1Основные обязанности учреждений здравоохранения, эксплуатирующих ИСПДн
Все учреждения и организации системы здравоохранения, социальной сферы, труда и занятости (далее – Учреждения) обязаны обеспечивать защиту персональных данных во внедряемых информационных системах с момента их ввода в эксплуатацию.
В отношении действующих информационных систем, обрабатывающих персональные данные, Учреждения обязаны осуществить ряд мероприятий:
провести их классификацию с оформлением соответствующего акта;
до 01.01.2010 реализовать комплекс мер по защите персональных данных в соответствии с перечисленными правовыми актами и методическими документами;
провести оценку соответствия ИСПДн требованиям безопасности в форме сертификации (аттестации) или декларирования соответствия.
2Основные мероприятия по приведению ИСПДн Учреждений в соответствие с ФЗ-152 «О персональных данных» Каждое Учреждение, эксплуатирующее ИСПДн, должно выполнить до 1 января 2010 года следующие действия:
Разработать и утвердить внутри учреждения приказ о защите персональных данных (см. Приложение 1).
Разработать и утвердить внутри учреждения приказ о подразделении по защите персональных данных (см. Приложение 2).
Разработать и утвердить внутри учреждения приказ о назначении ответственных лиц за обработку персональных данных (см. Приложение 3).
Разработать и утвердить внутри учреждения Концепцию информационной безопасности и Политику информационной безопасности.
Разработать и утвердить внутри учреждения приказ о проведении внутренней проверки (см. Приложение 7). Результат оформить в виде отчета (см. Приложение 8).
Определить состав и категории обрабатываемых персональных данных (см. раздел 3 на стр. 21 настоящих рекомендаций). Результат оформить в виде перечня ПДн (см. Приложение).
Осуществить классификацию действующих информационных систем, обрабатывающих персональные данные (см. раздел 4 настоящих рекомендаций). Результат оформить в виде акта классификации (см. Приложение 9).
Разработать и утвердить внутри учреждения положение о разграничении прав доступа к обрабатываемым персональным данным (см. Приложение 10).
Адаптировать модель угроз к конкретной ИСПДн учреждения (см. Методику составления частной модели угроз). Результат оформить в виде Модели угроз (см. Приложение 11).
Разработать и утвердить план мероприятий по защите ПДн (см. Приложение 12). Необходимо учесть, что план мероприятий может быть пересмотрен через 6 месяцев ввиду опубликования новых пояснений по ФЗ-152 со стороны регуляторов.
Зарегистрироваться в качестве оператора персональных данных – подготовить и направить уведомление в территориальный орган Россвязькомнадзора – уполномоченный орган по защите прав субъектов персональных данных (см. Приложение 25).
Назначить ответственных за обеспечение безопасности персональных данных и подготовить должностные инструкции сотрудников, обрабатывающих ПДн, в составе:
Инструкция администратора ИСПДн;
Инструкция администратора безопасности;
Инструкция пользователя при работе с ИСПДн;
Инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.
Разработать и утвердить порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ (см. Приложение 13).
Разработать и утвердить план внутренних проверок состояния защиты ПДн (см. Приложение 14).
Разработать и утвердить журнал учета обращений субъектов ПДн о выполнении их законных прав (см. Приложение 16).
Разработать и утвердить перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним (см. Приложение 21).
Разработать и утвердить электронный журнал обращений пользователей информационной системы к ПДн (см. Приложение 24)
Провести необходимые технические мероприятия для обеспечения защиты ПДн при их обработке в ИСПДн (см. раздел 6 на стр. 72). В их состав входят:
Обязательные технические мероприятия.
Технические мероприятия, выполняемые, при выделении дополнительного финансирования.
Декларировать соответствие или провести аттестационные (сертификационные) испытания ИСПДн (см. раздел 8 на стр. 88).
В следующих главах настоящих методических рекомендаций будут даны конкретные рекомендации по выполнению каждого пункта.
|