Защита персональных данных

Министерство здравоохранения Тверской области и медицинские организации осуществляют обработку информации (персональных данных) в составе введенных в эксплуатацию информационных систем, при этом сами являются операторами на своих объектах информатизации (автоматизации) при обработке персональных данных.

 В соответствии со статьей 18.1 Федерального закона № 152-ФЗ "О персональных данных"
 "Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и  и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным  законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. "

  В соответствии со ст.22 Федерального закона № 152-ФЗ "О персональных данных" оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор)  о своем намерении осуществлять обработку персональных данных.

Если в организации не определены правовые, организационные и технические меры по обеспечению безопасности персональных данных вся ответственность возлагается на руководителя организации.  
За нарушение требований безопасности персональных данных предусматривается административная и уголовная ответственность.
Оператор обязан обеспечить защиту информации, содержащейся в информационных системах, от неправомерного доступа, уничтожения, модифицирования, блокирования, предоставления, распространения, а также от иных неправомерных действий в соответствии с действующим законодательством Российской Федерации.

В соответствии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», постановлением Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» операторам информационных систем необходимо провести категорирование объектов критической информационной инфраструктуры.

Категорирование проходит следующим образом:

    Руководитель организации создает комиссию по категорированию, которая выявляет критичные процессы субъекта (управленческие, технологические, производственные и другие).
    Определяются объекты КИИ, связанные с этими процессами.
    Полученный перечень согласовывается со ФСТЭК в течение пяти дней.
    Объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории.
        При выборе категории объект оценивается по показателям критериев значимости. Всего существует 5 групп показателей, включающих от одной до пяти подгрупп. Итоговая оценка ставится по максимальному значению из всех групп/подгрупп.
        Первая категория означает, что объект требует максимальной защиты.
    По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
    Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней.

Реестр значимых объектов формируется и ведётся ФСТЭК России на основании данных, предоставляемых субъектами КИИ. Реестр подлежит защите в соответствии законодательством РФ о гостайне. Соответствующий документ: Приказ ФСТЭК от 6.12.2017. № 227.

Данные об изменении категории также должны направляться в ФСТЭК. Изменение категории значимости может произойти:

  По мотивированному решению ФСТЭК по результатам проверки, выполненной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ
    Объект перестал соответствовать критериям значимости и показателям их значений
    Субъект КИИ был реорганизован, ликвидирован или произошли изменения в его организационно-правовой форме

Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости и сообщает об изменениях в ФСТЭК.

pdfТиповой комплект организационно-распорядительной документации для учреждений

Состав:
Приказ об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн
Приложения к  приказу для ЛПУ
Приложение №1  "Перечень персональных данных, обрабатываемых в  учреждении"
Приложение № 2  "Перечень защищаемых ресурсов"
Приложение № 3  "Список лиц, допущенных к обработке персональных данных"
Приложение № 4П "Правила обработки персональных данных граждан в в  учреждении"
Приложение № 5 "Должностная инструкция ответственного за организацию обработки персональных данных в ИСПДн"
Приложение № 6 "Инструкция о порядке технического обслуживания, ремонта, модернизации технических средств, входящих в состав ИСПДн"
Приложение № 7 "Инструкция по проведению антивирусного контроля в ИСПДн"
Приложение № 8 "Инструкция по применению парольной защиты  в ИСПДн"
Приложение № 9 "Инструкция по работе пользователей  в ИСПДн"
Приложение № 10 "Инструкция об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные, обрабатываемые в ИСПДн"
Приложение № 11 "Инструкция по работе ответственного за обеспечение безопасности персональных данных в ИСПДн"
Приложение № 12 "Регламент резервного копирования и восстановления персональных данных"
Приложение № 13 "Перечень должностей учреждения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных "
Приложение № 14 "Перечень должностей учреждения, замещение которых предусматривает осуществление обработки персональных данных,либо осуществление доступа к персональным данным"
Приложение № 15 "Порядок доступа сотрудников учреждения  в помещения, предназначенные для обработки персональных данных"
Приложение № 16 "Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных "
Приложение № 17 "Правила рассмотрения запросов субъектов персональных данных или их представителей"
Приложение № 18 "Перечень информационных систем персональных данных "
Приложение № 19 "Правила работы с обезличенными персональными данными "
Приложение № 20 "Юридические последствия"

Приказ о контролируемой зоне помещений

Приказ о ведении Журналов
Журнал учета ДСП
Журнал приема-сдачи помещения под охрану
Журнал учета ключей и хранилищ
Журнал проверки антивируса
Журнал проверки НСД
Журнал учета носителей
Журнал учета персональных идентификаторов
Журнал регистрации доступа к программному и аппаратному обеспечению
Журнал учета выдачи ключей и печатей
Журнал выдачи-передачи ПДн
Журнал.учета СЗИ

Приказ об организации работ по обеспечению безопасности персональных данных при их обработке с использованием средств криптографической защиты информации (СКЗИ)
Приказ о создании комиссии для принятия зачетов
Инструкция о порядке учета и выдачи СКЗИ
Инструкция о допуске к самостоятельной работе со СКЗИ
Журнал поэкземплярного учета СКЗИ
Инструкция по обращению с сертифицированными ФАПСИ (ФСБ) СКЗИ
Приказ о допуске сотрудников к работе с СКЗИ
Приказ о создании комиссии для принятия зачетов
Журнал регистрации пользователей СКЗИ

 


 pdfРекомендации по установке оборудования ViPNet для учреждений здравоохранения при подключении к VPN сети ЕГИСЗ

pdfМетодические рекомендации медицинским организациям по организации криптографической защиты каналов при взаимодействии в рамках единой государственной информационной системы в сфере здравоохранения

icon-docМетодические рекомендации по проведению в 2011 – 2012 годах работ по информационной безопасности для регионального уровня регионального уровня единой государственной информационной системы в сфере здравоохранения

 Департаментом информатизации Министерства здравоохранения и социального развития РФ утверждены методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (включая "Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости и Приложения (26 шт.).

icon-docМетодические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости

icon-docМетодические рекомендации для организации защиты информации при обработке данных учреждений здравоохранения, социальной сферы, труда и занятости

icon-docПриложения (26 шт.)

 

icon-docПостановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"

icon-docПостановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

icon-docПриказ ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

icon-docПриказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

icon-docПостановление Правительства РФ от 06.07.2015 N 676 (ред. от 11.05.2017) "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"

pdf Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. "Меры защиты информации в государственных информационных системах"

icon-docПриказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

pdfМетодические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных"

pdfСтолбов А.П., д.т.н., МИАЦ РАМН  "Методические и практические аспекты организации обработки и защиты персональных данных"

pdfСтолбов А.П.  "Безопасность медицинских информационных технологий: новые задачи, старые проблемы."

 icon-docВыписка из перечня средств защиты информации, сертифицированных ФСБ России (по состоянию на 2 июля 2019 года)

 icon-excelГосударственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00

 

Портал персональныеданные.дети

 

Береги свои персональные данные