5Рекомендации по выполнению организационных мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений Данные организационные мероприятия являются обязательными для выполнения всеми Учреждениями, эксплуатирующими ИСПДн, и могут быть выполнены специалистами учреждений без привлечения сторонних организаций и без выделения дополнительного финансирования со стороны Минздравсоцразвития. Для правильного выполнения организационных мероприятий и разработке документов необходимо использовать шаблоны, представленные в Приложении, а также использовать инструкции по их заполнению.
Перечень возможных дополнительных организационных мероприятий представлен в Плане мероприятий по обеспечению защиты ПДн. Дополнительные мероприятия (помимо представленных ниже) должны вводиться приказом по учреждению или в качестве инструкции о соблюдении режима безопасности в порядке, утвержденном в учреждении.
5.1Рекомендации по разработке Положения о защите персональных данных Положение о защите персональных данных, самый первый и самый важный нормативно-организационный документ. Положение вводится приказом и устанавливает нижестоящие документы по обеспечению режима обработки и защиты ПДн.
Пример приказа о введении Положения о защите персональных данных.
Положение должно:
Быть оформлено в соответствии с внутренним порядком документооборота Учреждения.
Быть утверждено Руководителем Учреждения.
В приказе должен быть указан сотрудник ответственный за контроль исполнения приказа.
Ответственным сотрудником может быть Руководитель Учреждения, лицо, отвечающее за обеспечение режима безопасности, или любой другой сотрудник, на которого возложен контроль за выполнение приказа.
5.2Рекомендации по разработке Положения о подразделении по защите информации Положение о подразделении по защите информации, определяет лица, ответственные за обеспечение безопасности, а так же организационные и технические мероприятия по достижению безопасности. Положение вводится приказом и устанавливает нижестоящие документы по обеспечению защиты ПДн.
Пример приказа о введении Положения о подразделении по защите информации.
Положение должно:
Быть оформлено в соответствии с внутренним порядком документооборота Учреждения.
Быть утверждено Руководителем Учреждения.
В приказе должно быть указано лицо (сотрудник) или подразделение, ответственное за обеспечение безопасности персональных данных. Если в Учреждении нет отдела или специалиста, занимающегося защитой информации, то его следует назначить из числа доверенных лиц. Ответственным за обеспечение безопасности ПДн может быть назначен руководитель отдела информационных технологий или любой другой сотрудник.
В Приказе должен быть установлен срок, до которого необходимо провести внутреннюю проверку. Проверка проводится на основании Приказа о проведении внутренней проверки.
В приказе должен быть указан сотрудник ответственный за контроль исполнения приказа.
Ответственным сотрудником может быть Руководитель Учреждения, лицо, отвечающее за обеспечение режима безопасности, или любой другой сотрудник, на которого возложен контроль за выполнение приказа.
5.3Рекомендации по разработке Приказ о назначении ответственных лиц за обработку ПДн Приказ о назначении ответственных лиц за обработку ПДн, определяет уровень доступа и ответственность лиц участвующих в обработке ПДн. Положение вводится приказом и устанавливает нижестоящие документы по обеспечению режима обработки ПДн.
Пример Приказа о назначении ответственных лиц за обработку ПДн.
Приказ должен:
Быть оформлен в соответствии с внутренним порядком документооборота Учреждения.
Быть утвержден Руководителем Учреждения, на основании Отчета о результатах проведения внутренней проверки.
Дата введения приказа, должна быть последующей после проведения внутренней проверки и принятия отчета о проведении внутренней проверки.
В приказе должен быть указан сотрудник ответственный за контроль исполнения приказа.
Ответственным сотрудником может быть Руководитель Учреждения, лицо, отвечающее за обеспечение режима безопасности или проведение внутренней проверки, или любой другой сотрудник, на которого возложен контроль за выполнение приказа.
|