Содержание документа

Перечень используемых сокращений 3

Постановка задачи 4

Перечень использованных нормативных и нормативно-методических документов 5

Описание организации, владельца информационной системы 9

Описание информационной системы персональных данных 10

Акт предварительной классификации информационной системы персональных данных 11

Перечень персональных данных, обрабатываемый организацией 13

Положение об обработке персональных данных субъектов 31

Регламент по работе с носителями персональных данных 35

Регламент реагирования на запросы субъектов 38

План внутренних проверок обработки ПДн 43

Регламент по порядку обезличивания ПДн в ИСПДн 44

Положение о защите персональных данных 47

Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных 49

Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных 49

Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных 50

Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных 50

Приказ о назначении и закреплении функциональных обязанностей ответственного за организацию обработки персональных данных 52

Политика обработки персональных данных 52

Описание доверенных пользователей информационной системы персональных данных с обоснованием 55

Оценка возможности сговора нарушителей 57

Оценка исходной защищенности информационной системы персональных данных 58

Модель нарушителя для информационной системы персональных данных 59

Модель нарушителя в соответствии с требованиями нормативных документов ФСБ России 69

Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных 70

Модель атак для ИСПДн 86

Перечень актуальных угроз, атак и меры противодействия 90

Классы используемых средств защиты информации 93

Частное техническое задание на выполнение работ по созданию системы защиты персональных данных 94

Пояснительная записка к техническому проекту на создание системы защиты персональных данных 102

Перечень используемых сокращений

ИС - информационная система

ИСПДн - информационная система персональных данных

КЗ - контролируемая зона

КС - канал связи

ЛВС - локальная вычислительная сеть

МЭ - межсетевой экран

ОС - операционная система

ПДн - персональные данные

ПО - программное обеспечение

ПЭМИН - побочные электромагнитные излучения и наводки

РФ - Российская Федерация

СЗИ - средства защиты информации

СЗПДн - система защиты персональных данных

СКЗИ - средства криптографической защиты информации

СКУД - система контроля и управления доступа

СПО - специальное программное обеспечение

СФ - среда функционирования средств ЭП

ТК - технический канал

ТС - техническое средство

ФСТЭК России - Федеральная служба по техническому и экспортному контролю

ЧОП - частное охранное предприятие

ЭП - электронная подпись

Постановка задачи

Поддержку 1С осуществляет по договору консалтинга программист 1С. В рамках приведения в соответствии с действующим законодательством РФ рассматривается обработка организацией – Министерство здравоохранения Красноярского края персональных данных в соответствии с учредительными документами в Специализированной учтенной системе, реализованная на выделенном сервере с тонким клиентом.

По результатам аудита выявлены следующие особенности обработки:

Организация арендует единый комплекс помещений на 4 этаже 8 этажного здания с двумя выходами (основным и пожарным). На выходах комплекса помещений установлены металлические двери, СКУД установлен. Охрана здания осуществляется собственником здания с привлечением ЧОП. Пост ЧОП расположен при входе в здание. В комплексе помещений развернута пожарная сигнализация и система оповещения.

Все сервера реализованы на серверах организации и установлены в серверном помещении, которое расположено в дата-центре. На серверах установлены ОС: Ubuntu 10.04, Windows Server 2003/2008

Рабочие места расположены в общем свободном пространстве (Open Space) арендуемого комплекса помещений, в который имеют доступ посетители и все сотрудники компании. Рабочие места принадлежат организации. На рабочих станциях используются ОС: Windows XP, Windows Vista, Windows 7, Ubuntu 11.

Сервера и рабочие станции подключены к локальной сети организации, образованной ИТ-инфраструктурой, которая подключена к сети интернет через оборудование провайдера. Сетевая инфраструктура построена на оборудовании D-Link. Связь между дата-центром и арендуемым комплексом помещений через интернет.

Техническое обслуживание ИТ-инфраструктуры осуществляет приходящий по гражданско-правовому договору системный администратор

Поддержку Специализированной учетной системы осуществляет по договору консалтинга внешняя организация.

Перечень использованных нормативных и нормативно-методических документов

1. Конституция Российской Федерации;

2. Гражданский кодекс Российской Федерации;

3. Трудовой кодекс Российской Федерации;

4. Налоговый кодекс Российской Федерации;

5. Федеральный закон от 30.03.1995 N 38-ФЗ (ред. от 02.07.2013) "О предупреждении распространения в Российской Федерации заболевания, вызываемого вирусом иммунодефицита человека (ВИЧ-инфекции)";

6. Федеральный закон N 81-ФЗ «О государственных пособиях гражданам, имеющим детей» от 1995-05-19;

7. Федеральный закон от 17.09.1998 N 157-ФЗ (ред. от 07.05.2013) "Об иммунопрофилактике инфекционных болезней";

8. Федеральный закон от 30.03.1999 N 52-ФЗ (ред. от 23.07.2013) "О санитарно-эпидемиологическом благополучии населения" (с изм. и доп., вступающими в силу с 01.09.2013);

9. Федеральный закон от 18.06.2001 N 77-ФЗ (ред. от 02.07.2013) "О предупреждении распространения туберкулеза в Российской Федерации";

10. Федеральный закон от 02.05.2006г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

11. Федеральный закон от 27.07.2006 N149-ФЗ (ред. от 02.07.2013) «Об информации, информационных технологиях и о защите информацииN149-ФЗ;

12. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями от 25 июля 2011 г.);

13. Федеральный закон N256-ФЗ от 29.12.2006 "О дополнительных мерах государственной поддержки семей, имеющих детей";

14. Федеральный закон от 12.04.2010 N 61-ФЗ (ред. от 25.12.2012) "Об обращении лекарственных средств";

15. Федеральный закон от 29.11.2010 N 326-ФЗ (ред. от 23.07.2013) "Об обязательном медицинском страховании в Российской Федерации";

16. Федеральный закон "Об основах охраны здоровья граждан в Российской Федерации" (с изм. и доп., вступающими в силу с 01.09.2013) N 323-ФЗ (ред. от 23.07.2013) от 21.11.2011;

17. Федеральный закон от 23.02.2013 N 15-ФЗ "Об охране здоровья граждан от воздействия окружающего табачного дыма и последствий потребления табака";

18. Указ Президента Российской Федерации от 1 июля 2010 г. № 821 «О комиссиях по соблюдению требований к служебному поведению федеральных государственных служащих и урегулированию конфликта интересов»;

19. Указ Президента Российской Федерации от 7 мая 2012 г. N597"О мероприятиях по реализации государственной социальной политики";

20. Указ Президента Российской Федерации от 7 мая 2012 г " N 598 "О совершенствовании государственной политики в сфере здравоохранения;

21. Постановление правительства Российской Федерации от 15 мая 2006 г. N 286 "Об утверждении Положения об оплате дополнительных расходов на медицинскую, социальную и профессиональную реабилитацию застрахованных лиц, получивших повреждение здоровья вследствие несчастных случаев на производстве и профессиональных заболеваний";

22. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

23. Постановление Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

24. Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

25. Приказ Минздравсоцразвития России №363/77 от 24 октября 1996 г. О совершенствовании контроля качества медицинской помощи населению Российской Федерации;

26. Приказ Минздравсоцразвития России №158 от 14 октября 2004 г. О порядке отбора санаторно-курортных учреждений, в которые предоставляются путевки на санаторно-курортное лечение льготным категориям Граждан в рамках Государственной социальной помощи;

27. Приказ Минздравсоцразвития России №352 от 19 мая 2005 г. О предоставлении путевок на санаторно-курортное лечение лицам, пострадавшим в результате несчастных случаев на производстве и профессиональных заболеваний»;

28. Приказ Минздравсоцразвития России №649 от 30 июня 2011 г. О рабочей подгруппе по подготовке предложений по вопросам создания единой государственной информационной системы в сфере здравоохранения Межведомственной рабочей группы по вопросам использования информационно-коммуникационных технологий;

29. Приказ Минздравсоцразвития России №565 от 12.08.2013“Об утверждении перечня видов высокотехнологичной медицинской помощи”;

30. Приказ Федерального фонда обязательного медицинского страхования от 22 февраля 2011г. № 40 «Об утверждении порядка формирования и формы заявки на получение средств на внедрение стандартов медицинской помощи, повышение доступности амбулаторной медицинской помощи, в том числе предоставляемой врачами специалистами»;

31. Постановление Главного государственного санитарного врача РФ от 18 мая 2010 г. N 58 "Об утверждении СанПиН 2.1.3.2630-10 "Санитарно-эпидемиологические требования к организациям, осуществляющим медицинскую деятельность";

32. Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных";

33. Закон Краснодарского края от 6.11.1997 N 107-КЗ (ред. от 28.12.2004) "О защите населения от туберкулеза и о противотуберкулезной помощи";

34. Закон Краснодарского края от 02.08.1999 N 201-КЗ (ред. от 06.04.2011) "О предупреждении распространения в Краснодарском крае заболевания, вызываемого вирусом иммунодефицита человека (ВИЧ-инфекции)" (принят ЗС КК 21.07.1999);

35. Закон Краснодарского края от 29.03.2005 г. N 849-КЗ (ред. от 30.04.2013) «Об обеспечении прав детей на отдых и оздоровление в Краснодарском крае» (принят ЗС КК 23.03.2005).

36. Закон Краснодарского края от 30.06.97 г. N90-КЗ (ред. от 30.06.2006) "Об охране здоровья населения Краснодарского края".

37. Закон Красноярского края от 18.12.2013 г. N 2847-КЗ (ред. от 02.10.2013) "О бюджете Территориального фонда обязательного медицинского страхования Краснодарского края на 2013 год и на плановый период 2014 и 2015 годов";

38. Закон Красноярского края от 15 февраля 2004 г. (ред. от 23.04.2013) N 807-КЗ "О порядке назначения и выплаты ежемесячного пособия на ребенка";

39. Постановление Правительства Красноярского края от 29.01.2013 N28-п (ред. от 15.10.2013) «Об утверждении перечня документов, необходимых для назначения ежемесячного пособия на ребенка, и порядка назначения и выплаты ежемесячного пособия на ребенка»;

40. Постановление Правительства Краснодарского края от 27.12.2012 N 1075-р "Об утверждении ведомственной целевой программы "Развитие системы здравоохранения Красноярского края на 2013-2015 годы";

41. Постановление Правительства Красноярского края от 25-01-2011 N40-п (ред. От 07.05.2013) “Об утверждении Порядков предоставления мер социальной поддержки семьям, имеющим детей, в Красноярском крае”

42. Постановление Правительства Красноярского края от 29.01.2013 г. N 26-п "Об осуществлении в 2013 году единовременных компенсационных выплат медицинским работникам с высшим профессиональным образованием, прибывшим (переехавшим) на работу в сельский населенный пункт";

43. Постановление Правительства Красноярского края от 24.12.2012 N696-п(ред. От 10.09.2013) ”Об утверждении Территориальной программы государственных гарантий бесплатного оказания гражданам Российской Федерации медицинской помощи в Красноярском крае на 2013 год и на плановый период 2014 и 2015 годов”

44. Положение о Министерстве здравоохранения Красноярского края;

45. Приказ министерства здравоохранения Красноярского края от 09.01.2014 №4-н «Об установлении платы на услуги (работы), предоставляемые гражданам и юридическим лицам краевым государственным бюджетным учреждением здравоохранения «Богучанская районная больница»;

46. Приказ министерства здравоохранения Красноярского края от 09.01.2014 №3-н «Об установлении платы на услуги (работы), предоставляемые гражданам и юридическим лицам краевым государственным бюджетным учреждением здравоохранения «Боготольская районная больница»

47. Приказ министерства здравоохранения Красноярского края от 09.01.2014 №2-н «Об установлении платы на услуги (работы), предоставляемые гражданам и юридическим лицам краевым государственным бюджетным учреждением здравоохранения «Кежемская районная больница»

48. Приказ министерства здравоохранения Красноярского края от 09.01.2014 №1-н «О внесении изменения в приказ министерства здравоохранения Красноярского края от 17.12.2013 № 70-н «Об установлении платы на услуги (работы), предоставляемые гражданам и юридическим лицам некоторыми краевыми государственными бюджетными учреждениями здравоохранения»

49. Приказ министерства здравоохранения Красноярского края от 19.12.2013 №86-н «Об установлении платы на услуги (работы), предоставляемые гражданам и юридическим лицам некоторыми краевыми государственными бюджетными учреждениями здравоохранения» (Назаровская районная больница; Назаровская станция скорой медицинской помощи)

50. Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20.

51. Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 14 февраля 2008 г. заместителем директора ФСТЭК России).

52. Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 15 февраля 2008 г. заместителем директора ФСТЭК России).

53. Приказ Федеральной службы безопасности Российской Федерации №796 от 27 декабря 2011 года «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».

54. Приказ ФСТЭК №17 от 11 февраля 2013 года «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

55. Приказ ФСТЭК №21 от 18 февраля 2013 года «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

56. Методические рекомендации по обеспечению криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 21 февраля 2008 года № 149/54-144.

57. СанПиН 2.4.4.1204-03. «Санитарно-эпидемиологические правила и нормативы. Санитарно-эпидемиологические требования к устройству, содержанию и организации режима работы загородных стационарных учреждений отдыха и оздоровления детей», утвержденные Главным государственным санитарным врачом Российской Федерации 16 марта 2003 года;

58. СанПиН 2.4.4.2605-10. «Санитарно-эпидемиологические правила и нормативы. Санитарно-эпидемиологические требования к устройству, содержанию и организации режима работы детских туристических лагерей палаточного типа в период летних каникул»;

59. ГОСТ 2.105-95. «Единая система конструкторской документации. Общие требования к текстовым документам»

60. ГОСТ 2.106-96. «Единая система конструкторской документации. Текстовые документы»