Защита персональных данных

Министерство здравоохранения Тверской области и медицинские организации осуществляют обработку информации (персональных данных) в составе введенных в эксплуатацию информационных систем, при этом сами являются операторами на своих объектах информатизации (автоматизации) при обработке персональных данных.

 В соответствии со статьей 18.1 Федерального закона № 152-ФЗ "О персональных данных"
 "Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и  и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным  законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. "

  В соответствии со ст.22 Федерального закона № 152-ФЗ "О персональных данных" оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор)  о своем намерении осуществлять обработку персональных данных.

Если в организации не определены правовые, организационные и технические меры по обеспечению безопасности персональных данных вся ответственность возлагается на руководителя организации.  
За нарушение требований безопасности персональных данных предусматривается административная и уголовная ответственность.
Оператор обязан обеспечить защиту информации, содержащейся в информационных системах, от неправомерного доступа, уничтожения, модифицирования, блокирования, предоставления, распространения, а также от иных неправомерных действий в соответствии с действующим законодательством Российской Федерации.

В соответствии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», постановлением Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» операторам информационных систем необходимо провести категорирование объектов критической информационной инфраструктуры.

Категорирование проходит следующим образом:

    Руководитель организации создает комиссию по категорированию, которая выявляет критичные процессы субъекта (управленческие, технологические, производственные и другие).
    Определяются объекты КИИ, связанные с этими процессами.
    Полученный перечень согласовывается со ФСТЭК в течение пяти дней.
    Объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории.
        При выборе категории объект оценивается по показателям критериев значимости. Всего существует 5 групп показателей, включающих от одной до пяти подгрупп. Итоговая оценка ставится по максимальному значению из всех групп/подгрупп.
        Первая категория означает, что объект требует максимальной защиты.
    По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
    Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней.

Реестр значимых объектов формируется и ведётся ФСТЭК России на основании данных, предоставляемых субъектами КИИ. Реестр подлежит защите в соответствии законодательством РФ о гостайне. Соответствующий документ: Приказ ФСТЭК от 6.12.2017. № 227.

Данные об изменении категории также должны направляться в ФСТЭК. Изменение категории значимости может произойти:

  По мотивированному решению ФСТЭК по результатам проверки, выполненной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ
    Объект перестал соответствовать критериям значимости и показателям их значений
    Субъект КИИ был реорганизован, ликвидирован или произошли изменения в его организационно-правовой форме

Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости и сообщает об изменениях в ФСТЭК.

pdf Проект методических рекомендаций по категорированию объектов критической информационной инфраструктуры сферы здравоохранения

pdfТиповой комплект организационно-распорядительной документации для учреждений

Состав:
Приказ об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн
Приложения к  приказу для ЛПУ
Приложение №1  "Перечень персональных данных, обрабатываемых в  учреждении"
Приложение № 2  "Перечень защищаемых ресурсов"
Приложение № 3  "Список лиц, допущенных к обработке персональных данных"
Приложение № 4П "Правила обработки персональных данных граждан в в  учреждении"
Приложение № 5 "Должностная инструкция ответственного за организацию обработки персональных данных в ИСПДн"
Приложение № 6 "Инструкция о порядке технического обслуживания, ремонта, модернизации технических средств, входящих в состав ИСПДн"
Приложение № 7 "Инструкция по проведению антивирусного контроля в ИСПДн"
Приложение № 8 "Инструкция по применению парольной защиты  в ИСПДн"
Приложение № 9 "Инструкция по работе пользователей  в ИСПДн"
Приложение № 10 "Инструкция об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные, обрабатываемые в ИСПДн"
Приложение № 11 "Инструкция по работе ответственного за обеспечение безопасности персональных данных в ИСПДн"
Приложение № 12 "Регламент резервного копирования и восстановления персональных данных"
Приложение № 13 "Перечень должностей учреждения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных "
Приложение № 14 "Перечень должностей учреждения, замещение которых предусматривает осуществление обработки персональных данных,либо осуществление доступа к персональным данным"
Приложение № 15 "Порядок доступа сотрудников учреждения  в помещения, предназначенные для обработки персональных данных"
Приложение № 16 "Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных "
Приложение № 17 "Правила рассмотрения запросов субъектов персональных данных или их представителей"
Приложение № 18 "Перечень информационных систем персональных данных "
Приложение № 19 "Правила работы с обезличенными персональными данными "
Приложение № 20 "Юридические последствия"

Приказ о контролируемой зоне помещений

Приказ о ведении Журналов
Журнал учета ДСП
Журнал приема-сдачи помещения под охрану
Журнал учета ключей и хранилищ
Журнал проверки антивируса
Журнал проверки НСД
Журнал учета носителей
Журнал учета персональных идентификаторов
Журнал регистрации доступа к программному и аппаратному обеспечению
Журнал учета выдачи ключей и печатей
Журнал выдачи-передачи ПДн
Журнал.учета СЗИ

Приказ об организации работ по обеспечению безопасности персональных данных при их обработке с использованием средств криптографической защиты информации (СКЗИ)
Приказ о создании комиссии для принятия зачетов
Инструкция о порядке учета и выдачи СКЗИ
Инструкция о допуске к самостоятельной работе со СКЗИ
Журнал поэкземплярного учета СКЗИ
Инструкция по обращению с сертифицированными ФАПСИ (ФСБ) СКЗИ
Приказ о допуске сотрудников к работе с СКЗИ
Приказ о создании комиссии для принятия зачетов
Журнал регистрации пользователей СКЗИ