ОБУЗ «Центр общественного здоровья и медицинской профилактики»
комитета здравоохранения Курской области
Баннеры
Политика в отношении обработки персональных данных
«УТВЕРЖДАЮ»
Главный врач ОБУЗ
«Центр медицинской профилактики»
Комитета здравоохранения Курской области
_____________ Л. Ф. Уварова
«__» _________________ 2014 г.
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБУЗ «ЦЕНТР МЕДИЦИНСКОЙ ПРОФИЛАКТИКИ»
Разработал: Уваров Д.В., программист ОБУЗ «Центр медицинской профилактики»
2014
СОДЕРЖАНИЕ
Перечень сокращений. 3
1. Введение. 4
2. Общие положения. 5
3. Сведения о реализуемых требованиях к защите персональных данных. 6
4. Контроль защищенности и оценке соответствия ПДн. 8
5. Заключительные положения. 10
Перечень сокращений
|
АРМ |
Автоматизированное рабочее место |
|
ИСПДн |
Информационная система персональных данных |
|
НСД |
Несанкционированный доступ |
|
ОС |
Операционная система |
|
ПДн |
Персональные данные |
|
ПО |
Программное обеспечение |
|
ПЭМИН |
Побочные электромагнитные излучения и наводки |
|
СЗПДн |
Система защиты персональных данных |
|
СКУД |
Система контроля и управления доступом |
|
СУБД |
Система управления базой данных |
|
СУИБ |
Система управления информационной безопасностью |
|
ФСБ России |
Федеральная служба безопасности Российской Федерации
|
|
ФСТЭК России |
Федеральная служба по техническому и экспортному контролю
|
|
Роскомнадзор |
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
|
1. Введение
Настоящая Политика в отношении обработки персональных данных в ОБУЗ «Центр медицинской профилактики» (далее – Политика) разработана в соответствии с требованиями статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ).
Утвержденная Политика подлежит опубликованию на официальном сайте ОБУЗ «Центр медицинской профилактики» (далее - Оператор) по адресу в сети Интернет https://cmpkursk.ru/.
Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, в обязательном порядке знакомятся с положениями настоящей Политики.
Требования по соблюдению настоящей Политики должны быть включены в положения трудовых договоров, которые заключаются с работниками Оператора. Требования по обеспечению информационной безопасности в соответствии с данной Политикой, с указанием конкретных мер, должны включаться в положения договоров, которые заключаются с:
- поставщиками товаров и услуг и представителями сторонних организаций, использующих информационную систему Оператора, а также с третьими лицами, работающими на Оператора;
- партнерами и третьими лицами, обрабатывающими информацию от имени Оператора.
Настоящее Положение разработано на основании следующих основных нормативных правовых актов и документов в области обеспечения безопасности ПДн:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- постановление Правительства Российской Федераций от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствий с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Действие настоящего Положения не распространяется на вопросы, связанные с обработкой ПДн, осуществляемой без использования средств автоматизации. Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Оператора, определяются в отдельном документе с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15.09.2008 № 687.
2. Общие положения
2.1. Настоящая Политика регулирует вопросы обеспечения безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) Оператора и определяет порядок организации работ по созданию и эксплуатации системы защиты персональных данных (СЗПДн) Оператора.
2.2. Целями обработки персональных данных (далее – ПДн) являются:
- соблюдение требований трудового законодательства;
- медико-профилактические цели, установление медицинского диагноза, оказание медицинских услуг;
- реализации гражданами РФ закрепленных за ними Конституцией РФ прав на обращение в медицинские организации в установленном порядке;
- обеспечение соблюдения требований законодательства Российской Федерации в отношении работников Оператора, содействия работникам в обучении и продвижении по работе, обеспечении личной безопасности работников, соблюдение основных государственных гарантий по оплате труда работников контроля количества и качества выполняемой работы.
2.3. Категории субъектов, персональные данные которых обрабатываются Оператором.
2.3.1. Лица, обратившиеся к Оператору для оказания медицинских услуг.
2.3.2. Работники Оператора, состоящие (состоявшие ранее) в трудовых отношениях с Оператором.
2.3.3. Контрагенты Оператора.
2.4. Права субъекта персональных данных.
2.4.1. Право субъекта персональных данных на доступ к его персональным данным.
2.4.2. Получение от Оператора:
подтверждение факта обработки персональных данных Оператором;
сведения о правовых основаниях и целях обработки персональных данных;
сведения о применяемых Оператором способах обработки персональных данных;
сведения о наименовании и местонахождении Оператора;
сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос, и информацию об источниках их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
сведения о сроках обработки персональных данных, в том числе сроках их хранения;
информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
наименование (ФИО) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора;
сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
2.4.3. Право на обжалование действий или бездействия оператора.
2.4.4. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
2.4.5. Отозвать свое согласие на обработку персональных данных.
2.4.6. Требовать устранения неправомерных действий Оператора в отношении его персональных данных.
2.4.7. На защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
2.5. Обязанности Оператора.
2.5.1. Предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных.
2.5.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
2.5.3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона №152-ФЗ, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию (наименование либо фамилия, имя, отчество и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; предполагаемые пользователи персональных данных; установленные настоящим Федеральным законом права субъекта персональных данных; источник получения персональных данных).
3. Сведения о реализуемых требованиях к защите персональных данных
3.1. Обработка и передача персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации в части обработки и защиты персональных данных.
3.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам, в соответствии ст. 18.1 и 19 Федерального закона № 152-ФЗ «О персональных данных», в частности, относятся:
3.2.1. Назначение лица, ответственного за организацию обработки персональных данных, и лиц, ответственных за обеспечение безопасности персональных данных.
3.2.2. Разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных.
3.2.3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных.
3.2.4. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
3.2.5. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.
3.2.6. Применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
3.2.7. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных.
3.2.8. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
3.2.9. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
3.2.10. Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.
3.2.11. Осуществление внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ «О персональных данных», подзаконным нормативным актам и локальным актам Оператора.
3.2.12. Оценка вреда, который может быть причинен гражданам в случае нарушения Федерального закона № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных».
3.2.13. Соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных.
3.2.14. Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и обучение работников Оператора.
3.3. Соглашение о конфиденциальности. В соглашениях о конфиденциальности должны содержаться положения о том, что в отношении ее использования действуют определенные правила. Работники Оператора и третьи лица должны подписать соглашение о конфиденциальности до того, как им предоставят доступ к информационным ресурсам Оператора и конфиденциальной информации.
3.4. Физическая безопасность и безопасность на рабочем месте.
3.4.1. Оборудование, используемое для обработки конфиденциальной информации, необходимо размещать в защищенных помещениях. Доступ к оборудованию должен быть ограничен с использованием специальных средств контроля доступа. Оборудование должно быть защищено от несанкционированного доступа, повреждений и вмешательств. Данные условия размещения должны быть обеспечены лицами, осуществляющими охрану помещений Оператора. Работники Оператора обязаны исключить возможность наличия на их рабочем столе документов или носителей с конфиденциальной информацией, в случае их отсутствия на рабочем месте.
3.4.2. Конфиденциальные документы и носители с конфиденциальной информацией следует хранить в запираемых на ключ тумбах или шкафах, а в случае отсутствия такой возможности работнику следует уведомить об этом ответственного за организацию обработки перосональных данных.
3.4.3. Запрещается хранить в открытом доступе любые конфиденциальные документы или носители в таких местах как: сетевые принтеры, места для приема пищи и т.п.
4. Контроль защищенности и оценке соответствия ПДн
4.1. Мероприятия по контролю защищенности ПДн и оценке соответствия ИСПДн включают:
- внутренний контроль режима безопасности ПДн (оперативный и периодический);
- обследование защищенности ПДн с привлечением сторонней организации;
- оценку соответствия ИСПДн требованиям безопасности ПДн.
4.2. Внутренний оперативный контроль соблюдения режима безопасности ПДн проводится специалистом по информационной безопасности (администратором безопасности) ежедневно в режиме "реального времени". Внутренний контроль заключается в анализе защищенности ПДн посредством используемых в составе ИСПДн программных и программно-аппаратных средств (систем) анализа защищенности.
В ходе проведения контроля соблюдения режима безопасности ПДн специалист по информационной безопасности (администратор безопасности):
- осуществляет анализ лог-файлов, производимых средствами защиты и другими элементами ИСПДн (ОС, прикладные программы);
- просматривает оповещения средств защиты ИСПДн;
- принимает меры по результатам анализа полученных оповещений и лог-файлов.
4.3. Внутренний периодический контроль заключается в оценке выполнения требований нормативных документов по обеспечению безопасности ПДн, обрабатываемых в ИСПДн. В ходе проведения внутреннего периодического контроля проверяются следующие вопросы:
- соответствие состава и структуры программно-технических средств, обрабатывающих защищаемую информацию (ПДн), документированному составу и структуре средств, разрешенных для обработки такой информации;
- знание персоналом руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях;
- проверка наличия документов, подтверждающих возможность применения технических и программных средств вычислительной техники для обработки ПДн и применения СЗИ (сертификатов соответствия и других документов);
- проверка правильности применения СЗИ;
- проверка выполнения требований по условиям размещения АРМ в рабочих помещениях;
- соответствие реального уровня полномочий по доступу к защищаемой информации (ПДн) различных пользователей установленному в списке лиц, допущенных к обработке ПДн, уровню полномочий;
- знание инструкций по обеспечению безопасности информации пользователями ИСПДн;
- организация хранения носителей ПДн и допуска в помещения, где размещены средства обработки и осуществляется обработка ПДн;
- прохождение инструктажа пользователей по вопросам обеспечения безопасности ПДн и выполнение ими установленных требований.
По фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, составляется соответствующее заключение, на основе которого впоследствии осуществляется разработка и реализация мер по предотвращению возможных опасных последствий подобных нарушений.
Результаты контроля оформляются Актом, в котором делаются выводы о состоянии обеспечения безопасности ПДн на проверяемом объекте информатизации и приводятся рекомендации по его совершенствованию.
4.4. Обследование защищенности ПДн внешней специализированной организацией проводится при создании ИСПДн (предпроектное обследование) или при доработке (модернизации) СЗПДн в случае, если:
- изменился состав или структура ИСПДн или технические особенности его построения (состав или структура ПО, ТС обработки ПДн, топологии и т.п.);
- изменился состав угроз безопасности ПДн;
- изменился класс защищённости ИСПДн.
Обследование защищенности ПДн внешней специализированной организацией проводится по решению Оператора. Привлекаемая для проведения обследования внешняя специализированная организация обязана иметь лицензию на деятельность по технической защите конфиденциальной информации.
4.5. Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в форме проверки готовности СЗИ к использованию.
Проверка готовности СЗИ к использованию осуществляется в ходе приемо-сдаточных испытаний СЗПДн с составлением протоколов проверки и заключений о возможности их эксплуатации.
В качестве организации, проводящей проверку готовности СЗИ к использованию или добровольную аттестацию ИСПДн, привлекается организация, имеющая лицензию ФСТЭК России на право деятельности по технической защите конфиденциальной информации. Проверка готовности СЗИ к использованию проводится в соответствии с разрабатываемой программой и методикой испытаний соответствующих СЗИ, определяющих порядок проверки выполнения СЗИ заявленных функций защиты.
Аттестация проводится в соответствии с действующими нормативными и методическими документами ФСТЭК России.
Порядок подготовки и проведения аттестации ИСПДн определяется в приказах Оператора.
5. Заключительные положения
5.1. Настоящая Политика является общедоступным документом.
5.2. Настоящая Политика подлежит пересмотру не реже одного раза в год, а также в следующих случаях:
при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
при изменении целей обработки персональных данных, структуры информационных и/или телекоммуникационных систем (или введении новых);
при применении новых технологий обработки персональных данных (в т.ч. передачи, хранения);
при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Оператора;
по результатам контроля выполнения требований по обработке и защите персональных данных;
по решению руководства Оператора.
После пересмотра положений настоящей Политики, ее актуализированная версия публикуется на сайте Оператора – https://cmpkursk.ru/.
В случае неисполнения положений настоящей Политики Оператор несет ответственность в соответствии действующим законодательством Российской Федерации.
