Защита персональныx данныx

 

 

 

Политика в отношении обработки персональных данных

Положение об обработке персональных данных в ГАУЗ СО "Свердловское областное патологоанатомическое бюро"

 

 

 

 

 


Политика в отношении обработки персональных данных

 

Содержание

1. Назначение

2. Определения

3. Перечень условных обозначений и сокращений.

4. Построение защиты персональных данных

5. Персонал.

6. Ответственный за организацию обработки ПДн

7. Администратор информационной безопасности ИСПДн.

8. Администратор ИСПДн.

9. Пользователь ИСПДн.

 

 

1.      Назначение

1.1.Настоящая Политика содержит сведения о реализуемых требованиях к защите персональных данных.

1.2.Настоящая Политика должна быть опубликована или иным образом должен быть обеспечен неограниченный доступ к ней.

1.3.При сборе персональных данных с использованием информационно-телекоммуникационных сетей настоящая Политика должна быть опубликована в соответствующей информационно-телекоммуникационной сети, а также должна быть обеспечена возможность доступа к настоящей Политике с использованием средств соответствующей информационно-телекоммуникационной сети.

2.      Определения

2.1.Автоматизированная обработка персональных данных– обработка персональных данных с помощью средств вычислительной техники.

2.2.Информационная система персональных данных– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.3.Информационные технологии– процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

2.4.Обработка персональных данных– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5.Оператор– государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.6.Персональные данные– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

3.      Перечень условных обозначений и сокращений

ИСПДн

     информационные системы персональных данных ГАУЗ СО «СОПАБ»

ПДн

     персональные данные

СЗПДн

  система защиты персональных данных, обрабатываемых в информационных       системах персональных данных ГАУЗ СО «СОПАБ»

СЗИ

    средство защиты информации

4.      Построение защиты персональных данных

4.1. Обработка персональных данных (далее ПДн), обрабатываемых в Государственном автономном учреждении здравоохранения Свердловской области «Свердловское областное патологоанатомическое бюро» (далее ГАУЗ СО «СОПАБ»), должна осуществляться в соответствии с требованиями Федерального закона от 27 июля 2006г. №152-ФЗ «О персональных данных».

4.2.Защита ПДн, обрабатываемых без использования средств автоматизации, должна строиться на основании требований Постановления Правительства РФ от 15 сентября 2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

4.3.Система защиты ПДн, обрабатываемых в информационных системах персональных данных ГАУЗ СО «СОПАБ» (далее СЗПДн), должна строиться на основании требований нормативных правовых актов, принятых в соответствии с Федеральным законом от 27 июля 2006г. №152-ФЗ «О персональных данных», а также:

-  Актов определения уровня защищенности ПДн при их обработке в информационных системах персональных данных ГАУЗ СО «СОПАБ» (далее ИСПДн);

-  Моделей угроз безопасности ПДн при их обработке в ИСПДн.

4.4.Определение уровня защищенности ПДн при их обработке в ИСПДн должно осуществляться в соответствии с порядком, установленным Постановлением Правительства РФ от 1 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

4.5.СЗПДн должна включать в себя следующие подсистемы:

-      Подсистема идентификации и аутентификации субъектов доступа и объектов доступа;

-      Подсистема управления доступом субъектов доступа к объектам доступа;

-      Подсистема защиты машинных носителей ПДн;

-      Подсистема регистрации событий безопасности;

-      Подсистема антивирусной защиты;

-      Подсистема контроля (анализа) защищенности ПДн;

-      Подсистема защиты технических средств;

-      Подсистема защиты ИСПДн, ее средств, систем связи и передачи данных;

-      Подсистема управления конфигурацией ИСПДн и СЗПДн.

4.6.Состав требований, реализуемых каждой из подсистем СЗПДн, зависит от:

¾      Уровня защищенности ПДн при их обработке в ИСПДн;

¾      Структурно-функциональных характеристик и особенностей функционирования ИСПДн;

       ¾      Состава актуальных угроз безопасности ПДн при их обработке в ИСПДн.

5.      Персонал

5.1.Выделяются следующие группы лиц, участвующих в обработке и защите ПДн:

-      ответственный за организацию обработки ПДн;

-      администратор информационной безопасности ИСПДн;

-      администратор ИСПДн;

-      пользователи ИСПДн.

6.      Ответственный за организацию обработки ПДн

6.1. Ответственный за организацию обработки ПДн – сотрудник ГАУЗ СО «СОПАБ», ответственный за:

-   подготовку локальных актов ГАУЗ СО «СОПАБ» по вопросам обработки и защиты ПДн;

- осуществление внутреннего контроля за соблюдением ГАУЗ СО «СОПАБ» и его сотрудниками законодательства Российской Федерации, локальных актов по вопросам обработки и защиты ПДн;

-   проведение инструктажа сотрудников в целях доведения до данных сотрудников положений законодательства Российской Федерации, локальных актов по вопросам обработки и защиты ПДн;

-   организацию приема и обработки запросов (обращений, заявлений) субъектов ПДн или их представителей.

6.2.Ответственный за организацию обработки ПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией ответственного за организацию обработки ПДн» или соответствующим договором со специализированной организацией.

7.      Администратор информационной безопасности ИСПДн

7.1.Администратор информационной безопасности ИСПДн – сотрудник ГАУЗ СО «СОПАБ», ответственный за установку, настройку и сопровождение СЗИ.

7.2.Администратором информационной безопасности ИСПДн назначается лицо, имеющее высшее профессиональное образование и (или) переподготовку (повышение квалификации) в области информационной безопасности, а также производственный стаж в области информационной безопасности не менее одного года.

7.3.Администратор информационной безопасности ИСПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией администратора информационной безопасности ИСПДн».

8.      Администратор ИСПДн

8.1.Администратор ИСПДн – сотрудник ГАУЗ СО «СОПАБ», ответственный за установку, настройку и сопровождение программных, программно-аппаратных, аппаратных средств ИСПДн.

8.2.Администратором ИСПДн назначается лицо, имеющее производственный стаж в области создания, обслуживания локальных вычислительных сетей не менее одного года.

8.3.Администратор ИСПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией администратора ИСПДн».

9.      Пользователь ИСПДн

9.1.Пользователь ИСПДн – сотрудник ГАУЗ СО «СОПАБ», осуществляющий обработку ПДн в ИСПДн.

9.2.Пользователь ИСПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией пользователя ИСПДн».


Приложение к приказу ГАУЗ СО «СОПАБ» от 05.11.2015г. № 82

 

Положение об обработке персональных данных в ГАУЗ СО «Свердловское областное патологоанатомическое бюро» (далее – ГАУЗ СО «СОПАБ»)

 

1. Настоящее Положение об обработке персональных данных устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а так же определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований(далее– Положение).

Обработка персональных данных в ГАУЗ СО «СОПАБ» выполняется с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение(обновление, изменение), извлечение, использование, передачу(распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в ГАУЗ СО «СОПАБ».

 

2. ГАУЗ СО «СОПАБ» в соответствии с Федеральным законом от 27.07.2006  №152-ФЗ «О персональных данных» является оператором, осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, составперсональныхданных, подлежащихобработке, действия(операции), совершаемыесперсональнымиданными(далее– операторперсональныхданных).

 

3. Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон), гл. 14 Трудового кодекса Российской Федерации от 13.12.2001  № 197-ФЗ.

 

4. Субъектами персональных данных являются сотрудники ГАУЗ СО «СОПАБ» граждане Российской Федерации, информация о которых содержится в информационных системах ГАУЗ СО «СОПАБ».
 
5. Целями Положения являются:
а) обеспечение защиты прав и свобод при обработке персональных данных сотрудников ГАУЗ СО «СОПАБ», персональных данных граждан, содержащихся в информационных системах;
б) установление ответственности сотрудников ГАУЗ СО «СОПАБ» за невыполнение нормативных правовых актов, регулирующих обработку и защиту персональных данных.
 
6. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
а) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных;
б) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых ГАУЗ СО «СОПАБ» мер, направленных на обеспечение выполнения обязанностей оператора персональных данных, предусмотренных Федеральным законом;
в) ознакомление сотрудников ГАУЗ СО «СОПАБ», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, с требованиями по защите персональных данных.
 
7. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором персональных данных, оператор персональных данных в срок, не превышающий 3 рабочих дня с даты выявления неправомерной обработки персональных данных, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных.
В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор персональных данных в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении неправомерной обработки персональных данных или об уничтожении персональных данных оператор персональных данных обязан уведомить субъекта персональных данных или его представителя.
 
8. В случае достижения цели обработки персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты  достижения цели обработки персональных данных.
 
9. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий три рабочих дня с даты получения указанного отзыва. Об уничтожении персональных данных оператор персональных данных в течении трех рабочих дней обязан уведомить субъекта персональных данных.
 
10. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пунктах 7 – 9 Правил, оператор персональных данных осуществляет блокирование таких персональных данных, обеспечивает уничтожение персональных данных в срок до 6 месяцев, если иной срок не установлен действующим законодательством Российской Федерации.
 
11. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели хранения персональных данных, если срок хранения персональных данных не установлен Федеральным законом.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
 
12. Обработка персональных данных в информационных системах ГАУЗ СО «СОПАБ» (далее – информационные системы персональных данных) осуществляется в соответствии с постановлением Правительства Российской Федерации от 01.11. 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
 
13. Обеспечение безопасности персональных данных в информационных системах персональных данных достигается путем:
а) определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
б) применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
в) применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
г) оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
д) учета машинных носителей персональных данных;
е) обнаружения фактов несанкционированного доступа к персональным данным и принятием мер по прекращению несанкционированного доступа;
ж) восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
з) установления правил доступа (пароль, логин и др.) к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.
 
14. Сотрудники ГАУЗ СО «СОПАБ», имеющие доступ к информационным системам персональных данных, обязаны:
а) принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;
б) вести учет электронных носителей информации, содержащих персональные данные, и осуществлять их хранение в металлических шкафах или сейфах;
в) производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с персональными данными;
г) соблюдать установленный порядок и правила доступа в информационные системы, не допускать передачу персональных кодов и паролей к информационным системам персональных данных;
д) принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационным системам персональных данных;
е) работать с информационными системами персональных данных в объеме своих полномочий, не допускать их превышения;
ж) обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.
 
15. При работе сотрудников ГАУЗ СО «СОПАБ» в информационных системах персональных данных запрещается:
а) записывать значения кодов и паролей доступа к информационным системам персональных данных;
б) передавать коды и пароли доступа к информационным системам персональных данных другим лицам;
в) пользоваться в работе кодами и паролями других пользователей доступа к информационным системам персональных данных;
г) производить подбор кодов и паролей доступа к информационным системам персональных данных других пользователей;
д) записывать на электронные носители с персональными данными посторонние программы и данные;
е) копировать информацию с персональными данными на неучтенные электронные носители информации;
ж) выносить электронные носители с персональными данными за пределы территории ГАУЗ СО «СОПАБ»;
з) покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств блокирования, доступа к персональному компьютеру;
и) приносить, самостоятельно устанавливать и эксплуатировать на персональном компьютере любые программные продукты, не принятые к эксплуатации;
к) открывать, разбирать, ремонтировать персональные компьютеры, вносить изменения в конструкцию, подключать нештатные блоки и устройства;
б) передавать информацию, содержащую персональные данные, подлежащие защите, по открытым каналам связи (факсимильная связь, электронная почта и иное), а также использовать сведения, содержащие персональные данные, подлежащие защите, в открытой переписке и при ведении переговоров по телефону.
 
16. Сбор, систематизацию, накопление, хранение, обновление, изменение, передачу, уничтожение (далее – обработка) документов работников ГАУЗ СО «СОПАБ», содержащих персональные данные на бумажном носителе, осуществляют сотрудники ГАУЗ СО «СОПАБ» в соответствии с гл.14 Трудового Кодекса Российской Федерации.
 
17. Все персональные данные должны быть получены непосредственно от сотрудников ГАУЗ СО «СОПАБ».
 
18. Документы, содержащие персональные данные, уничтожаются путем измельчения в бумагорезательной машине.
 
19. При смене сотрудника, ответственного за учет документов на бумажном носителе, содержащих персональные данные, составляется акт приема-сдачи этих материалов, который утверждается руководителем соответствующего структурного подразделения ГАУЗ СО «СОПАБ».
 
20. При работе с документами на бумажном носителе, содержащими персональные данные, уполномоченные на обработку персональных данных сотрудники ГАУЗ СО «СОПАБ» обязаны:
а) ознакомиться только с теми документами, содержащими персональные данные, к которым получен доступ в соответствии со служебной необходимостью;
б) хранить в тайне ставшие известными им сведения, содержащие персональные данные, подлежащие защите, информировать непосредственного руководителя о фактах нарушения порядка работы с персональными данными и о попытках несанкционированного доступа к ним;
в) о допущенных нарушениях установленного порядка работы, учета и хранения документов, содержащих персональные данные, а также о фактах разглашения сведений, содержащих персональные данные, подлежащих защите, представлять непосредственным руководителям письменные объяснения.
 
21. Сотрудники, виновные в разглашении или утрате информации, содержащей персональные данные, несут ответственность в соответствии с законодательством Российской Федерации.
 
22. Контроль за исполнением сотрудниками ГАУЗ СО «СОПАБ» требований настоящих Правил возлагается на руководителей структурных подразделений ГАУЗ СО «СОПАБ» и назначенного приказом ГАУЗ СО «СОПАБ» ответственного лица за организацию обработки персональных данных.