Приказ о назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах (название Медицинской организации)
|
Скачать 1.53 Mb.
|
|
ПРИКАЗ О назначении ответственных за обезличивание персональных данных Во исполнение постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», приказа ФСТЭК России от 18.02. 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» ПРИКАЗЫВАЮ: 1.Утвердить Перечень сотрудников __________________________________ (название МО) ответственных за проведение мероприятий по обезличиванию персональных данных (Приложение). 2.Указанным в перечне сотрудникам производить выполнение обезличивание персональных данных в соответствии с правилами, определенными приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных». 3. Контроль за исполнением настоящего приказа оставляю за собой.
ПЕРЕЧЕНЬ сотрудников (название МО), ответственных за проведение мероприятий по обезличиванию персональных данных
НАИМЕНОВАНИЕ медицинской организации от_________________ №________ ПРИКАЗ Об утверждении Положения об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации Во исполнение Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119, на основании Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации». ПРИКАЗЫВАЮ: 1.Утвердить: 1) Положение об организации и проведении работ в ______________________ (название МО) по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (Приложение № 1). 2) типовые формы журналов: - учета установленных средств защиты информации (Приложение № 2); - журнала учета машинных носителей (Приложение № 3); - журнала учета хранилищ (Приложение № 4); - журнала периодического тестирования средств защиты (Приложение № 5); - журнала учета нештатных ситуаций информационных систем персональных данных (далее-ИСПДн), выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн (Приложение № 6); - журнала учета пользователей, допущенных к информационным системам персональных данных (Приложение № 7); - журнала проверок электронных журналов (Приложение № 8); - журнала учета обращений субъектов персональных данных (далее-ПДн) о выполнении их законных прав (Приложение № 9). 2 ________________________завести журналы согласно типовым формам. (должность, Ф.И.О) 3. Контроль за исполнением настоящего приказа оставляю за собой.
(Ф.И.О)
ПОЛОЖЕНИЕ об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации. 1. Общие положения.
______________________________________________________________________ (название МО) по обеспечению безопасности персональных данных при их автоматизированной обработке и/или без использования средств автоматизации в информационных системах персональных данных» (далее – Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», методическими рекомендациями ФСТЭК России и ФСБ России в целях обеспечения безопасности персональных данных (далее – ПДн) при их обработке в информационных системах персональных данных (далее – ИСПДн). 1.2. Положение определяет порядок работы пользователей и администраторов ИСПДн, сотрудников, ответственных за техническое обеспечение, а также администратора информационной безопасности, в части обеспечения безопасности ПДн при их обработке, порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, разработку и принятие мер по предотвращению возможных опасных последствий таких нарушений, порядок приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления, порядок обучения персонала практике работы в ИСПДн, порядок проверки электронного журнала обращений к ИСПДн, порядок контроля соблюдения условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией, правила обновления общесистемного и прикладного программного обеспечения, правила организации антивирусной защиты и парольной защиты ИСПДн, порядок охраны и допуска посторонних лиц в помещения ИСПДн, порядок создания резервных копий ИСПДн, правила хранения и регистрации носителей информации а также порядок обезличивания ПДн. 1.3. При обеспечении безопасности персональных данных в ИСПДн с использованием криптографических средств защиты информации все сотрудники ______________________________________________________________________ (название МО) обязаны выполнять требования, изложенные в документе «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСБ России, № 149/6/6-622, 2008). 2. Порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации. Настоящий порядок определяет действия персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн. 2.1. Допуск пользователей для работы на компьютерах ИСПДн осуществляется на основании приказа, который издается руководителем __________________________________ (далее руководитель), и в соответствии со (название МО) списком лиц, допущенных к работе в ИСПДн. С целью обеспечения ответственности за нормальное функционирование и контроль работы средств защиты информации в ИСПДн руководителем назначается администратор информационной безопасности; с целью контроля выполнения необходимых мероприятий по обеспечению безопасности назначается ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн. 2.2. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн. Полномочия пользователей к информационным ресурсам определяются в матрице доступа, которая создается ответственным за обеспечение безопасности персональных данных при их обработке в ИСПДн и утверждается руководителем организации. При этом для хранения информации, содержащей ПДн, разрешается использовать только машинные носители информации, учтенные в Журнале учета машинных носителей. 2.3. Пользователь несет ответственность за правильность включения и выключения средств вычислительной техники (СВТ), входа в систему и все действия при работе в ИСПДн. 2.4. Вход пользователя в систему может осуществляться по выдаваемому ему электронному идентификатору или по персональному паролю. 2.5. Запись информации, содержащей ПДн, может, осуществляется пользователем на съемные машинные носители информации, соответствующим образом учтенные в Журнале учета машинных носителей. 2.6. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах ИСПДн. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения. 2.7. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ в помещение, в котором производится обработка ПДн, аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан: - строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн; - знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах ИСПДн; - хранить в тайне свой пароль (пароли) и с установленной периодичностью менять свой пароль (пароли); - хранить в установленном порядке свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе, или ящике, закрывающемся на ключ; - выполнять требования Положения по организации антивирусной защиты в полном объеме. Немедленно известить ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн и (или) администратора информационной безопасности в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении: - нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на составляющих узлах и блоках СВТ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее - НСД) к данным защищаемым СВТ; - несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн; - отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию СВТ, выхода из строя или неустойчивого функционирования узлов СВТ или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения; - некорректного функционирования установленных на компьютеры технических средств защиты; - непредусмотренных отводов кабелей и подключенных устройств. 2.8. Пользователю категорически запрещается: - использовать компоненты программного и аппаратного обеспечения персонального компьютера в неслужебных целях; - вносить какие-либо изменения в конфигурацию аппаратных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения; - осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц; - записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных машинных носителях информации (гибких магнитных дисках и т.п.); - оставлять включенным без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры); - оставлять без личного присмотра свое персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения); - умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации; - размещать средства ИСПДн так, чтобы существовала возможность визуального считывания информации. 2.9. Лица, ответственные за защиту персональных данных в ______________________________________________________________________. (название МО) Ответственный за обработку ПДн - штатный сотрудник определяющий уровень доступа и ответственность лиц участвующих в обработке ПДн. Назначается приказом по учреждению. Ответственный за обеспечение безопасности персональных данных – штатный сотрудник (или подразделение) отвечающий за проведение мероприятий, связанных с защитой ПДн (организационных и технических), а также осуществляющий контроль за соблюдением требований по защите ПДн в подразделениях. Назначается приказом по учреждению. Администратор информационной безопасности – штатный сотрудник, ответственный за защиту автоматизированной системы (АС) от несанкционированного доступа (НСД) к информации. Назначается приказом по учреждению. 2.10. Администратор информационной безопасности (при его отсутствии ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн) обязан: - знать состав основных и вспомогательных технических систем и средств (далее - ОТСС и ВТСС) установленных и смонтированных в ИСПДн, перечень используемого программного обеспечения (далее - ПО) в ИСПДн; - контролировать целостность печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных СВТ и других устройствах; - производить необходимые настройки подсистемы управления доступом установленных в ИСПДн СЗИ от НСД и сопровождать их в процессе эксплуатации, при этом:
2.11. Администратор информационной безопасности и ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн имеют право: - требовать от сотрудников - пользователей ИСПДн соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в ИСПДн; - инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов ИСПДн; - требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации; - участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа. |
Похожие:
 |
Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных... |
|
Инструкция лица, ответственного за обеспечение безопасности персональных данных общие положения Настоящая Инструкция определяет обязанности должностного лица, ответственным за обеспечение безопасности обработки персональных данных... |
 |
Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |
|
Приказ о назначении ответственного за организацию обработки персональных данных проект приказа Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных... |
|
Приказ о назначении ответственного за организацию обработки персональных данных проект приказа Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных... |
|
Инструкция по работе ответственного за обеспечение безопасности персональных... Настоящая инструкция определяет задачи, функции, обязанности, права и ответственность лица, назначенного ответственным за обеспечение... |
|
Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных... |
|
Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе... В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации... |
|
Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных... |
|
Инструкция пользователей и технология обработки персональных данных... Настоящая Инструкция определяет требования, права, обязанности, а так же порядок реализации задач и функций пользователей информационных... |
|
Приказ о назначении ответственного за обеспечение безопасности персональных данных 10 3 Испдн класса K1 в соответствии с Порядком проведения классификации информационных систем персональных данных утвержденного приказом... |
|
Приказ о назначении ответственного за пожарную безопасность в организации... |
|
Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской... |
|
Положение по организации и проведению работ по обеспечению безопасности... Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных... |
|
Должностная инструкция лица, ответственного за организацию обработки... «Об утверждении перечня мер, направленных па обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных... |
|
Должностная инструкция ответственного за организацию обработки персональных... Федеральным законом от 27. 07. 2006 №152-фз «О персональных данных», нормативными правовыми актами Губернатора Рязанской области... |