и наименование
средства защиты информации
Серийный
(заводской)
номер
Номер
специального
защитного знака
2
3
4
Наименование
организации,
установившей
СЗИ
5
Место установки
Примечание
6
7
Утверждено приказом № _____ от
«___» ______ 201__ года
Руководство пользователя медицинской информационной системы«Наименование
ЛПУ»
1.
Общие положения
1.1
Пользователь ИСПДн (далее – Пользователь) «Наименование ЛПУ» (далее
- ГБУЗ) осуществляет обработку персональных данных в рамках этой ИСПДн.
1.2
Пользователем является каждый сотрудник ГБУЗ, участвующий в рамках
своих функциональных обязанностей в процессах автоматизированной обработки
персональных данных и имеющий доступ к аппаратным средствам, программному
обеспечению, данным и средствам защиты.
1.3
Пользователь несет персональную ответственность за свои действия.
1.4
Пользователь в своей работе руководствуется настоящей инструкцией,
руководящими и нормативными документами ФСТЭК России и регламентирующими
документами ГБУЗ.
1.5
Методическое руководство работой Пользователя осуществляется
ответственным за обеспечение защиты персональных данных.
2.
Должностные обязанности
Пользователь обязан:
2.1
Знать и выполнять требования действующих нормативных и руководящих
документов, а также внутренних инструкций, руководства по защите информации и
распоряжений, регламентирующих порядок действий по защите информации.
2.2
Выполнять на автоматизированном рабочем месте (АРМ) только те
процедуры, которые определены для него в Положении о разграничении прав доступа к
обрабатываемым ПДн.
2.3
Знать и соблюдать установленные требования по режиму обработки ПДн,
учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а
также руководящих и организационно-распорядительных документов.
2.4
Соблюдать требования парольной политики (см. «Инструкцию по парольной
защите в МИС«Наименование ЛПУ»).
2.5
Экран монитора в помещении располагать во время работы так, чтобы
исключалась возможность несанкционированного ознакомления с отображаемой на них
информацией посторонними лицами, шторы на оконных проемах должны быть завешаны
(жалюзи закрыты).
2.6
Обо всех выявленных нарушениях, связанных с информационной
безопасностью ГБУЗ, а также для получений консультаций по вопросам информационной
безопасности, обращаться к администратору безопасности.
2.7
Для получения консультаций по вопросам работы и настройке элементов
ИСПДн необходимо обращаться к Администратору ИСПДн.
3.
Пользователю запрещается:
78
- разглашать защищаемую информацию третьим лицам;
- копировать защищаемую информацию на внешние носители
без разрешения
своего руководителя;
- самостоятельно устанавливать, тиражировать или модифицировать программное
и аппаратное обеспечение, изменять установленный алгоритм функционирования
технических и программных средств;
- подключать к АРМ и корпоративной информационной сети личные внешние
носители и мобильные устройства;
- отключать (блокировать) средства защиты информации;
- обрабатывать на АРМ информацию и выполнять
другие работы, не
предусмотренные перечнем прав пользователя по доступу к ИСПДн (см. «Положение о
разграничении прав доступа к обрабатываемым персональным данным»);
- сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа
к ресурсам ИСПДн;
- привлекать посторонних лиц для производства ремонта или настройки АРМ без
согласования с ответственным за обеспечение защиты персональных данных.
4.
Правила работы в сетях общего доступа
Работа в сетях общего доступа (далее – Сеть) на элементах ИСПДн должна
проводиться при служебной необходимости.
При работе в Сети запрещается:
- осуществлять работу при отключенных средствах защиты (антивирус и других);
- передавать по Сети защищаемую информацию без использования средств
защиты каналов связи;
- нецелевое использование подключения к Сети.
79
Утверждено приказом № _____ от «___» ______ 201__ года
Руководство администратора безопасности медицинской информационной
системы «Наименование ЛПУ»
1. Общие положения
1.1. Администратор безопасности ИСПДн (далее – Администратор) назначается
приказом главного врача «Наименование ЛПУ»(далее – ГБУЗ), на основании Положения о
разграничении прав доступа к обрабатываемым персональным данным.
1.2. Администратор подчиняется ___________________
1.3. Администратор в своей работе руководствуется настоящей инструкцией,
руководящими и нормативными документами ФСТЭК России и регламентирующими
документами ГБУЗ.
1.4. Администратор отвечает за поддержание необходимого уровня безопасности
объектов защиты.
1.5. Администратор безопасности является ответственным должностным лицом
ГБУЗ, уполномоченным на проведение работ по технической защите информации и
поддержанию достигнутого уровня защиты ИСПДн и ее ресурсов на этапах промышленной
эксплуатации и модернизации.
1.6. Администратор безопасности должен иметь специальное рабочее место,
размещенное в здании ГБУЗ так, что бы исключить несанкционированный доступ к нему
посторонних лиц и других пользователей.
1.7. Рабочее место Администратора безопасности должно быть оборудовано
средствами физической защиты (личный сейф, железный шкаф или другое),
подключением к ИСПДн, а так же средствами контроля за техническими средствами
защиты.
1.8. Администратор безопасности осуществляет методическое руководство
пользователей и Администраторов ИСПДн, в вопросах обеспечения безопасности
персональных данных.
1.9. Требования администратора информационной безопасности, связанные с
выполнением им своих должностных обязанностей, обязательны для исполнения всеми
пользователями ИСПДн.
1.10. Администратор безопасности несет персональную ответственность за
качество проводимых им работ по контролю действий пользователей при работе в ИСПДн,
состояние и поддержание установленного уровня защиты ИСПДн.
2.
Должностные обязанности
Администратор безопасности обязан:
2.1. Знать и выполнять требования действующих нормативных и руководящих
документов, а также внутренних инструкций, руководства по защите информации и
распоряжений, регламентирующих порядок действий по защите информации.
80
2.2. Осуществлять установку, настройку и сопровождение технических средств
защиты.
2.3. Участвовать в контрольных и тестовых испытаниях и проверках элементов
ИСПДн.
2.4. Участвовать в приемке новых программных средств.
2.5. Обеспечить доступ к защищаемой информации пользователям ИСПДн
согласно их правам доступа при получении оформленного соответствующим образом
разрешения.
2.6. Уточнять в установленном порядке обязанности пользователей ИСПДн по
обработке объектов защиты.
2.7. Вести контроль над процессом осуществления резервного копирования
объектов защиты.
2.8. Осуществлять контроль над выполнением Плана мероприятий по обеспечению
защиты персональных данных.
2.9. Анализировать состояние защиты ИСПДн и ее отдельных подсистем.
2.10. Контролировать неизменность состояния средств защиты их параметров и
режимов защиты.
2.11. Контролировать физическую сохранность средств и оборудования ИСПДн.
2.12. Контролировать исполнение пользователями ИСПДн введенного режима
безопасности, а так же правильность работы с элементами ИСПДн и средствами защиты.
2.13. Контролировать исполнение пользователями парольной политики.
2.14. Контролировать работу пользователей в сетях общего пользования и (или)
международного обмена.
2.15. Своевременно анализировать журнал учета событий, регистрируемых
средствами защиты, с целью выявления возможных нарушений.
2.16. Не допускать установку, использование, хранение и размножение в ИСПДн
программных средств, не связанных с выполнением функциональных задач.
2.17. Не допускать к работе на элементах ИСПДн посторонних лиц.
2.18. Осуществлять периодические контрольные проверки рабочих станций и
тестирование правильности функционирования средств защиты ИСПДн.
2.19. Оказывать помощь пользователям ИСПДн в части применения средств
защиты и консультировать по вопросам введенного режима защиты.
2.20. Периодически представлять руководству отчет о состоянии защиты ИСПДн и
о нештатных ситуациях на объектах ИСПДн и допущенных пользователями нарушениях
установленных требований по защите информации.
2.21. В случае отказа работоспособности технических средств и программного
обеспечения ИСПДн, в том числе средств защиты принимать меры по их своевременному
восстановлению и выявлению причин, приведших к отказу работоспособности.
2.22. Принимать меры по реагированию, в случае возникновения внештатных
ситуаций и аварийных ситуаций, с целью ликвидации их последствий.
81
Утверждена приказом № _____ от «___» ______ 201__ года
Инструкция администратора медицинской информационной
системы«Наименование ЛПУ»
1. Общие положения
1.1. Администратор ИСПДн (далее – Администратор) назначается приказом
главного врача «Наименование ЛПУ»(далее – ГБУЗ), на основании Положения о
разграничении прав доступа к обрабатываемым персональным данным.
1.2. Администратор подчиняется ___________________.
1.3. Администратор в своей работе руководствуется настоящей инструкцией,
руководящими и нормативными документами ФСТЭК России и регламентирующими
документами ГБУЗ.
1.4. Администратор отвечает за обеспечение устойчивой работоспособности
элементов ИСПДн и средств защиты, при обработке персональных данных.
1.5. Методическое руководство работой Администратора осуществляется
ответственным за обеспечение защиты персональных данных.
2. Должностные обязанности
Администратор обязан:
2.1. Знать и выполнять требования действующих нормативных и руководящих
документов, а также внутренних инструкций, руководства по защите информации и
распоряжений, регламентирующих порядок действий по защите информации.
2.2. Обеспечивать установку, настройку и своевременное обновление элементов
ИСПДн:
- программного обеспечения АРМ и серверов (операционные системы, прикладное
и специальное ПО);
- аппаратных средств;
- аппаратных и программных средств защиты.
2.3. Обеспечивать работоспособность элементов ИСПДн и локальной
вычислительной сети.
2.4. Осуществлять контроль за порядком учета, создания, хранения и
использования резервных и архивных копий массивов данных, машинных (выходных)
документов.
2.5. Обеспечивать функционирование и поддерживать работоспособность средств
защиты в рамках возложенных на него функций.
2.6. В случае отказа работоспособности технических средств и программного
обеспечения элементов ИСПДн, в том числе средств защиты информации, принимать
меры по их своевременному восстановлению и выявлению причин, приведших к отказу
работоспособности.
2.7. Проводить периодический контроль принятых мер по защите, в пределах
возложенных на него функций.
2.8. Хранить, осуществлять прием и выдачу персональных паролей пользователей,
осуществлять контроль за правильностью использования персонального пароля
пользователем ИСПДн.
82
2.9. Обеспечивать постоянный контроль за выполнением пользователями
установленного комплекса мероприятий по обеспечению безопасности информации.
2.10. Информировать ответственного за обеспечение защиты персональных
данных о фактах нарушения установленного порядка работ и попытках
несанкционированного доступа к информационным ресурсам ИСПДн.
2.11. Требовать прекращения обработки информации, как в целом, так и для
отдельных пользователей, в случае выявления нарушений установленного порядка работ
или нарушения функционирования ИСПДн или средств защиты.
2.12. Обеспечивать строгое выполнение требований по обеспечению безопасности
информации при организации обслуживания технических средств и отправке их в ремонт.
При проведении технического обслуживания и ремонта запрещается передавать
ремонтным организациям узлы и блоки с элементами накопления и хранения информации.
Вышедшие из строя элементы и блоки средств вычислительной техники заменяются на
элементы и блоки, прошедшие специальные исследования и специальную проверку.
2.13. Присутствовать при выполнении технического обслуживания элементов
ИСПДн, сторонними физическими людьми и организациями.
2.14. Принимать меры по реагированию, в случае возникновения внештатных
ситуаций и аварийных ситуаций, с целью ликвидации их последствий.
83
Утверждена приказом № _____ от «___» ______ 201__ года
Инструкция
по антивирусной защите в медицинской информационной системе
«Наименование ЛПУ»
Термины и определения
Вирус
Владелец
(ИС, СР)
информации
Информационная
система (ИС)
Инцидент
информационной
безопасности (инцидент
ИБ)
Пользователь ИС, СС,
СР
Роль
Средство антивирусной
защиты (САВЗ)
Субъект
(субъект)
доступа
программа, способная создавать свои копии (необязательно
совпадающие с оригиналом) и внедрять их в файлы,
системные области АРМ, компьютерные сети, а также
осуществлять иные деструктивные воздействия. При этом
копии сохраняют способность дальнейшего распространения.
руководитель
структурного
подразделения
ГБУЗ,
в
непосредственном ведении которого, в соответствии с
действующим
законодательством
и/или
документами
распорядительного характера находится информация,
использование
которой
осуществляется
посредством
организации доступа к ИВИ ГБУЗ (СР).
взаимосвязанная совокупность программного, аппаратного и
организационного
обеспечения,
предназначенная
для
автоматической
и/или
автоматизированной
обработки
информации.
любое
событие
(случайное
или
преднамеренное),
указывающее на свершившееся, предпринимаемое или
вероятное
нарушение
политик
или
регламентов
информационной безопасности ГБУЗ, которое может привести
к потере или изменению информации, блокировке доступа
авторизованных
пользователей,
разглашению,
несанкционированному
доступу
к
информации
или
информационным системам.
лицо, участвующее в функционировании ИС, СС, СР или
использующее результаты ее функционирования.
именованный набор функций и полномочий, однозначно
определяющий совокупность прав доступа к различным
блокам информации и функциям информационной системы.
программное средство, реализующее функции обнаружения
компьютерных
программ
либо
иной
компьютерной
информации, предназначенных для несанкционированного
уничтожения, блокирования, модификации, копирования
компьютерной информации или нейтрализации средств
защиты информации, а также реагирования на обнаружение
этих программ и информации.
лицо или процесс, действия которого регламентируются
правилами разграничения доступа.
84
Троян
вредоносная программа, маскирующаяся под безвредные или
полезные программы, для установки пользователем на АРМ.
Удаленный доступ
доступ к ИС, СС, СР с рабочих мест или локальной
вычислительной сети, не подключенных непосредственно к
локальной вычислительной сети подразделений ГБУЗ,
осуществляемый с использованием телефонной сети или
иных общедоступных и/или выделенных каналов и/или сетей
связи.
1.
Общие положения
1.1.
Настоящая «Инструкция по антивирусной защите МИС«Наименование
ЛПУ» (далее – Инструкция) устанавливает единые для «Наименование ЛПУ» (далее –
ГБУЗ) требования по обеспечению антивирусной защиты информационных систем (ИС),
сетевых ресурсов (СР) и сетевых сервисов (СС) ГБУЗ.
1.2. Настоящая Инструкция является обязательной для исполнения всеми
сотрудниками ГБУЗ, включая пользователей сторонних организаций и агентов,
использующих в работе средства электронно-вычислительной техники ГБУЗ.
1.3. Основное назначение настоящей Инструкции заключается в формализации
механизмов предотвращения вирусных эпидемий и связанных с ними угроз
информационной безопасности ГБУЗ. Настоящая Инструкция предназначена для
обеспечения:
– целостности, надежности и надлежащей производительности вычислительных
ресурсов ГБУЗ;
– максимальной безопасности методов взаимодействия пользователей и
ресурсов;
– соответствующих мер, позволяющих обоснованно гарантировать соблюдение
требований данной Инструкции.
1.4. В САВЗ должны быть реализованы следующие функции безопасности:
– разграничение доступа к управлению САВЗ;
– управление работой САВЗ;
– управление параметрами САВЗ;
– управление
установкой
обновлений
(актуализации)
базы
данных
признаков вредоносных компьютерных программ (вирусов) (БД ПКВ) САВЗ;
– аудит безопасности САВЗ;
– сигнализация САВЗ.
1.5. Состав функциональных требований безопасности (ФТБ) обеспечивает
следующие функциональные возможности САВЗ:
- отображение сигнала тревоги на автоматизированное рабочее место (АРМ)
администратора антивирусной защиты, указывающего на обнаружение КВ на
пользовательских автоматизированных рабочих местах;
- получение и установка обновлений БД ПКВ без применения средств автоматизации
и в автоматизированном режиме с сетевого ресурса;
- управление администратором антивирусной защиты режимом выполнения функций
безопасности САВЗ (обработка зараженных объектов на АРМ и серверах
вычислительной сети; выполнение автоматизированного запуска САВЗ на АРМ и
85
-
серверах вычислительной сети с заданными условиями поиска КВ и режимами
реагирования по расписанию; выполнение удаленного администрирования
процессов обнаружения КВ, обновления БД ПКВ и компонентов САВЗ);
возможность уполномоченным пользователям (ролям) управлять параметрами
настройки функций безопасности САВЗ;
поддержка определенных ролей для САВЗ и их ассоциации с конкретным
администратором антивирусной защиты;
генерация записи аудита для событий, подвергаемых аудиту;
чтение информации из записей аудита;
–
ассоциация событий аудита с идентификаторами субъектов;
–
ограничение доступа к чтению записей аудита;
-
поиск, сортировка, упорядочение данных аудита.
В отношении любого сотрудника, допустившего нарушения требований настоящей
Инструкции, могут быть применены дисциплинарные меры наказания.
-
2.
Принципы построения и функционирования антивирусной системы
ГБУЗ
2.1. Объектами антивирусной защиты являются:
 внешние носители (флэш-карты, дискеты, компакт-диски и др.);
 сервера и автоматизированные рабочие места (далее - АРМ) пользователей
ГБУЗ;
 почтовый трафик (на уровне почтового сервера и на уровне почтового клиента),
включая почтовые вложения;
 веб-трафик (на уровне Интернет-шлюза и на уровне обозревателя Интернет),
включая скачиваемые файлы.
2.2. САВЗ должны быть установлены, настроены и активизированы на всех
допускающих такую установку средствах вычислительной техники (далее - СВТ) до начала
их использования для работы с информационными ресурсами ГБУЗ
2.3. По возможности все обновления должны быть автоматизированными и
запланированными (если нет веских причин для иного). Если функции выбранного ПО
позволяют инициировать обновление со стороны сервера, то должен быть выбран именно
такой механизм обновления.
2.4. САВЗ и базы данных вирусных сигнатур должны поддерживаться в актуальном
состоянии. Интервал между обновлениями САВЗ не должен превышать 48 часов.
2.5. Антивирусный контроль всех дисков и файлов рабочих станций и серверов
должен проводиться по мере необходимости, но не реже одного раза в две недели.
2.6. САВЗ могут быть интегрированы с другими решениями обеспечения
информационной безопасности, в части регистрации и консолидации событий
безопасности.
2.7. Контролю на предмет обнаружения вредоносных программ подвергается вся
информация, создаваемая и/или обрабатываемая в ГБУЗ.
2.8. Антивирусному контролю подлежат все съемные машинные носители
информации, которые подключаются к информационно-телекоммуникационным системам,
включая компакт-диски, флэш-карты или иные устройства, имеющие в своем составе
носители информации.
2.9. Все ПО до установки на СВТ должно быть проверено с помощью САВЗ.
2.10. После установки или изменения состава ПО СВТ должна быть выполнена
полная антивирусная проверка.
86
2.11. С помощью САВЗ производится контроль СВТ на наличие вредоносного кода
в режиме реального времени.
2.12. Эффективная антивирусная защита достигается путем комплексного
использования организационных мероприятий и программно-технических методов
защиты.
3.
Меры обеспечения антивирусной безопасности
3.1.
Административные меры:
3.1.1. Наличие и своевременное обновление документов, регламентирующих
правила и порядок функционирования системы антивирусной защиты ГБУЗ, в том числе
настоящей Инструкции.
3.1.2. Назначение администратора антивирусной защиты осуществляется из числа
сотрудников ГБУЗ.
3.1.3. Выполнение сотрудниками ГБУЗ требований настоящей Инструкции
контролируется ответственным за организацию обработки безопасности персональных
данных в ГБУЗ.
3.2.
Процедурные меры
3.2.1. Установка и обслуживание САВЗ на АРМ производится администратором
антивирусной защиты.
3.2.2. Администратор антивирусной защиты должен составлять регулярные сводки
о результатах работы САВЗ и предоставлять их ответственному за организацию обработки
безопасности персональных данных в ГБУЗ.
3.3.
Программно-технические меры
3.3.1. Ресурсы централизованного управления САВЗ должны располагаться на
отдельном АРМ (АРМ администратора антивирусной защиты) и обеспечивать ведение
журналов событий.
3.3.2. САВЗ должно осуществлять:
– просмотр в реальном времени каждого поступающего в информационную
систему файла на наличие подозрительных действий;
– сканирование критических компонентов ПО серверов и АРМ (файлы запуска и
др.);
– мониторинг поведения приложений (электронная почта, веб-браузеры и др.),
которые могут быть использованы для заражения вирусами информационных
систем;
– обнаружение и блокировку проникновения вредоносных программ, а также
распознавание их опасного кода (троянский конь, сетевые черви и др.);
– автоматическое уведомление о случаях обнаружения вирусов администратора
антивирусной защиты.
3.3.3. САВЗ должно быть совместимо с ОС серверов и АРМ и обеспечивать:
 фильтрацию трафика в разных системах обработки и передачи данных,
особенно в точках, где происходит обмен информацией с сетями связи общего
пользования Интернет;
 фильтрацию почтовых потоков. На серверах электронной почты должно быть
установлено САВЗ, проверяющее всю принимаемую и отправляемую электронную почту
на наличие вредоносных программ, обеспечивающее обнаружение и удаление
потенциально опасных фрагментов кода.
87
3.3.4. Антивирусная защита должна обеспечивать выполнение следующих
основных функций:
 предоставление сведений для восстановления работоспособности сети и
системы защиты в случае, если вредоносная программа все-таки воздействовала на
объект связи и информатизации;
 своевременное и быстрое реагирование на появление новых видов угроз;
 регулярный контроль за своевременным обновлением САВЗ;
 архивирование и резервное копирование информации, а также ведение базы
данных о вирусах и их характеристиках;
 своевременное оповещение пользователей об обнаруженных вирусах, их
признаках и их характеристиках;
 своевременная техническая поддержка пользователей по вопросам
антивирусной защиты.
3.3.5. САВЗ должны блокировать проникновение вирусов на АРМ, которое может
произойти при помощи:
– инфицированных файлов на съемных носителях информации (оптических
дисках, магнитных дискетах, съемных и USB жестких дисках и т.п.);
– инфицированного ПО и файлов, полученных из глобальных информационных
сетей;
– удаленных зараженных серверов или рабочих станций, подключенных к
информационной сети ГБУЗ;
– зараженных сообщений электронной почты.
4.
Характерные проявления вирусов и реагирование на инциденты
безопасности
4.1. Обо всех случаях проявления вирусов пользователь обязан немедленно
сообщить администратору антивирусной защиты или ответственному за организацию
обработки персональных данных в ГБУЗ.
4.2. Наиболее характерными проявлениями вирусов являются:
 осыпание различных символов с экрана;
 появление на экране дисплея световых пятен, черных областей или символов,
не запланированных рабочими программами;
 самопроизвольная перезагрузка операционной системы;
 замедление работы АРМ;
 зависание АРМ;
 невозможность загрузки операционной системы;
 подача непредусмотренных звуковых сигналов;
 появление неисправных участков (кластеров) на жестком диске;
 неожиданные действия прикладного и специализированного ПО (не
предусмотренные документацией на программы);
 искажения данных в обрабатываемых файлах;
 существенное уменьшение размера свободной оперативной памяти;
 неожиданное значительное увеличение количества файлов на диске;
 несанкционированное изменение даты и времени создания файла;
 появление на экране дисплея информации рекламного характера.
88
5.
Ответственность
5.1. Ответственный за организацию обработки персональных данных в ГБУЗ несет
ответственность за:
– организацию программно-технических мер обеспечения антивирусной
информационной безопасности ГБУЗ;
– разработку эксплуатационной документации и инструкций по антивирусной
защите.
5.2. Основными задачами администратора антивирусной защиты является
управление САВЗ и оперативное реагирование на вирусные атаки. Администратор
антивирусной защитынесет ответственность за:
– реализацию требований настоящей Инструкции;
– координацию процесса инсталляции и настройки САВЗ на АРМ пользователей
сети и серверах;
– построение и поддержку системы оповещения пользователей о вирусных
эпидемиях;
– отслеживание состояния САВЗ и инициирование при необходимости
соответствующих защитных мер;
– хранение информации о событиях в системе антивирусной защиты,
позволяющей эффективно выполнять анализ этой информации.
– анализ работы системы антивирусной защиты и регулярное составление
аналитических отчетов на базе статистической информации;
– контроль своевременного обновления антивирусных баз на объектах ИС
(серверах, рабочих станциях, шлюзах);
– контроль правильности настроек антивирусных пакетов и выполнение
пользователями рекомендаций по их применению в процессе работы АРМ;
– контроль сроков действий лицензий установленных САВЗ;
– плановый контроль состояния защиты от вирусов на объектах защиты в ГБУЗ
5.3. На руководителей подразделений ГБУЗ возлагается ответственность за
соблюдение требований настоящей Инструкции подчиненными сотрудникам.
5.4. Все сотрудники ГБУЗ несут ответственность за выполнение требований
настоящей Инструкции и обязаны:
– не допускать к работе на вверенном АРМ ГБУЗ посторонних лиц;
– не открывать для прочтения почтовые сообщения и вложенные файлы от
неизвестных подозрительных отправителей;
– извещать администратора антивирусной защиты о случаях неуспешного
лечения, неработоспособности САВЗ на вверенном АРМ;
– при обнаружении на вверенном АРМ признаков работы постороннего лица и
искажения информации, оставить АРМ без изменений и сообщить своему
руководителю и администратору антивирусной защиты.
89
Утверждена приказом № _____ от «___» ______ 201__ года
Инструкция по парольной защите в медицинской информационной системе
«Наименование ЛПУ»
1.
Термины и определения
Информационная система (ИС) - взаимосвязанная совокупность программного,
аппаратного и организационного обеспечения, предназначенная для автоматической
и/или автоматизированной обработки информации с целью выполнения рабочих
процессов или их частей, а также предоставления информации конечным пользователям.
Пароль - идентификатор субъекта доступа, который является его (субъекта)
секретом.
2.
Принятые сокращения
АРМ – Автоматизированное рабочее место
ИС – Информационная система
ПО – Программное обеспечение
СЗИ – Средства защиты информации
СМНИ – Съемный магнитный носитель информации
ИВИ – информационно-вычислительная инфраструктура
3.
Общие положения
3.1
Настоящая «Инструкция по парольной защите в медицинской
информационной системе «Наименование ЛПУ» определяет порядок использования,
генерации, смены и прекращения действия паролей и личных идентификаторов
пользователей в «Наименование ЛПУ» (далее - ГБУЗ), а также контроль действий
пользователей при работе с паролями.
3.2
Организационное и техническое обеспечение процессов генерации,
использования, смены и прекращения действия паролей, а также контроль действий
пользователей при работе с паролями возлагается на администратора по обеспечению
безопасности.
3.3 Настоящая Инструкция является обязательной для исполнения всеми
сотрудниками ГБУЗ, включая пользователей сторонних организаций и агентов,
использующих в работе средства электронно-вычислительной техники ГБУЗ.
3.4 В отношении любого сотрудника, допустившего нарушения требований
настоящей Инструкции, могут быть применены дисциплинарные меры наказания.
4.
Требования к формированию пароля
4.1
Пароли для всех учетных записей пользователей ГБУЗ должны выбираться
с учетом следующих требований:

длиной пароля должна быть не менее 6 буквенно-цифровых символов;
90
 пароль не должен включать в себя легко вычисляемые (угадываемые)
сочетания символов (имена, фамилии, отчества, наименования организации и т.д.), а
также общепринятые сокращения (USER, ADM, ADMIN, PASSWORD и т.п.);
 максимальный срок действия пароля - не более 90 дней;
 новый пароль не должен повторять старый;
 при вводе пароля должен иметь значение регистр;
 в состав пароля должна входить минимум одна цифра и одна буква;
 количество попыток неправильного ввода пароля не должно превышать 5 раз, в
этом случае должна происходить блокировка учетной записи пользователя, до момента
снятия блокировки администратором по обеспечению безопасности ГБУЗ.
4.2
Администратор по обеспечению безопасности ГБУЗ должен обеспечить
пользователям возможность самостоятельного формирования паролей.
5.
Требования к использованию пароля
5.1
При использовании пароля необходимо соблюдать следующие требования:
 при первой авторизации в системе пользователь самостоятельно должен
изменить личный пароль;
 по истечении 90 дней со дня последней смены пароль пользователя должен
быть изменен;
 при смене пароля новое значение должно отличаться от предыдущего не менее
чем в 4 позициях;
 повторное использование одного и того же пароля пользователем допускается
по истечении 365 дней.
6.
Требования к защите пароля
6.1
Пользователи ГБУЗ обязаны хранить свой личный пароль втайне от других и
не передавать любым способом пароль третьим лицам.
6.2
Запрещается записывать и хранить пароль в форме визуального
представления.
6.3
В случае утери пароля, пользователь ГБУЗ должен немедленно доложить об
этом администратору по обеспечению безопасности.
6.4
В случае прекращения полномочий учетной записи пользователя ИСПДН
(увольнение, переход на другую работу, в другой отдел или помещение, а также другие
обстоятельства) учетная запись должна быть удалена, а её идентификатор должен быть
сдан администратору по обеспечению безопасности ИСПДН после окончания последнего
сеанса работы данного пользователя в ИСПДН.
6.5
В случае компрометации личного пароля или утери личного идентификатора
пользователя администратором по обеспечению безопасности ИСПДН должны быть
немедленно предприняты меры в соответствии Инструкцией администратора по
обеспечению безопасности ИСПДН.
6.6
Внеплановая полная смена паролей должна производиться в случае
прекращения полномочий (увольнение, переход на другую работу внутри отдела и другие
обстоятельства) администраторов по обеспечению безопасности ИСПДН и других
сотрудников, которым по роду деятельности могли быть известны пароли других
пользователей системы
6.7
Администратор по обеспечению безопасности ИСПДН должен провести
служебное расследование для выяснения причин компрометации пароля с целью
выработки новых или совершенствования принятых технических и организационных мер
91
по устранению такой угрозы в будущем, а также выяснению величины ущерба, который
может быть нанесен в результате компрометации пароля.
6.8
Пользователи ИСПДН должны быть ознакомлены под роспись с
требованиями настоящей Инструкции.
Ответственность
Все пользователи ГБУЗнесут ответственность за соблюдение требований
настоящей Инструкции.
7.
92
Утверждено приказом № _____ от «___» ______ 201__ года
Инструкция о порядке обращения с носителями конфиденциальной информации
1.
Общие положения
1.1.
Настоящая
«Инструкция
о
порядке
обращения
с носителями
конфиденциальной информации» (далее – Инструкция) определяет условия
использования работниками«Наименование ЛПУ»(далее – ГБУЗ) защищаемых носителей
информации.
1.2.
Цель настоящей Инструкции заключается в доведении до всех работников
правил использования защищаемых носителей информации и достижения эффективного
использования защищаемых носителей информации.
1.3.
Все защищаемые носители конфиденциальной информации делятся на
съемные машинные носители информации (далее – СМНИ) и накопители на жёстких
магнитных дисках (НЖМД).
1.4.
СМНИ являются средством передачи и хранения различной информации в
электронном виде. Нарушения правил использования СМНИ приводят к утечке
информации
ограниченного
доступа,
нарушению
функционирования
телекоммуникационных систем, утрате и искажению информации, что может нанести
ущерб ГБУЗ. Наиболее часто встречаются СМНИ в виде USB-флеш накопителей, CD
(DVD)-R или CD-RW дисков, различных типов карт флеш памяти, мультимедийных
устройств, сотовых телефонов (смартфонов коммуникаторов), внешних жестких дисков,
цифровых фотоаппаратов и видеокамер.
1.5.
Требования настоящей Инструкции обязательны для всех работников ГБУЗ.
1.6.
Настоящая Инструкция распространяется на любые устройства независимо
от интерфейсов подключения, способные подключаться к телекоммуникационному
оборудованию, компьютерам, иным служебным техническим средствам и использоваться
в качестве СМНИ.
1.7.
Настоящая Инструкция не распространяется на СМНИ, предназначенные
для записи и хранения сведений, составляющих государственную тайну.
1.8.
Все СМНИ, используемые в ГБУЗ делятся на служебные и личные.
1.9.
СМНИ регистрируются в Журнале учёта машинных носителей информации,
предназначенных для хранения конфиденциальной информации в структурном
подразделении, использующем этот СМНИ.
1.10. НЖМД регистрируются в Техническом паспорте на информационную
систему персональных данных.
2.
Порядок подключения СМНИ
2.1.
Использование СМНИ осуществляется только при наличии служебной
необходимости в порядке, определенном настоящей Инструкцией или иными документами
ГБУЗ.
2.2.
Для работы со СМНИ, содержащими конфиденциальную информацию и
персональные данные, должны использоваться автоматизированные рабочие места
(АРМ), в том числе и портативные компьютеры, оборудованные программным
обеспечением, предназначенным для контроля внешних носителей.
2.3.
Все АРМ, на которых используются СМНИ, должны быть предварительно
93
оснащены лицензионным антивирусным программным обеспечением с организацией
обязательного оперативного обновления антивирусных баз.
3.
Порядок использования СМНИ
3.1.
СМНИ используются работниками ГБУЗ для обеспечения производственной
деятельности. Доступ к СМНИ должен производится только с АРМ, к которому СМНИ
подключен в данный момент.
3.2.
Информация, сохраненная на СМНИ с рабочих мест ГБУЗ, не является
частной собственностью работника, а составляет часть внутреннего документооборота
ГБУЗ.
3.3.
СМНИ не гарантируют 100% сохранность информации, соответственно,
запрещается хранение информации только на СМНИ без мер резервирования.
3.4.
Информация ограниченного доступа должна храниться только на служебных
СМНИ.
3.5.
При использовании СМНИ категорически запрещается:
•
умышленно заносить в ИСПДн ГБУЗ вирусы или любые вредоносные
программы, а также умышленно распространять их за пределы ИСПДн ГБУЗ;
•
подключать служебные СМНИ к домашним компьютерам, если данные
СМНИ содержат информацию ограниченного доступа;
•
использовать не зарегистрированные СМНИ;
•
хранить на личных СМНИ документы и сведения, относящиеся к
информации ограниченного доступа согласно действующему законодательству;
•
несанкционированное использование любых средств и способов,
позволяющих скрывать содержание информации, хранимой на СМНИ.
3.6.
При работе со СМНИ работники ГБУЗ обязаны:
•
не допускать повреждений СМНИ при хранении и эксплуатации;
•
не запускать программное обеспечение, хранящееся на СМНИ;
•
создавать копии информации, хранимой на служебных СМНИ;
•
не загружать, не сохранять, не использовать, не распространять с помощью
СМНИ любые изображения, текст, программный код и иные материалы, которые:
–
могут быть признаны нелегальными или неэтичными;
–
могут призывать к действиям, выполнение которых нанесет или может
нанести ущерб ГБУЗ;
–
могут отрицательно влиять на производительность ИСПДн ГБУЗ, включая
локальную сеть и другие средства связи и обработки информации;
–
могут привести к возникновению каких-либо судебных споров или
конфликтов с участием ГБУЗ;
–
являются предметом авторского права, защищенного законодательством, а
разрешение на их использование у отправителя в том или ином виде отсутствует.
3.7.
При использовании СМНИ работникам ГБУЗ рекомендуется:
•
не хранить СМНИ вблизи промышленных и/или бытовых приборов,
генерирующих сильное электромагнитное излучение или имеющих магнитный контур в
своей конструкции;
•
не работать с информацией непосредственно со СМНИ;
•
во избежание потери информации отключать СМНИ средствами
операционной системы (безопасное отключение СМНИ);
•
не выносить за пределы ГБУЗ СМНИ, содержащие документы и сведения,
относящиеся к информации ограниченного доступа.
94
4.
Передача информации на СМНИ за пределы ГБУЗ
4.1.
При передаче СМНИ другим организациям или иным получателям
ответственный пользователь должен пройти процедуру вывода из эксплуатации СМНИ.
Т.е. вывести из эксплуатации (снять с учета).
4.2.
Передача СМНИ в пределах ГБУЗ третьим лицам осуществляется в
соответствии с требованиями конфиденциального документооборота ГБУЗ, при этом при
передаче СМНИ, содержащих персональные данными, третьим лицам обязательно
должен быть составлен акта приема-передачи документов (иных материальных
носителей), содержащих персональные данные субъектов
5.
Ответственность
5.1
Ответственность за выполнение правил эксплуатации съемных носителей
персональных данных при выполнении непосредственных работ с носителями несет
пользователь ИСПДн.
5.2
Контроль выполнения пользователями установленных правил эксплуатации
съемных носителей персональных данных, осуществляет ответственное лицо за
организацию обработки персональных данных.
5.3
Специалисты ГБУЗ, нарушившие требования настоящего порядка, несут
ответственность в соответствии с действующим законодательством.
95
Утвержден приказом № _____ от «___» ______ 201__ года
ЖУРНАЛ
учета машинных носителей информации
На ___ листах
Структурное подразделение ответственное за ведение журнала: ____________________________________
Начат «__» _____________ 201__ г.
Окончен «__» _____________ 201__ г.
Ответственный за журнал: _________________________________________________________ «__» _____________ 201__ г.
Должность, ФИО, подпись
№ Учётный номер
п/п
носителя
Тип
носителя
Расписка в получении
Содержащаяся (Ф.И.О., подпись, дата)
информация
Отметка об
отправке
Расписка в обратном
приеме (Ф.И.О.,
подпись, дата)
Отметка о пересылке
(№, дата реестра),
уничтожении (№,
дата акта об
уничтожении)
Примечание
1.
2.
3.
4.
5.
6.
7.
96
Утвержден приказом № _____ от «___» ______ 201__ года
ЖУРНАЛ
по учету мероприятий по контролю обеспечения защиты персональных данных в медицинской информационной системе
«Наименование ЛПУ»
На ___ листах
Структурное подразделение ответственное за ведение журнала: ____________________________________
Начат «__» _____________ 201__ г.
Окончен «__» _____________ 201__ г.
Ответственный за журнал: _________________________________________________________ «__» _____________ 201__ г.
Должность, ФИО, подпись
№
п/п
Мероприятие
Дата
Исполнитель
Результат
1.
2.
3.
4.
5.
97
ПРИКАЗ № _______
(ПРОЕКТ)
г. ________
«_____» ___________201__ г.
О ведении электронного журнала обращений пользователей информационных
систем персональных данных в «Наименование ЛПУ»
Во исполнение требований Федерального закона от 27.07.2006 № 152 «О
персональных данных»,
ПРИКАЗЫВАЮ:
1. Организовать ведение Журнала обращений пользователей информационных
систем персональных данных «Наименование ЛПУ»штатными средствами аудита
действий пользователей.
2. Журнал вести в электронном виде.
3. Контроль за исполнением настоящего приказа оставляю за собой.
Главный врач
«Наименование ЛПУ»
(Подпись)
(ФИО)
98
Утвержден приказом № _____ от «___» ______ 201__ года
Перечень сведений конфиденциального характера
1.Сведения в области защиты конфиденциальной информации:
Сведения, раскрывающие организацию системы (подсистемы) защиты
конфиденциальной информации (общее описание, структура и режимы
1.1 функционирования), в том числе в части применяемых средств защиты информации
при передаче конфиденциальной информации по отрытым телекоммуникационным
каналам связи
Сведения, содержащие описание структуры локальных вычислительных сетей и
1.2
полномочий пользователей, обрабатывающих конфиденциальную информацию
Сведения о ключах, кодах, паролях и идентификаторах пользователей,
1.3
осуществляющих обработку конфиденциальной информации
Сведения об организации и технических решениях по системе охраны (системе
1.4
контроля доступа) производственных помещений
1.5 Документация, содержащая сведения по защите конфиденциальной информации:
Технические (частные технические) задания на разработку системы (подсистемы)
1.6
защиты конфиденциальной информации или ее компонент
Концепции, типовые технические решения, руководства, инструкции, положения,
1.7
методические указания по защите конфиденциальной информации
Система и матрица разграничения доступа пользователей к конфиденциальной
1.8
информации (для каждого конкретного объекта информатизации)
Технические предложения, эскизные, технические и рабочие проекты по защите
1.9
конфиденциальной информации
Описание модели возможного нарушителя в автоматизированной системе,
1.10
обрабатывающей конфиденциальную информацию
Описание технологического процесса функционирования, программы и методики
испытаний, технические паспорта на объекты информатизации, заключения по
1.11
результатам аттестационных испытаний и аттестаты на объекты информатизации по
требованиям безопасности информации
Сводные сведения о потребностях, поставках средств защиты и
1.12 программно-технических комплексов, предназначенных для обработки
конфиденциальной информации по субъекту Российской Федерации
2. Сведения в области персональных данных:
2.1 Сведения, содержащиеся в личных делах работников
Копии документов о профессиональном образовании, профессиональной
переподготовке, повышении квалификации, стажировке, присвоении ученой степени,
2.2
ученого звания (если таковые имеются)
2.3
2.4
2.5
Копия трудовой книжки или документа, подтверждающего прохождение военной или
иной службы
Экземпляр трудового договора, а также экземпляры письменных дополнительных
соглашений, которыми оформляются изменения и дополнения, внесенные в трудовой
договор
Копия страхового свидетельства обязательного пенсионного страхования
99
2.6
2.7
Копия страхового медицинского полиса обязательного медицинского страхования
граждан
Сведения о факте обращения гражданина за оказанием медицинской помощи,
состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском
обследовании и лечении, составляют врачебную тайну
100
УТВЕРЖДЕНО
Утвержден приказом № _____ от «___» ______ 201__ года
Перечень персональных данных, подлежащих защите
1. В целях ведения персонифицированного учета осуществляется обработка
следующих персональных данных о лицах, которые участвуют в оказании медицинских
услуг:
1) фамилия, имя, отчество (последнее - при наличии);
2) пол;
3) дата рождения;
4) место рождения;
5) гражданство;
6) данные документа, удостоверяющего личность;
7) место жительства;
8) место регистрации;
9) дата регистрации;
10) страховой номер индивидуального лицевого счета (при наличии), принятый в
соответствии с законодательством Российской Федерации об индивидуальном
(персонифицированном) учете в системе обязательного пенсионного страхования;
11) сведения об образовании, в том числе данные об образовательных
организациях и о документах об образовании и (или) о квалификации;
12) наименование организации, оказывающей медицинские услуги;
13) занимаемая должность в организации, оказывающей медицинские услуги.
2. Сведения о лицах, которым оказываются медицинские услуги
В системе персонифицированного учета осуществляется обработка следующих
персональных данных о лицах, которым оказываются медицинские услуги:
1) фамилия, имя, отчество (последнее - при наличии);
2) пол;
3) дата рождения;
4) место рождения;
5) гражданство;
6) данные документа, удостоверяющего личность;
7) место жительства;
8) место регистрации;
9) дата регистрации;
10) страховой номер индивидуального лицевого счета (при наличии), принятый в
соответствии с законодательством Российской Федерации об индивидуальном
(персонифицированном) учете в системе обязательного пенсионного страхования;
11) номер полиса обязательного медицинского страхования застрахованного лица
(при наличии);
12) анамнез;
13) диагноз;
14) сведения об организации, оказавшей медицинские услуги;
15) вид оказанной медицинской помощи;
16) условия оказания медицинской помощи;
17) сроки оказания медицинской помощи;
101
18) объем оказанной медицинской помощи;
19) результат обращения за медицинской помощью;
20) серия и номер выданного листка нетрудоспособности (при наличии);
21) сведения об оказанных медицинских услугах;
22) примененные стандарты медицинской помощи;
23) сведения о медицинском работнике или медицинских работниках, оказавших
медицинскую услугу.
102
Утверждено приказом № _____ от «___» ______ 201__ года
Правила работы с обрабатываемыми обезличенными персональными данными в
информационной системе персональных данных
1. Общие положения
1.1. Настоящие Правила работы с обрабатываемыми обезличенными
персональными данными в информационной системе персональных данных (далее Правила) разработаны на основании Федерального закона от 27.07.2006 № 152 - ФЗ «О
персональных данных» (далее - Федеральный закон № 152 - ФЗ) и постановления
Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на
обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О
персональных данных» и принятыми в соответствии с ним нормативными правовыми
актами, операторами, являющимися государственными или муниципальными органами».
1.2. Настоящие Правила определяют порядок работы с обезличенными данными
в информационной системе персональных данных (далее - ИСПДн) «Наименование ЛПУ»
(далее – ГБУЗ).
1.3. Настоящие Правила утверждаются руководителем ГБУЗ и действуют
постоянно.
2. Условия обезличивания
2.1. Обезличивание персональных данных может быть проведено с целью
ведения статистических данных, снижения ущерба от разглашения защищаемых
персональных данных, снижения класса информационной системы персональных данных
ГБУЗ и по достижению целей обработки или в случае утраты необходимости в достижении
этих целей, если иное не предусмотрено федеральным законом.
2.2.
Способы обезличивания при условии дальнейшей обработки персональных
данных:
2.2.1. уменьшение перечня обрабатываемых сведений;
2.2.2. замена части сведений идентификаторами;
2.2.3. обобщение - понижение точности некоторых сведений;
2.2.4. понижение точности некоторых сведений (например, «Адрес» может
состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только
город)
2.2.5. деление сведений на части и обработка в разных информационных системах;
2.2.6. другие способы.
2.3. Способом обезличивания в случае достижения целей обработки или в случае
утраты необходимости в достижении этих целей является сокращение перечня
персональных данных.
2.4. Для обезличивания персональных данных используются способы, не
запрещенные действующим законодательством Российской Федерации.
2.5.
Перечень должностей работников ГБУЗ ответственных за проведение
мероприятий по обезличиванию обрабатываемых персональных данных, утверждается
руководителем ГБУЗ.
2.5.1. Руководитель ГБУЗ принимает решение о необходимости обезличивания
персональных данных;
103
2.5.2. Руководители
подразделений,
непосредственно
осуществляющие
обработку персональных данных, готовят предложения по обезличиванию персональных
данных, обоснование такой необходимости и способ обезличивания;
2.5.3.
Сотрудники организации обслуживающие ИСПДн, совместно с
администратором
по
безопасности
персональных
данных,
осуществляют
непосредственное обезличивание выбранным способом.
3. Порядок работы с обезличенными персональными данными
3.1. Обезличенные персональные данные не подлежат разглашению и
нарушению конфиденциальности.
3.2.
Обезличенные
персональные
данные
могут
обрабатываться
с
использованием и без использования средств автоматизации.
3.3. При обработке обезличенных персональных данных с использованием
средств автоматизации необходимо соблюдение:
3.3.1. парольной политики;
3.3.2. антивирусной политики;
3.3.3. правил работы со съемными носителями (если они используются);
3.3.4. правил резервного копирования;
3.3.5. правил доступа в помещения, где расположены элементы информационных
систем.
3.4. При обработке обезличенных персональных данных без использования
средств автоматизации необходимо соблюдение:
3.4.1. правил хранения бумажных носителей;
3.4.2. правил доступа к ним и в помещения, где они хранятся.
104
Утверждено приказом № _____ от «___» ______ 201__ года
Перечень
должностей «Наименование ЛПУ», ответственных за проведение мероприятий
по обезличиванию обрабатываемых персональных данных в ИСПДн
№
п/п
1.
Занимаемая должность
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
105
Утверждено приказом № _____ от «___» ______ 201__ года
Типовая форма согласия на обработку персональных данных
Я, ________________________________________________________, проживающий(ая)
по адресу: ________________________________________________________, паспорт
серии
________,
номер
_________________________,
выданный
____________________________________________
_________________________ "___"_____________ ______ года, в соответствии с
Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" даю согласие
«Наименование ЛПУ» (далее - ГБУЗ), расположенному по адресу: _________________ ; на
обработку моих персональных данных (как с использованием средств автоматизации, так и
без использования таких средств), а именно:
фамилию, имя, отчество, пол, дату рождения, адрес места жительства,
контактный(е) телефон(ы), реквизиты полиса ОМС (ДМС), страховой номер
индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о
состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью —
в медико-профилактических целях,
Для обработки в целях установления медицинского диагноза и оказания
медицинских услуг при условии, что их обработка осуществляется лицом,
профессионально занимающимся медицинской деятельностью и обязанным сохранять
врачебную тайну. В процессе оказания «Наименование ЛПУ» (далее – ГБУЗ) мне
медицинской помощи я предоставляю право медицинским работникам передавать мои
персональные данные, содержащие сведения, составляющие врачебную тайну, другим
должностным лицам ГБУЗ, в интересах моего обследования и лечения.
Предоставляю ГБУЗ право осуществлять все действия (операции) с моими
персональными данными, включая сбор, систематизацию, накопление, хранение,
обновление, изменение, использование, обезличивание, блокирование, уничтожение.
ГБУЗ вправе обрабатывать мои персональные данные посредством внесения их в
электронную базу данных, включения в списки (реестры) и отчетные формы,
предусмотренные документами, регламентирующими предоставление отчетных данных
(документов) по ОМС (договором ДМС).
Согласен на передачу моих персональных данных третьим лицам в объеме,
необходимом для реализации вышеуказанных целей, в том числе в Краевое
государственное казенное учреждение здравоохранения «Камчатский краевой
медицинский информационно-аналитический центр», расположенное по адресу: 683902, г.
Петропавловск-Камчатский, ул. Арсеньева, д. 23.
ГБУЗ имеет право во исполнение своих обязательств по работе в системе ОМС (по
договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой
медицинской организацией и территориальным фондом ОМС с использованием машинных
носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от
несанкционированного доступа, при условии, что их прием и обработка будут
осуществляется лицом, обязанным сохранять профессиональную тайну.
106
Срок хранения моих персональных данных соответствует сроку хранения
первичных медицинских документов (медицинской карты) и составляет двадцать пять лет.
Я оставляю за собой право отозвать свое согласие посредством составления
соответствующего письменного документа, который может быть направлен мной в адрес
ГБУЗ по почте заказным письмом с уведомлением о вручении либо вручен лично под
расписку представителю ГБУЗ.
В случае получения моего письменного заявления об отзыве настоящего согласия
на обработку персональных данных ГБУЗ обязано прекратить их обработку в течение
периода времени, необходимого для завершения взаиморасчетов по оплате оказанной
мне до этого медицинской помощи.
«_____»_________ 20___г.
_____________
(подпись)
________________________
(ФИО)
107
Утверждено приказом № _____ от «___» ______ 201__ года
Типовая форма обязательства о неразглашении персональных данных
Я,___________________________________________________________________,
(Ф.И.О. сотрудника)
исполняющий (ая) должностные обязанности по замещаемой должности
______________________________________________________________________
_____________________________________________________________________ ,
(должность, наименование структурного подразделения)
предупрежден (а) о том, что на период исполнения должностных обязанностей в
соответствии с должностным регламентом мне будет предоставлен допуск к информации,
содержащей персональные данные. Настоящим добровольно принимаю на себя
обязательства:
1. Не передавать и не разглашать третьим лицам информацию, содержащую
персональные данные, которая мне доверена (будет доверена) или станет известной в
связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию, содержащую
персональные данные, сообщать непосредственному начальнику.
3. Не использовать информацию, содержащую персональные данные, с целью получения
выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы
защиты персональных данных.
5. В течение года после прекращения права на допуск к информации, содержащей
персональные данные, не разглашать и не передавать третьим лицам известную мне
информацию, содержащую персональные данные.
Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен
(а) к дисциплинарной ответственности и/или иной ответственности в соответствии с
законодательством Российской Федерации.
«_____»_________ 20___г.
_____________
(подпись)
________________________
(ФИО)
108
Утверждено приказом № _____ от «___» ______ 201__ года
Типовая форма разъяснения субъекту персональных данных юридических
последствий отказа предоставить свои персональные данные
«Наименование ЛПУ» (далее - ГБУЗ) разъясняет субъекту персональных данных
_________________________________________________,
(фамилия, имя, отчество)
претендующему(ей) на _______________________________________________________
(указать причину предоставления персональных данных)
что в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ
«О персональных данных» обязанность предоставления Вами персональных данных
установлена
__________________________________________________________________
(указать реквизиты и наименование нормативных правовых актов)
____________________________________________________________________________
____________________________________________________________________________
В случае отказа Вами предоставить свои персональные данные ГБУЗне сможет на
законных основаниях осуществлять такую обработку, что приведет к следующим для Вас
юридическим последствиям:
____________________________________________________________________________
___________________________________________________________________________
Ответственный
за
________________________
защиту
персональных
данныхв
ГБУЗ
Мне,
__________________________________________________________________________
разъяснены юридические последствия отказа предоставить свои персональные данные
ГБУЗ.
«_____»_________ 20___г.
_____________
(подпись)
________________________
(ФИО)
109
Утверждена приказом № _____ от «___» ______ 201__ года
Памятка по обеспечению режима безопасности в помещении, в котором
осуществляется обработка персональных данных
1 Ответственность за режим безопасности в помещениях, в которых
обрабатываются персональные данные, и правильность использования установленных в
них технических средств несет
_________________________________________________________________.
должность и ФИО сотрудника
2 Доступ в помещения, в которых обрабатываются персональные данные,
предоставляется на основании утвержденного перечня лиц, имеющих право
самостоятельного доступа в помещение.
3
Уборка помещения и все регламентные работы должны проводиться под
контролем должностного лица, имеющего право самостоятельного доступа в помещение, в
котором обрабатываются персональные данные, согласно нижеприведенному перечню.
4
В рабочее время в помещении обязательно должно присутствовать
должностное лицо, имеющее право самостоятельного доступа. При отсутствии такового
лица нахождение кого-либо в помещении запрещается, и помещение должно закрываться
на ключ.
5 При проведении мероприятий по обработке персональных данных двери
помещения должны быть закрыты, жалюзи на окнах зашторены.
6 Повседневный контроль за выполнением требований по защите помещения
осуществляют должностные лица, имеющие право самостоятельного доступа в данное
помещение.
_______________ (должность)
__________ (ФИО)
110
Утверждена приказом № _____ от «___» ______ 201__ года
Инструкция по обработке персональных данных без использования средств
автоматизации
1. Обработка персональных данных - действия (операции) с персональными
данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление,
изменение), использование, распространение (в том числе передачу), обезличивание,
блокирование, уничтожение персональных данных.
2. К обработке персональных данных могут иметь доступ сотрудники
«Наименование ЛПУ» (далее – ГБУЗ), определённые приказом, при этом они должны
иметь право получать только те персональные данные, которые необходимы для
выполнения конкретных функций.
3. Обработка персональных данных, содержащихся в информационной системе
персональных данных либо извлеченных из такой системы (далее - персональные данные),
считается
осуществленной
без
использования
средств
автоматизации
(неавтоматизированной), если такие действия с персональными данными, как
использование, уточнение, распространение, уничтожение персональных данных в
отношении каждого из субъектов персональных
данных, осуществляются при
непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с
использованием средств автоматизации только на том основании, что персональные
данные содержаться в информационной системе персональных данных либо были
извлечены из нее.
4. Обработка персональных данных может осуществляться оператором с согласия
субъектов персональных данных.
Согласие субъекта персональных данных не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании Федерального
закона Российской Федерации, устанавливающего её цель, условия получения
персональных данных и круг субъектов, персональные данные которых подлежат
обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора,
одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических целей при
условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для доставки почтовых
отправлений организациями почтовой связи;
5) осуществляется обработка персональных данных, подлежащих опубликованию в
соответствии с федеральными законами, в том числе кандидатов на выборные
муниципальные должности;
6) в иных случаях определённых Федеральным законом Российской Федерации от
27.07.2006 № 152-ФЗ «О персональных данных».
5. Хранение персональных данных должно происходить в порядке, исключающем их
утрату, неправомерное использование, распространение (в том числе передачу) без
согласия субъекта персональных данных и несанкционированный доступ.
6. Персональные данные при их обработке, осуществляемой без использования
111
средств автоматизации, должны обособляться от иной информации, в частности путем
фиксации их на отдельных материальных носителях персональных, в специальных
разделах или на типовых формах документов.
7. Сотрудники, осуществляющие обработку персональных данных без
использования средств автоматизации, должны быть ознакомлены с настоящей
инструкцией.
8. При фиксации персональных данных на материальных носителях не допускается
фиксация на одном материальном носителе персональных данных, цели обработки
которых заведомо не совместимы. Для обработки различных категорий персональных
данных,осуществляемой без использования средств автоматизации, для каждой категории
персональных данных должен использоваться отдельный материальный носитель.
9. При использовании типовых форм документов, характер информации в которых
предполагает или допускает включение в них персональных данных, должны соблюдаться
следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению,
карточки, реестры и журналы) должны содержать сведения о цели обработки
персональных данных, осуществляемой без использования средств автоматизации, имя
(наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта
персональных данных, источник получения персональных данных, сроки обработки
персональных данных, перечень действий с персональными данными, которые будут
совершаться в процессе их обработки, общее описание используемых оператором
способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных
данных может поставить отметку о своем согласии на обработку персональных данных,
осуществляемую без использования средств автоматизации - при необходимости
получения письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из
субъектов персональных данных, содержащихся в документе, имел возможность
ознакомиться со своими персональными данными, содержащимися в документе, не
нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для
внесения персональных данных, цели обработки которых заведомо не совместимы.
10. При несовместимости целей обработки персональных данных, зафиксированных
на одном материальном носителе, если материальный носитель не позволяет
осуществлять обработку персональных данных отдельно от других зафиксированных на
том же носителе персональных данных, должны быть приняты меры по обеспечению
раздельной обработки персональных данных, в частности:
- при
необходимости использования или распространения определенных
персональных данных отдельно от находящихся на том же материальном носителе других
персональных данных осуществляется копирование персональных данных, подлежащих
распространению или использованию, способом, исключающим одновременное
копирование персональных данных, не подлежащих распространению и использованию, и
используется (распространяется) копия персональных данных;
- при необходимости уничтожения или блокирования части персональных данных
уничтожается или блокируется материальный носитель с предварительным копированием
сведений, не подлежащих уничтожению или блокированию, способом, исключающим
одновременное копирование персональных данных, подлежащих уничтожению или
блокированию.
11. Уничтожение или обезличивание части персональных данных, если это
112
допускается материальным носителем, может производиться способом, исключающим
дальнейшую обработку этих персональных данных с сохранением возможности обработки
иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
12. Уточнение персональных данных при осуществлении их обработки без
использования средств автоматизации производится путем обновления или изменения
данных на материальном носителе, а если это не допускается техническими
особенностями материального носителя - путем фиксации на том же материальном
носителе сведений о вносимых в них изменениях либо путем изготовления нового
материального носителя с уточненными персональными данными.
Меры по обеспечению безопасности персональных данных при их обработке,
осуществляемой без использования средств автоматизации
14. Обработка персональных данных, осуществляемая без использования средств
автоматизации, должна осуществляться таким образом, чтобы в отношении каждой
категории персональных данных можно было определить места хранения персональных
данных (материальных носителей) и установить перечень лиц, осуществляющих обработку
персональных данных либо имеющих к ним доступ.
15. Сотрудник при работе с персональными данными обязан:
- принимать необходимые меры для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, распространения персональных данных, а также от иных неправомерных
действий;
- предоставлять информацию субъекту персональных данных при его обращении,
касающейся обработки персональных данных, в том числе содержащей:
а) подтверждение факта обработки персональных данных оператором, а также цель
такой обработки;
б) способы обработки персональных данных;
в) сведения о лицах, которые имеют доступ к персональным данным или которым
может быть предоставлен такой доступ;
г) перечень обрабатываемых персональных данных и источник их получения;
д) сведения о том, какие юридические последствия может повлечь за собой
обработка его персональных данных.
- осуществить блокирование персональных
данных в
случае выявления
недостоверных персональных данных или неправомерных действий с ними оператора;
- устранять допущенные нарушения в случае выявления неправомерных действий с
персональными данными в срок, не превышающий трех рабочих дней с даты такого
выявления.
- сообщать непосредственному начальнику о попытках несанкционированного
доступа к персональным данным.
113