Политика в отношении обработки персональных данных

Содержание

1. Назначение

2. Определения

3. Перечень условных обозначений и сокращений.

4. Построение защиты персональных данных

5. Персонал.

6. Ответственный за организацию обработки ПДн

7. Администратор информационной безопасности ИСПДн.

8. Администратор ИСПДн.

9. Пользователь ИСПДн.

 

 

1.      Назначение

1.1.Настоящая Политика содержит сведения о реализуемых требованиях к защите персональных данных.

1.2.Настоящая Политика должна быть опубликована или иным образом должен быть обеспечен неограниченный доступ к ней.

1.3.При сборе персональных данных с использованием информационно-телекоммуникационных сетей настоящая Политика должна быть опубликована в соответствующей информационно-телекоммуникационной сети, а также должна быть обеспечена возможность доступа к настоящей Политике с использованием средств соответствующей информационно-телекоммуникационной сети.

2.      Определения

2.1.Автоматизированная обработка персональных данных– обработка персональных данных с помощью средств вычислительной техники.

2.2.Информационная система персональных данных– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.3.Информационные технологии– процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

2.4.Обработка персональных данных– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5.Оператор– государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.6.Персональные данные– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

3.      Перечень условных обозначений и сокращений

ИСПДн

¾      информационные системы персональных данных ГБУЗ СО «СОПАБ»

ПДн

¾      персональные данные

СЗПДн

¾      система защитыперсональных данных, обрабатываемых в информационных системах персональных данных ГБУЗ СО «СОПАБ»

СЗИ

¾      средство защиты информации

4.      Построение защиты персональных данных

4.1. Обработка персональных данных (далее ПДн), обрабатываемых в Государственном бюджетном учреждении здравоохранения Свердловской области «Свердловское областное патологоанатомическое бюро» (далее ГБУЗ СО «СОПАБ»), должна осуществляться в соответствии с требованиями Федерального закона от 27 июля 2006г. №152-ФЗ «О персональных данных».

4.2.Защита ПДн, обрабатываемых без использования средств автоматизации, должна строиться на основании требований Постановления Правительства РФ от 15 сентября 2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

4.3.Система защиты ПДн, обрабатываемых в информационных системах персональных данных ГБУЗ СО «СОПАБ» (далее СЗПДн), должна строиться на основании требований нормативных правовых актов, принятых в соответствии с Федеральным законом от 27 июля 2006г. №152-ФЗ «О персональных данных», а также:

¾  Актов определения уровня защищенности ПДн при их обработке в информационных системах персональных данных ГБУЗ СО «СОПАБ» (далее ИСПДн);

¾    Моделей угроз безопасности ПДн при их обработке в ИСПДн.

4.4.Определение уровня защищенности ПДн при их обработке в ИСПДн должно осуществляться в соответствии с порядком, установленным Постановлением Правительства РФ от 1 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

4.5.СЗПДн должна включать в себя следующие подсистемы:

¾      Подсистема идентификации и аутентификации субъектов доступа и объектов доступа;

¾      Подсистема управления доступом субъектов доступа к объектам доступа;

¾      Подсистема защиты машинных носителей ПДн;

¾      Подсистема регистрации событий безопасности;

¾      Подсистема антивирусной защиты;

¾      Подсистема контроля (анализа) защищенности ПДн;

¾      Подсистема защиты технических средств;

¾      Подсистема защиты ИСПДн, ее средств, систем связи и передачи данных;

¾      Подсистема управления конфигурацией ИСПДн и СЗПДн.

4.6.Состав требований, реализуемых каждой из подсистем СЗПДн, зависит от:

¾      Уровня защищенности ПДн при их обработке в ИСПДн;

¾      Структурно-функциональных характеристик и особенностей функционирования ИСПДн;

       ¾      Состава актуальных угроз безопасности ПДн при их обработке в ИСПДн.

5.      Персонал

5.1.Выделяются следующие группы лиц, участвующих в обработке и защите ПДн:

¾      ответственный за организацию обработки ПДн;

¾      администратор информационной безопасности ИСПДн;

¾      администратор ИСПДн;

¾      пользователи ИСПДн.

6.      Ответственный за организацию обработки ПДн

6.1. Ответственный за организацию обработки ПДн – сотрудник ГБУЗ СО «СОПАБ», ответственный за:

¾      подготовку локальных актов ГБУЗ СО «СОПАБ» по вопросам обработки и защиты ПДн;

¾      осуществление внутреннего контроля за соблюдением ГБУЗ СО «СОПАБ» и его сотрудниками законодательства Российской Федерации, локальных актов по вопросам обработки и защиты ПДн;

¾      проведение инструктажа сотрудников в целях доведения до данных сотрудников положений законодательства Российской Федерации, локальных актов по вопросам обработки и защиты ПДн;

¾      организацию приема и обработки запросов (обращений, заявлений) субъектов ПДн или их представителей.

6.2.Ответственный за организацию обработки ПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией ответственного за организацию обработки ПДн» или соответствующим договором со специализированной организацией.

7.      Администратор информационной безопасности ИСПДн

7.1.Администратор информационной безопасности ИСПДн – сотрудник ГБУЗ СО «СОПАБ», ответственный за установку, настройку и сопровождение СЗИ.

7.2.Администратором информационной безопасности ИСПДн назначается лицо, имеющее высшее профессиональное образование и (или) переподготовку (повышение квалификации) в области информационной безопасности, а также производственный стаж в области информационной безопасности не менее одного года.

7.3.Администратор информационной безопасности ИСПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией администратора информационной безопасности ИСПДн».

8.      Администратор ИСПДн

8.1.Администратор ИСПДн – сотрудник ГБУЗ СО «СОПАБ», ответственный за установку, настройку и сопровождение программных, программно-аппаратных, аппаратных средств ИСПДн.

8.2.Администратором ИСПДн назначается лицо, имеющее производственный стаж в области создания, обслуживания локальных вычислительных сетей не менее одного года.

8.3.Администратор ИСПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией администратора ИСПДн».

9.      Пользователь ИСПДн

9.1.Пользователь ИСПДн – сотрудник ГБУЗ СО «СОПАБ», осуществляющий обработку ПДн в ИСПДн.

9.2.Пользователь ИСПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией пользователя ИСПДн».


Приложение к приказу ГБУЗ СО «СОПАБ» от 05.11.2015г. № 82