Обозначения и сокращения 6

1Основные обязанности учреждений здравоохранения, эксплуатирующих ИСПДн

• 
  провести их классификацию с оформлением соответствующего акта;
  
• 
  до 01.01.2010 реализовать комплекс мер по защите персональных данных в соответствии с перечисленными правовыми актами и методическими документами;
  
• 
  провести оценку соответствия ИСПДн требованиям безопасности в форме сертификации (аттестации) или декларирования соответствия.
  

2Основные мероприятия по приведению ИСПДн Учреждений в соответствие с ФЗ-152 «О персональных данных»

1. 
   Разработать и утвердить внутри учреждения приказ о защите персональных данных (см. Приложение 1).
   
2. 
   Разработать и утвердить внутри учреждения приказ о подразделении по защите персональных данных (см. Приложение 2).
   
3. 
   Разработать и утвердить внутри учреждения приказ о назначении ответственных лиц за обработку персональных данных (см. Приложение 3).
   
4. 
   Разработать и утвердить внутри учреждения Концепцию информационной безопасности и Политику информационной безопасности.
   
5. 
   Разработать и утвердить внутри учреждения приказ о проведении внутренней проверки (см. Приложение 7). Результат оформить в виде отчета (см. Приложение 8).
   
6. 
   Определить состав и категории обрабатываемых персональных данных (см. раздел 3 на стр. 21 настоящих рекомендаций). Результат оформить в виде перечня ПДн (см. Приложение).
   
7. 
   Осуществить классификацию действующих информационных систем, обрабатывающих персональные данные (см. раздел 4 настоящих рекомендаций). Результат оформить в виде акта классификации (см. Приложение 9).
   
8. 
   Разработать и утвердить внутри учреждения положение о разграничении прав доступа к обрабатываемым персональным данным (см. Приложение 10).
   
9. 
   Адаптировать модель угроз к конкретной ИСПДн учреждения (см. Методику составления частной модели угроз). Результат оформить в виде Модели угроз (см. Приложение 11).
   
10. 
    Разработать и утвердить план мероприятий по защите ПДн (см. Приложение 12). Необходимо учесть, что план мероприятий может быть пересмотрен через 6 месяцев ввиду опубликования новых пояснений по ФЗ-152 со стороны регуляторов.
    
11. 
    Зарегистрироваться в качестве оператора персональных данных – подготовить и направить уведомление в территориальный орган Россвязькомнадзора – уполномоченный орган по защите прав субъектов персональных данных (см. Приложение 25).
    
12. 
    Назначить ответственных за обеспечение безопасности персональных данных и подготовить должностные инструкции сотрудников, обрабатывающих ПДн, в составе:
    

• 
  Инструкция администратора ИСПДн;
  
• 
  Инструкция администратора безопасности;
  
• 
  Инструкция пользователя при работе с ИСПДн;
  
• 
  Инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.
  

13. 
    Разработать и утвердить порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ (см. Приложение 13).
    
14. 
    Разработать и утвердить план внутренних проверок состояния защиты ПДн (см. Приложение 14).
    
15. 
    Разработать и утвердить журнал учета обращений субъектов ПДн о выполнении их законных прав (см. Приложение 16).
    
16. 
    Разработать и утвердить перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним (см. Приложение 21).
    
17. 
    Разработать и утвердить электронный журнал обращений пользователей информационной системы к ПДн (см. Приложение 24)
    
18. 
    Провести необходимые технические мероприятия для обеспечения защиты ПДн при их обработке в ИСПДн (см. раздел 6 на стр. 72). В их состав входят:
    
    1. 
       Обязательные технические мероприятия.
       
    2. 
       Технические мероприятия, выполняемые, при выделении дополнительного финансирования.
       
19. 
    Декларировать соответствие или провести аттестационные (сертификационные) испытания ИСПДн (см. раздел 8 на стр. 88).