Приказ о назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах (название Медицинской организации)
|
Скачать 1.53 Mb.
|
|
11. Управление учетными записями пользователей. 11.1. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе на компьютерах конкретной ИСПДн, должна быть создана уникальная учетная запись пользователя. 11.2. Работу в ИСПДн сотрудник должен осуществлять только с использованием своего уникального имени пользователя. Работа в ИСПДн под чужой учетной записью, кроме случаев, описанных в п.9.5, запрещена. 11.3. Процедура регистрации (создания учетной записи) пользователя и предоставления ему (или изменения его) прав доступа к ресурсам ИСПДн инициируется заявкой администратора ИСПДн по прилагаемой форме к настоящему Положению. В заявке указывается: - содержание запрашиваемых изменений (регистрация нового пользователя ИСПДн, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам ИСПДн ранее зарегистрированного пользователя); - должность (с полным наименованием отдела), фамилия, имя и отчество сотрудника; - имя пользователя (учетной записи) данного сотрудника; - полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач в ИСПДн). 11.4. Заявку рассматривает руководитель, визируя её, утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного сотрудника к необходимым для решения им указанных в заявке задач ресурсам ИСПДн. Затем подписывает задание администратору информационной безопасности на внесение необходимых изменений в списки пользователей соответствующих подсистем ИСПДн. 11.5. На основании задания, в соответствии с документацией на средства защиты от несанкционированного доступа, администратор информационной безопасности производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора), заявленных прав доступа к ресурсам ИСПДн и другие необходимые действия, указанные в задании. Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в течение 60 дней. 11.6. После внесения изменений в списки пользователей администратор информационной безопасности должен обеспечить настройки средств защиты соответствующие требованиям безопасности указанной ИСПДн. По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписью исполнителя – администратор информационной безопасности. 11.7. Исполненные заявка и задание хранятся у администратора информационной безопасности. Они могут впоследствии использоваться: - для восстановления полномочий пользователей после аварий ИСПДн; - для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций; - для проверки сотрудниками контролирующих органов правильности настройки средств разграничения доступа к ресурсам ИСПДн. 12. Порядок контроля соблюдения условий использования средств защиты информации, в том числе криптографических. 12.1. Данный раздел Положения определяет порядок контроля соблюдения условий использования средств защиты информации (далее - СЗИ). 12.2. Технические средства защиты информации являются важным компонентом ОБ ПДн. 12.3. Порядок работы с техническими СЗИ определен в соответствующих руководствах по настройке и использованию СЗИ обязательных для исполнения, как сотрудниками обрабатывающими конфиденциальную информацию, так и администратором информационной безопасности. 12.4. Право проверки соблюдения условий использования средств защиты информации имеют: - руководитель; - ответственный за обработку персональных данных; - администратор информационной безопасности. 12.5. Пользователю ИСПДн категорически запрещается: - отключать СЗИ; -производить обработку конфиденциальной информации в случае неработоспособности средств ее защиты (СЗИ); - менять настройки СЗИ. 12.6. Если в ходе периодических, плановых или внезапных проверок ИСПДн выявлено нарушение требования п. 10.5. то подлежат применению п.п. 3.7., 3.8. данного Положения. 12.7. Криптографические средства защиты информации должны использоваться в соответствии с технической и эксплуатационной документацией на них, а также в соответствии с правилами пользования ими. 13. Порядок охраны и допуска посторонних лиц в защищаемые помещения. 13.1. Данный раздел Положения устанавливает порядок охраны помещений ИСПДн. 13.2. Вскрытие и закрытие помещений осуществляется сотрудниками, работающими в данных помещениях. Список сотрудников, имеющих право вскрывать (сдавать под охрану) и опечатывать помещения утверждается руководителем и передаётся на пост охраны. 13.3. При отсутствии сотрудников, ответственных за вскрытие помещений, данные помещения могут быть вскрыты комиссией, созданной на основании приказа. Комиссией составляется акт вскрытия. 13.4. При закрытии помещений сотрудники, ответственные за помещения, проверяют закрытие окон, выключают освещение, бытовые приборы, оргтехнику и проверяют противопожарное состояние помещения, а документы и носители информации, на которых содержится конфиденциальная информация, убирают для хранения в опечатываемый сейф (металлический шкаф). Закрываемое помещение опечатывается личной печатью сотрудника, ответственного за помещение. 13.5. Постановка и снятие помещений под охрану производится охранником после окончания и перед началом рабочего дня соответственно. 13.6. Сотрудник, имеющий право на вскрытие помещений: - производит проверку оттиска печати на двери помещения и исправность запоров; - вскрывает помещение. 13.7. При обнаружении нарушений целостности оттисков печатей, повреждения запоров или наличия других признаков, указывающих на возможное проникновение в помещение посторонних лиц, помещение не вскрывается, а составляется акт, в присутствии охранника. О происшествии немедленно сообщается руководителю и (или) ответственному за обеспечение безопасности персональных данных при их обработке в ИСПДн. Одновременно принимаются меры по охране места происшествия и до прибытия должностных лиц в помещение никто не допускается. 13.8. Руководитель, ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн и администратор информационной безопасности организуют проверку ИСПДн на предмет несанкционированного доступа к конфиденциальной информации и наличие документов и машинных носителей информации. 13.9. При срабатывании охранной сигнализации в служебных помещениях в нерабочее время охранник сообщает о случившемся ответственному за помещение, или ответственному за обеспечение безопасности персональных данных при их обработке в ИСПДн, или руководителю, или администратору информационной безопасности. Помещения вскрывать запрещается. 13.10. Помещения вскрываются ответственным за помещение, или руководителем, или ответственным за обеспечение безопасности персональных данных при их обработке в ИСПДн в присутствии сотрудника охраны с составлением акта. 13.11. При передаче дежурства, если помещение в течение дня не вскрывалось, а также в выходные и праздничные дни принимающая дежурство смена поста охраны проверяет целостность печатей на дверях и пенале с ключами 13.12. Порядок пребывания посторонних лиц на территории ______________________________________________________________________ (название МО) устанавливается соответствующим приказом. 14. Порядок стирания защищаемой информации и уничтожения носителей защищаемой информации. 14.1. В обязательном порядке уничтожению подлежат поврежденные, выводимые из эксплуатации носители, содержащие защищаемую информацию, использование которых не предполагается в дальнейшем. Стиранию подлежат носители, содержащие защищаемую информацию, которые выводятся из эксплуатации в составе ИСПДн. Не допускается стирание неисправных носителей и передача их в сервисный центр для ремонта. Такие носители должны уничтожаться в соответствии с настоящим порядком. 14.2. Стирание должно производиться по технологии, предусмотренной для данного типа носителя, с применением сертифицированных средств гарантированного уничтожения информации (допускается задействовать механизмы затирания встроенные в сертифицированные средства защиты информации). 14.3. Уничтожение носителей производится путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления информации (перед уничтожением, если носитель исправен, должно быть произведено гарантирование стирание информации на носителе). Непосредственные действия по уничтожению конкретного типа носителя должны быть достаточны для исключения возможности восстановления информации. 14.4. Бумажные и прочие сгораемые носители (конверты с неиспользуемыми более паролями) уничтожают путем сжигания или с помощью любых бумагорезательных машин. 14.5. По факту уничтожения или стирания носителей составляется акт, в журналах учета делаются соответствующие записи. 14.6. Процедуры стирания и уничтожения осуществляются комиссией, в которую входят: администратор ИСПДн, ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн, администратор информационной безопасности. 15. Обезличивание персональных данных. 15.1. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных 15.2. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 15.3. Способы обезличивания при условии дальнейшей обработки персональных данных: - метод введения идентификаторов; - метод изменения состава или семантики; - обобщение (понижение точности некоторых сведений); - метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств; - метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных). 15.4. Для обезличивания персональных данных используются способы обезличивания, определенные приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» в соответствии с рекомендациями по использованию этих методов. 15.5. Решение о необходимости обезличивания персональных данных принимает руководитель Учреждения. 15.6. Начальники отделов, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания. 15.7. Сотрудники подразделений, обслуживающих базы данных с персональными данными, осуществляют непосредственное обезличивание выбранным способом. 15.8. Порядок работы с обезличенными персональными данными: 15.8.1. Обезличенные персональные данные не подлежат разглашению. 15.8.2. Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации. 15.8.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение: - парольной политики; - антивирусной политики; - правил работы со съемными носителями (если они используется); - правил резервного копирования; - правил доступа в помещения, где расположены элементы информационных систем; 15.8.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение: - правил хранения бумажных носителей; - правил доступа к ним и в помещения, где они хранятся. 16. Порядок хранения медицинской документации. Под Медицинской документацией в настоящем положении понимается медицинская карта пациента, получающего медицинскую помощь в амбулаторных условиях, медицинская карта стационарного больного, другие документы на бумажном носителе, находящиеся на постоянном хранении в медицинской организации. Основанием для организации порядка хранения медицинской документации в медицинской организации являются Федеральные законы от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», от 27.07.2006 № 152-ФЗ «О персональных данных», приказ Министерства здравоохранения Российской Федерации от 15.12.2014 № 834н «Об утверждении унифицированных форм медицинской документации, используемых в медицинских организациях, оказывающих медицинскую помощь в амбулаторных условиях, и порядков по их заполнению», письмо Минздравсоцразвития Российской Федерации от 04.04.2005 № 734/МЗ-14 «О порядке хранения амбулаторной карты». 16.1. На Медицинскую документацию в полной мере распространяются положения настоящего документа об особенностях обработки персональных данных без использования средств автоматизации . 16.2. Пациент, либо его законный представитель, в соответствии с положениями ч. 4 ст. 22 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», имеют право знакомиться с содержанием Медицинской документации в части информации, отражающей состояние здоровья пациента, получать выписки и копии. 16.3. Медицинская документация, выписки и копии из нее, предоставляется лечащим врачом лично пациенту или его законному представителю при наличии документов, подтверждающих его законное представительство. 16.4. Информация, содержащаяся в Медицинской документации или выписки из нее могут предоставляться третьим лицам с письменного согласия пациента. Без согласия пациента информация, содержащая в Медицинской документации, может предоставляться третьим лицам только по основаниям, изложенным в п.4 ст.13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в российской Федерации». Такая информация может предоставляться на основании мотивированного, надлежащим образом оформленного официального запроса соответствующего органа органам дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, органам прокуратуры в связи с осуществлением ими прокурорского надзора, органам уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно и пр.
ТИПОВАЯ ФОРМА журнала учета установленных средств защиты информации
ТИПОВАЯ ФОРМА журнала учета машинных носителей информации
ТИПОВАЯ ФОРМА журнала учета хранилищ
ТИПОВАЯ ФОРМА журнала периодического тестирования средств защиты информации
ТИПОВАЯ ФОРМА журнала учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн
ТИПОВАЯ ФОРМА журнала учета пользователей, допущенных к информационным системам персональных данных
ТИПОВАЯ ФОРМА Журнала проверок электронных журналов
ТИПОВАЯ ФОРМА Журнала учета обращений субъектов ПДн о выполнении их законных прав
НАИМЕНОВАНИЕ медицинской организации от_________________ №_________ |
Похожие:
 |
Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных... |
|
Инструкция лица, ответственного за обеспечение безопасности персональных данных общие положения Настоящая Инструкция определяет обязанности должностного лица, ответственным за обеспечение безопасности обработки персональных данных... |
 |
Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |
|
Приказ о назначении ответственного за организацию обработки персональных данных проект приказа Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных... |
|
Приказ о назначении ответственного за организацию обработки персональных данных проект приказа Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных... |
|
Инструкция по работе ответственного за обеспечение безопасности персональных... Настоящая инструкция определяет задачи, функции, обязанности, права и ответственность лица, назначенного ответственным за обеспечение... |
|
Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных... |
|
Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе... В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации... |
|
Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных... |
|
Инструкция пользователей и технология обработки персональных данных... Настоящая Инструкция определяет требования, права, обязанности, а так же порядок реализации задач и функций пользователей информационных... |
|
Приказ о назначении ответственного за обеспечение безопасности персональных данных 10 3 Испдн класса K1 в соответствии с Порядком проведения классификации информационных систем персональных данных утвержденного приказом... |
|
Приказ о назначении ответственного за пожарную безопасность в организации... |
|
Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской... |
|
Положение по организации и проведению работ по обеспечению безопасности... Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных... |
|
Должностная инструкция лица, ответственного за организацию обработки... «Об утверждении перечня мер, направленных па обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных... |
|
Должностная инструкция ответственного за организацию обработки персональных... Федеральным законом от 27. 07. 2006 №152-фз «О персональных данных», нормативными правовыми актами Губернатора Рязанской области... |