- от автора admin
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ПРИКАЗ
от 14 мая 2020 года N 68
О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21
В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2011, N 31, ст.4701), подпунктом 9.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2018, N 20, ст.2818),
приказываю:
1. Внести в пункт 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 (зарегистрирован Министерством юстиции Российской Федерации 14 мая 2013 г., регистрационный N 28375) (с изменениями, внесенными приказом Федеральной службы по техническому и экспортному контролю от 23 марта 2017 г. N 49 (зарегистрирован Министерством юстиции Российской Федерации 25 апреля 2017 г., регистрационный N 46487), следующие изменения:
абзац третий после слов «средства защиты информации не ниже 4 класса» дополнить словами «и 4 уровня доверия»;
абзац четвертый после слов «средства защиты информации не ниже 5 класса» дополнить словами «и 5 уровня доверия»;
в абзаце пятом слова «средства защиты информации не ниже 6 класса» заменить словами «средства защиты информации 6 класса и 6 уровня доверия»;
в абзаце шестом слова «средства защиты информации не ниже 6 класса» заменить словами «средства защиты информации 6 класса и 6 уровня доверия»;
дополнить новым абзацем восьмым следующего содержания:
«Уровни доверия устанавливаются в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом ФСТЭК России от 30 июля 2018 г. N 131 (зарегистрирован Минюстом России 14 ноября 2018 г., регистрационный N 52686).»;
абзацы восьмой — десятый считать соответственно абзацами девятым — одиннадцатым;
абзац одиннадцатый признать утратившим силу.
2. Установить, что настоящий приказ вступает в силу с 1 января 2021 г.
Директор
Федеральной службы
по техническому и
экспортному контролю
В.Селин
Зарегистрировано
в Министерстве юстиции
Российской Федерации
8 июля 2020 года,
регистрационный N 58877
Электронный текст документа
подготовлен АО «Кодекс» и сверен по:
Официальный интернет-портал
правовой информации
www.pravo.gov.ru, 10.07.2020,
N 0001202007100002
Политика Информационной защиты государственного бюджетного учреждения здравоохранения
«Волгоградская областная клиническая больница №1», Волгоград,
в отношении обработки и защиты персональных данных.
Общие положения.
Настоящая Политика разработана в соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон), постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — ПП №1119), постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ними нормативными правовыми актами, операторами являющимися государственными или муниципальными органами» (далее — ПП №211) и устанавливает единый порядок обработки персональных данных в ГБУЗ «ВОКБ №1».
В документе используются следующие термины и понятия:
персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
обработка персональных данных без использования средств автоматизации (неавтоматизированная) — обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Правовым основанием обработки персональных данных в государственном учреждении здравоохранения «Волгоградская областная клиническая больница №1», Волгоград (далее — ГБУЗ «ВОКБ №1») являются:
- Трудовой кодекс РФ;
- Федеральный закон от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Постановление Правительства Российской Федерации № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Договорные отношения между ГБУЗ «ВОКБ №1» и сотрудниками ГБУЗ «ВОКБ №1».
Обработка персональных данных (далее — ПДн) осуществляется с целью выполнения нормативных правовых актов и соблюдения законодательства РФ (трудового, налогового, пенсионного, страхового, архивного, бухгалтерского и др.), ведения кадровой работы в ГБУЗ «ВОКБ №1», содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, обеспечения контроля количества и качества выполняемой работы, а также с целью исполнения договорных отношений.
При обработке ПДн сотрудников ГБУЗ «ВОКБ №1» осуществляются следующие действия с персональными данными: сбор; запись; систематизация; накопление; хранение; обновление (изменение); извлечение; использование (печать); распространение (передача); удаление; уничтожение.
В ИСПДн ГБУЗ «ВОКБ №1» защите подлежат персональные данные сотрудников и пациентов ГБУЗ «ВОКБ №1».
К персональным данным сотрудников, обрабатываемым и защищаемым в ИСПДн ГБУЗ «ВОКБ №1», относятся следующие сведения:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес регистрации (прописки);
- адрес фактического проживания;
- сведения о гражданстве;
- паспортные данные;
- сведения об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
- сведения о профессиональной (трудовой) деятельности;
- подразделение, должность, режим работы;
- вид МП, условие МП, тип занятости должности;
- номер страхового свидетельства государственного пенсионного страхования (СНИЛС);
- номер домашнего или личного телефона;
- сведения о воинском учете (для военнообязанных лиц и лиц, подлежащих призыву на военную службу);
- сведения о наградах, поощрениях, почетных званиях, социальных льготах;
- сведения о заработной плате;
- сведения о составе семьи;
- стаж работы;
- сведения о трудовом договоре, должности, а также номер расчетного счета;
- иные сведения о сотруднике, нахождение которых в личном деле работника необходимо для корректного документального оформления трудовых правоотношений с сотрудником.
К персональным данным пациентов, обрабатываемым и защищаемым в ИСПДн ГБУЗ «ВОКБ №1», относятся следующие сведения:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес регистрации (прописки);
- адрес фактического проживания;
- паспортные данные;
- номер страхового медицинского полиса;
- данные о состоянии здоровья.
2. Основные условия проведения обработки персональных данных
Обработка ПДн в ГБУЗ «ВОКБ №1» осуществляется путем смешанной обработки (как автоматизированной, так и неавтоматизированной) с передачей по внутренней локальной сети, и нарочным способом в уполномоченные органы и по сетям связи общего пользования и (или) сетям международного информационного обмена.
Трансграничная передача персональных данных не осуществляется.
В ГБУЗ «ВОКБ №1» предпринимаются необходимые организационные и технические меры по защите персональных данных. Целью защиты ПДн является обеспечение их конфиденциальности.
Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и иных нормативных актов.
К таким мерам в частности относятся:
- назначение лиц ответственных за организацию обработки и защиты персональных данных;
- учет лиц, допущенных к работе с персональными данными;
- разработка и ввод в действие «Политика государственного учреждения здравоохранения «Волгоградская областная клиническая больница №1″, Волгоград в отношении обработки и защиты персональных данных», «Положение по обработке и защите персональных данных в государственном учреждении здравоохранения «Волгоградская областная клиническая больница №1», Волгоград и других внутренних организационно-распорядительных документов по обеспечению безопасности персональных данных;
- оформление перечня ПДн, подлежащих защите в ГБУЗ «ВОКБ №1»;
- определение уровня защищенности ИСПДн в целях реализации дифференциального подхода к обеспечению безопасности ПДн и оптимизации расходов на создание и эксплуатацию системы защиты ПДн;
- разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИС. Система защиты ПДн описывается во внутренних организационно-распорядительных документах;
- установка и ввод в эксплуатацию средств защиты информации в соответствии с требованиями нормативно-методических документов, эксплуатационной и технической документацией;
- проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
- поэкземплярный учет применяемых средств защиты информации, в том числе СКЗИ, эксплуатационной и технической документации к ним;
- хранение документации и носителей ПДн осуществляется в специально предназначенных для этого местах (сейфах, шкафах и пр.);
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- обучение лиц, эксплуатирующих применяемые в ИСПДн средства защиты информации, правилам работы с ними;
- организация режима обеспечения безопасности помещений, в которых производится обработка персональных данных;
- постоянный контроль за обеспечением уровня защищенности персональных данных;
- контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным. Разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн, или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
- восстановление персональных данных, модифицированных или уничтоженных вследствие доступа к ним;
- осуществление контроля за применяемыми мерами по обеспечению безопасности персональных данных.
4. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации.
Обработка персональных данных в информационных системах ГБУЗ «ВОКБ №1» с использованием средств автоматизации осуществляется в соответствии с требованиями ПП №1119 и ПП №211, нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
Оператором осуществляется определение уровня защищенности информационных систем в соответствии с ПП №1119 в зависимости от категории обрабатываемых данных, их количества.
Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК России 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
- утвержденных организационно-технических документов о порядке эксплуатации информационных систем, включающих акт по установлению уровня защищенности данных, инструкции пользователя, администратора, по организации антивирусной защиты, и других нормативных и методических документов;
- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с частной моделью угроз безопасности персональных данных;
- охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.
ГБУЗ «ВОКБ №1» прекращает обработку персональных данных или обеспечивает прекращение их обработки лицом, действующим по поручению ГБУЗ «ВОКБ №1», в случае:
- изменения, признания утратившими силу нормативно-правовых актов, устанавливающих правовые основания обработки персональных данных;
- изменения или расторжения соглашений, заключенных ГБУЗ «ВОКБ №1» во исполнение нормативно-правовых актов, на основании которых осуществляется обработка персональных данных;
- выявление неправомерной обработки персональных данных осуществляемой ГБУЗ «ВОКБ №1» или лицом, действующим по поручению ГБУЗ «ВОКБ №1»;
- достижение цели обработки персональных данных;
- отзыва субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с законодательством Российской Федерации обработка персональных данных допускается только с согласия субъекта персональных данных.
5. Ответственность должностных лиц
Сотрудники ГБУЗ «ВОКБ №1», допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Интересные материалы:
- Приказ о неразглашении персональных данных
Из истории вопросаРазвитие информационных технологий сделало тему защиты персональных данных одной из наиболее обсуждаемых на…
- Руна конструктор баз данных
Конструктор баз данных Руна – удобный инструмент для создания баз данных. Позволяет легко, без знаний…
- Трансграничную передачу персональных данных
Особенности трансграничной передачи персональных данных: регламент отправки, документы и безопасностьЧто это такое?В российском законодательстве под…
- Газпром бытовые системы
Организация АО "ГАЗПРОМ БЫТОВЫЕ СИСТЕМЫ" Описание мер, предусмотренных ст. 18.1 и 19 Закона: назначено лицо,…
- Обязательство о неразглашении персональных
Когда дается обязательство о неразглашении персональных данныхПерсональные данные (далее — ПД) работника должны быть надежно…