МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ САХА (ЯКУТИЯ)
ПРИКАЗ
от 14 апреля 2010 г. № 01-8/4-369
О ПРОВЕДЕНИИ РАБОТ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В УЧРЕЖДЕНИЯХ ЗДРАВООХРАНЕНИЯ
В целях исполнения Федерального закона № 152-ФЗ от 27 июля 2006 года "О персональных данных" в учреждениях здравоохранения приказываю:
руководителям республиканских ЛПУ, начальникам Управления здравоохранения АО ГО "г. Якутск", Нерюнгринского и Мирнинского районов, главным врачам центральных районных больниц:
1) ввести в учреждениях здравоохранения режим обработки персональных данных.
2) В целях проведения классификации информационных систем учреждения создать в подведомственных учреждениях комиссию.
3) Провести внутреннюю проверку информационных систем персональных данных в срок до 01.05.2010.
4) Назначить лиц, ответственных за обработку персональных данных в информационных системах персональных данных.
5) Организовать доступ ответственных за обработку персональных данных в информационных системах персональных данных на основании прав, перечисленных в Положении
о разграничении прав доступа к обрабатываемым персональным данным (приложение 1).
6) Ввести в учреждении здравоохранения режим защиты персональных данных.
7) Утвердить План мероприятий по обеспечению защиты персональных данных.
8) Осуществлять режим защиты персональных данных в отношении данных, перечисленных в Перечне
персональных данных, подлежащих защите (приложение 2).
9) Разработать и внедрить:
а) Журнал учета обращений субъектов ПДн о выполнении их законных прав.
б) Электронный журнал обращений пользователей информационной системы к ПДн.
в) Инструкцию администратора информационных систем персональных данных.
г) Инструкцию пользователя информационных систем персональных данных.
д) Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.
10) Директору ГУ "ЯРМИАЦ" (Копылова Л.Н.) разместить на сайте www.yakmed.ru Методические рекомендации для организации защиты информации.
11) Контроль за исполнением настоящего приказа возложить на Позднякова С.Н.
Министр
В.Л.АЛЕКСАНДРОВ
Приложение 1
ПОЛОЖЕНИЕ
О РАЗГРАНИЧЕНИИ ПРАВ ДОСТУПА К ОБРАБАТЫВАЕМЫМ ПЕРСОНАЛЬНЫМ
ДАННЫМ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ
Общие положения
В данном документе представлен список лиц, ответственных за обработку персональных данных в информационных системах персональных данных, а также их уровень прав доступа к обрабатываемым персональным данным.
Разграничение прав осуществляется на основании Отчета по результатам проведения внутренней проверки, а также исходя из характера и режима обработки персональных данных в ИСПДн.
Список лиц, ответственных за обработку персональных данных в информационных системах персональных данных, а также их уровень прав доступа для каждой ИСПДн представлен в приложении NN___.
ИСПДн ______________________
- Данные о повышении квалификации;
- Данные о наградах, медалях, поощрениях, почетных званиях;
- Информация о приеме на работу, перемещении по должности, увольнении;
- Информация об отпусках;
- Информация о командировках;
- Информация о болезнях;
- Информация о негосударственном пенсионном обеспечении.
1.2. Технологическая информация
Технологическая информация, подлежащая защите, включает:
- управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
- технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
- информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;
- информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;
- информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
- служебные данные (метаданные), появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.
1.3. Программно-технические средства обработки
Программно-технические средства включают в себя:
- общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);
- резервные копии общесистемного программного обеспечения;
- инструментальные средства и утилиты систем управления ресурсами ИСПДн;
- аппаратные средства обработки ПДн (АРМ и сервера);
- сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).
1.4. Средства защиты ПДн
Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:
- средства управления и разграничения доступа пользователей;
- средства обеспечения регистрации и учета действий с информацией;
- средства, обеспечивающие целостность данных;
- средства антивирусной защиты;
- средства межсетевого экранирования;
- средства анализа защищенности;
- средства обнаружения вторжений;
- средства криптографической защиты ПДн при их передаче по каналам связи сетей общего и (или) международного обмена.
1.5. Каналы информационного обмена и телекоммуникации
Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передается обрабатываемая и технологическая информация.
1.6. Объекты и помещения, в которых размещены
компоненты ИСПДн
Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.