- •Перечень используемых сокращений
- •Постановка задачи
- •Перечень использованных нормативных и нормативно-методических документов
- •Описание организации, владельца информационной системы
- •Описание информационной системы персональных данных
- •1. Наименование организации
- •2. Наименование испДн
- •3. Физическое расположение испДн
- •4. Логическая структура испДн
- •Акт предварительной классификации информационной системы персональных данных
- •Акт предварительной классификации информационной системы персональных данных «Хранилище»
- •Перечень персональных данных, обрабатываемый организацией
- •Положение об обработке персональных данных субъектов
- •1. Общие требования при обработке персональных данных
- •2. Получение персональных данных
- •3. Хранение персональных данных
- •4. Передача персональных данных
- •5. Уничтожение персональных данных
- •Регламент по работе с носителями персональных данных
- •Регламент по работе с носителями персональных данных
- •Регламент реагирования на запросы субъектов
- •Регламент реагирования на запросы субъектов
- •План внутренних проверок обработки пДн
- •План внутренних проверок обработки пДн
- •Регламент по порядку обезличивания пДн в испДн
- •Регламент по порядку обезличивания пДн в испДн
- •Положение о защите персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных
- •Приказ о назначении и закреплении функциональных обязанностей ответственного за организацию обработки персональных данных
- •Политика обработки персональных данных
- •Политика обработки персональных данных
- •Описание доверенных пользователей информационной системы персональных данных с обоснованием
- •Оценка возможности сговора нарушителей
- •Оценка исходной защищенности информационной системы персональных данных
- •Модель нарушителя для информационной системы персональных данных
- •Модель нарушителя в соответствии с требованиями нормативных документов фсб России
- •Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных
- •Модель атак для испДн
- •Перечень актуальных угроз, атак и меры противодействия
- •Классы используемых средств защиты информации
- •Частное техническое задание на выполнение работ по созданию системы защиты персональных данных
- •Пояснительная записка к техническому проекту на создание системы защиты персональных данных
- •4.5 Система контроля защищенности «Сканер вс»
- •4.6 Система Secret Disk
Положение о защите персональных данных
Министерство здравоохранения Красноярского края |
|
"УТВЕРЖДАЮ" |
|
|
|
|
|
Министр здравоохранения Красноярского края |
|
|
|
В.Н. Янин |
|
(должность) |
|
(личная подпись) |
|
(расшифровка подписи) |
|
|
|
__.__.2013 |
|
|
ПОЛОЖЕНИЕ
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Министерство здравоохранения Красноярского края
Общие требования при защите персональных данных
Министерство здравоохранения Красноярского края (далее Министерство) обязано при обработке ПДн принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Обеспечение безопасности ПДн достигается, в частности:
определением угроз безопасности ПДн при их обработке в ИСПДн;
применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
учетом машинных носителей ПДн;
обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
Защита персональных данных при их получении
Защита персональных данных при их получении должна осуществляться в Министерстве следующими методами и способами:
использование защищенных каналов связи, используемых для получения ПДн;
периодический анализ защищенности распределенных ИСПДн, предполагающий применение специализированных программных средств (сканеров безопасности);
предотвращение внедрения в ИСПДн вредоносных программ (программ-вирусов) и программных закладок;
регистрация событий и мониторинг процессов получения информации;
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры ИСПДн;
обнаружение вторжений в ИСПДн, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
использование средств антивирусной защиты;
централизованное управление системой защиты ПДн.
Защита персональных данных при их хранении
Защита персональных данных при их хранении должна осуществляться в Министерстве следующими методами и способами:
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам (включая ПДн), ИСПДн и связанным с ее использованием работам, документам;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам (включая ПДн), программным средствам обработки (передачи) и защиты ПДн;
регистрация действий пользователей и обслуживающего персонала ИСПДн, мониторинг попыток несанкционированного доступа;
учет и хранение съемных носителей информации с ПДн и их обращение, исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и носителей ПДн;
размещение технических средств, позволяющих осуществлять обработку ПДн, в пределах контролируемой территории;
периодический анализ защищенности распределенных ИСПДн, предполагающий применение специализированных программных средств (сканеров безопасности);
предотвращение внедрения в ИСПДн вредоносных программ (программ-вирусов) и программных закладок;
Защита персональных данных при их передаче
Защита персональных данных при их хранении должна осуществляться в Министерстве следующими методами и способами:
использование защищенных каналов связи, используемых для передачи ПДн;
периодический анализ защищенности распределенных ИСПДн, предполагающий применение специализированных программных средств (сканеров безопасности);
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры ИСПДн;
защита ПДн при их передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой защиты ПДн.
В Министерстве также могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности ПДн.
Конкретные методы и средства защиты ПДн в ИСПДн должны определяться на основании нормативно-методических документов ФСТЭК России и ФСБ России, исходя из класса ИСПДн и актуальных угроз безопасности ПДн.
Все технические средства защиты информации должны быть снабжены инструкциями по эксплуатации (рекомендациями по использованию).
Должен вестись учет технических средств защиты информации.
Ответственность за ведение учета технических средств защиты информации возлагается на ответственного за обеспечение безопасности ПДн.