Контролирана зона (КЗ) е пространство (територия, сграда, част от сграда), в което е изключен неконтролираният престой на лица, които нямат постоянно или еднократно разрешение, и външни превозни средства, технически и други материални средства.
Границата на късото съединение може да бъде:
Периметърът на защитената територия на институцията (предприятието);
Ограждащи конструкции на защитена сграда или защитена част от сграда, ако се намира в незащитена зона.
По този начин KZ може да бъде ограничен до периметъра на защитената зона отчасти, защитената зона, обхващаща сгради и конструкции, в които се провеждат закрити събития, част от сградите, стая, офис, в който се провеждат закрити събития.
V отделни случаиза периода на обработка на поверителна информация чрез технически средства, късото съединение може временно да бъде настроено по-голямо от защитената зона на предприятието. В същото време трябва да се вземат организационни, режимни и технически мерки за изключване или значително възпрепятстване на възможността за прихващане в тази зона.
Постоянна контролирана зона е зона, чиито граници са установени за дълго време.
Временна контролирана зона е зона, създадена за провеждане на закрити събития с еднократен характер.
Разпределени помещения- помещения (офиси, сборни, конферентни зали и др.), специално предназначени за обработка на речева информация (дискусии, срещи и др.), съдържаща информация, представляваща държавна тайна.
Защитени помещения- помещения (офиси, сборни, конферентни зали и др.), специално предназначени за провеждане на поверителни събития, по време на които речева информация, съдържаща информация с поверителен характер.
4. Колко и какви класове за сигурност са установени за автоматизирани системи за управление на производството и технологични процесив критични съоръжения, потенциално опасни предмети, както и обекти, които представляват повишена опасност за живота и здравето на хората и за природната среда, от която зависят. Какъв документ урежда изискванията за предоставяне на SI в AIS данни.
Формирането на изисквания за източници на данни в автоматизирана система за управление се извършва, като се вземе предвид GOST R 51583 „Информационна сигурност. Редът за създаване на автоматизирани системи в защитено изпълнение. Общи положения"(по-нататък - GOST R 51583), GOST R 51624 "Информационна сигурност. Автоматизирани системи в сигурен дизайн. Общи изисквания» (наричани по-долу GOST R 51624) и стандарти на организация, включително: вземане на решение за необходимостта от SI в автоматизирана система за управление; класификация на автоматизираната система за управление според изискванията на ППП; идентифициране на заплахи за информационната сигурност, чието изпълнение може да доведе до нарушаване на нормалната работа на автоматизираната система за управление, и разработване на модел на заплахи за информационната сигурност на тяхна основа; определяне на изисквания към системата за защита на автоматизираната система за управление.
Класификацията на автоматизираната система за управление се извършва от клиента или оператора в зависимост от нивото на значимост (критичност) на информацията, обработката на която се извършва в автоматизираната система за управление. Установени са три класа на сигурност на автоматизираната система за управление, които определят нивата на сигурност на автоматизираната система за управление. Най-ниският клас е третият, най-високият е първият.
Процедурата за определяне на класа на сигурност на автоматизираната система за управление
1. Класът на сигурност на автоматизирана система за управление (първи клас (К1), втори клас (К2), трети клас (К3)) се определя в зависимост от нивото на значимост (критичност) на обработваната в нея информация (UZ).
2. Нивото на значимост (критичност) на информацията (IL) се определя от степента на възможна вреда от нарушаване на нейната цялост (незаконно унищожаване или модифициране), достъпност (незаконно блокиране) или поверителността (незаконен достъп, копиране, предоставяне или разпространение), в резултат на което е налице нарушение на редовния режим на работа на автоматизираната система за управление или незаконна намеса във функционирането на автоматизираната система за управление.
KM = [(целост, повреда) (наличност, повреда) (поверителност, повреда)],
когато степента на възможна повреда се определя от клиента или оператора по експертен или друг метод и може да бъде:
а) висока, ако в резултат на нарушение на едно от свойствата на информационната сигурност (целостта, наличността, поверителността), което е довело до нарушаване на нормалната работа на автоматизираната система за управление, извънредна ситуация от федерален или междурегионален характер или други значими Отрицателни последицив социални, политически, икономически, военни или други области на дейност;
б) среден, ако в резултат на нарушение на едно от свойствата на информационната сигурност (целост, достъпност, конфиденциалност), което е довело до нарушаване на нормалната работа на автоматизирана система за управление, възниква извънредна ситуация от регионален или междуобщински характер * или други умерени негативни последици в социални, политически, икономически, военни или други области на дейност;
в) ниска, ако в резултат на нарушение на едно от свойствата на информационната сигурност (целост, достъпност, конфиденциалност), което е довело до нарушаване на нормалната работа на автоматизираната система за управление, възниква извънредна ситуация на общински (местен) ) могат да възникнат естество или други незначителни негативни последици в социални, политически, икономически, военни или други области на дейност.
Ако информацията, обработвана в автоматизираната система за управление, не изисква едно от свойствата за информационна сигурност (по-специално конфиденциалност), нивото на значимост (критичност) ще бъде определено за другите две свойства на информационната сигурност (целостта, наличността). В такъв случай:
KM = [(целост, повреда) (наличност, повреда) (поверителност, неприложимо)].
Информацията, обработена в автоматизирана система за управление има високо нивозначимост (критичност) (KM 1), ако поне едно от свойствата на информационната сигурност (целостта, наличността, поверителността) има висока степен на увреждане.
Информацията, обработвана в автоматизирана система за управление, има средно ниво на значимост (критичност) (LE 2), ако поне едно от свойствата за сигурност на информацията (целостта, наличността, поверителността) има средна степен на повреда и няма нито едно свойство за което се определя високо ниво.степен на увреждане.
Информацията, обработвана в автоматизирана система за управление, има ниско ниво на значимост (критичност) (LE 3), ако се определят ниски нива на повреда за всички свойства на информационната сигурност (целостта, наличността, поверителността).
При обработка на два или повече вида информация в автоматизирана система за управление (информация за измерване, информация за състоянието на процеса) нивото на значимост (критичност) на информацията (S) се определя отделно за всеки вид информация.
Крайното ниво на значимост (критичност) се определя според най-високите стойности на степента на възможна повреда, определени за целостта, достъпността, поверителността на всеки вид информация. в съответствие с Постановление на правителството на Руската федерация от 21 май 2007 г. № 304 „За класификацията спешни случаиестествено и техногенна природа”(Сборник на законодателството на Руската федерация, 2007 г., № 22, чл. 2640; 2011 г., № 21, чл. 2971).
3. Класът на сигурност на автоматизираната система за управление се определя в съответствие с таблицата:
Ниво на значимост (критичност)
Клас на защита на информацията на автоматизираната система за управление
Класът на сигурност може да се задава отделно за всяко ниво на автоматизираната система за управление или други сегменти, ако има такива. Резултатите от класификацията на автоматизирана система за управление се документират в класификационен акт. Изискването за класа на сигурност е включено в техническото задание за създаване на автоматизирана система за управление и (или) техническото задание (частно задание) за създаване на система за защита за автоматизирана система за управление, разработено като предвид GOST 34.602 " Информационни технологии. Набор от стандарти за автоматизирани системи. Техническа задачаза създаване на автоматизирана система” (наричани по-долу GOST 34.602), GOST R 51583, GOST R 51624 и организационни стандарти.
Класът на сигурност на автоматизираната система за управление (сегмент) подлежи на ревизия само в случай на нейната модернизация, в резултат на което нивото на значимост (критичност) на информацията, обработвана в автоматизираната система за управление (сегмент), се е променила.
Изисквания за предоставяне на GI в данните автоматизирани системиуправлението се уреждат със заповед FSTEC на Русияот 14.03.2014 г. № 31 „За утвърждаване на Изисквания за осигуряване на защита на данните в автоматизирани системи за управление на производствени и технологични процеси в критично важни съоръжения, потенциално опасни съоръжения, както и съоръжения, представляващи повишена опасност за живота и здравето на хората и към природната среда."
1. Тази декларация за обработка лични данниустановява процедури, насочени към разкриване и предотвратяване на нарушения на закона Руска федерацияв областта на личните данни, както и определяне за всяка цел на обработване на лични данни съдържанието на обработваните лични данни, категориите субекти, чиито лични данни се обработват, сроковете за тяхното обработване и съхранение, реда за унищожаване при достигане на целите на обработка или при настъпване на други правни основания(наричан по-нататък - Регламента).
Обработката на лични данни в здравните заведения се извършва с помощта на инструменти за автоматизация или без използване на такива инструменти, включително събиране, записване, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане, използване, прехвърляне (разпространение, предоставяне, достъп) , обезличаване, блокиране, изтриване, унищожаване на лични данни на субекти, чиито лични данни се обработват в здравното заведение.
2. Здравни заведения в съответствие с федерален законот 27 юли 2006 г. № 152-FZ „За личните данни“ е операторът, който обработва лични данни, както и определя целите на обработка на лични данни, състава на личните данни, които ще се обработват, действията (операциите), извършени с лични данни данни (наричани по-долу оператор на лични данни).
3. Регламентът е разработен в съответствие с Федералния закон от 27 юли 2006 г. № 152-FZ „За личните данни“ (наричан по-долу Федерален закон), гл. 14 Кодекс на трудана Руската федерация от 13 декември 2001 г. № 197-FZ.
4. Субекти на лични данни са служители на здравни заведения, граждани на Руската федерация, информация за които се съдържа в информационни системиах LPU.
5. Целите на Правилника са:
а) осигуряване на защита на правата и свободите при обработката на лични данни на служители на здравни заведения, лични данни на граждани, съдържащи се в информационните системи на здравните заведения;
б) установяване на отговорността на служителите на здравните заведения за неспазване на нормативни правни актове, уреждащи обработката и защитата на лични данни.
6. Процедури, насочени към идентифициране и предотвратяване на нарушения на законодателството на Руската федерация в областта на личните данни:
а) осъществяване на вътрешен контрол за съответствието на обработката на лични данни с федералния закон и приетите в съответствие с него разпоредби; правни актове, изисквания за защита на личните данни;
б) оценка на вредата, която може да бъде причинена на субектите на лични данни в случай на нарушение на Федералния закон, съотношението на посочената вреда и мерките, предприети от здравните заведения, насочени към осигуряване на изпълнението на задълженията на личния оператор на данни, предвиден от федералния закон;
в) Запознаване на служителите на здравни заведения, пряко участващи в обработката на лични данни, с разпоредбите на законодателството на Руската федерация относно личните данни, с изискванията за защита на личните данни.
7. В случай на разкриване на неправомерно обработване на лични данни, извършено от оператора на лични данни, операторът на лични данни, в срок не по-дълъг от 3 работни дни от датата на откриване на неправомерно обработване на лични данни, е длъжен да спре незаконната обработка на лични данни или да осигури прекратяване на неправомерното обработване на лични данни.
Ако е невъзможно да се гарантира законосъобразността на обработването на лични данни, операторът на лични данни в срок не по-дълъг от 10 работни дни от датата на откриване на неправомерно обработване на лични данни е длъжен да унищожи тези лични данни или да гарантира тяхното унищожаване. Операторът на лични данни е длъжен да уведоми субекта на лични данни или негов представител за отстраняване на неправомерно обработване на лични данни или унищожаване на лични данни.
8. При постигане на целта за обработка на лични данни, операторът на лични данни е длъжен да спре обработването на лични данни и да унищожи личните данни в срок не по-дълъг от 30 работни дни от датата на постигане на целта за обработка на лични данни.
9. В случай, че субектът на лични данни оттегли съгласието си за обработка на личните му данни, операторът на лични данни е длъжен да спре обработването на лични данни и да унищожи личните данни в срок не по-дълъг от три работни дни от датата на получаване на каза оттегляне. Операторът на лични данни е длъжен да уведоми субекта на лични данни за унищожаването на лични данни в рамките на три работни дни.
10. Ако не е възможно унищожаването на лични данни в сроковете, посочени в параграфи 7-9 от Правилата, операторът на лични данни блокира такива лични данни, осигурява унищожаването на личните данни в рамките на 6 месеца, освен ако не е установен друг срок. действащото законодателствоРуска федерация.
11. Съхранението на лични данни трябва да се извършва във форма, която позволява да се определи предметът на личните данни, не по-дълъг от изискваното за целите на съхранение на лични данни, ако срокът на съхранение на лични данни не е установен от Федералния закон .
Обработените лични данни подлежат на унищожаване или обезличаване при постигане на целите за обработка на лични данни или в случай на загуба на необходимостта от постигане на тези цели, освен ако Федералният закон не предвижда друго.
12. Обработката на лични данни в информационните системи на здравните заведения (наричани по-долу информационни системи за лични данни) се извършва в съответствие с Постановление на правителството на Руската федерация от 01.11. 2012 г. № 1119 „За утвърждаване на изискванията за защита на личните данни при обработването им в информационните системи за лични данни“.
13. Осигуряването на сигурността на личните данни в информационните системи за лични данни се постига чрез:
а) определяне на заплахи за сигурността на личните данни по време на тяхното обработване в информационните системи за лични данни;
б) прилагане на организационни и технически мерки за осигуряване на сигурността на личните данни при обработването им в информационните системи за лични данни;
в) използването на средства за информационна сигурност, преминали процедурата за оценка на съответствието по установения ред;
г) оценка на ефективността на предприетите мерки за гарантиране на сигурността на личните данни преди въвеждането в експлоатация на информационните системи за лични данни;
д) счетоводство машинна средалични данни;
е) установяване на факти за неоторизиран достъп до лични данни и предприемане на мерки за спиране на неоторизиран достъп;
ж) възстановяване на лични данни, променени или унищожени поради неоторизиран достъп до тях;
з) установяване на правила за достъп (парола, вход и др.) до лични данни, обработвани в информационните системи за лични данни, както и осигуряване на регистрация и отчитане на всички действия, извършени с лични данни в информационните системи за лични данни.
14. Служителите на здравни заведения с достъп до информационни системи за лични данни са длъжни:
а) предприема мерки за предотвратяване на неоторизиран достъп до използвания софтуер и хардуер;
б) водят записи на електронни носители, съдържащи лични данни, и ги съхраняват в метални шкафове или сейфове;
в) да записва лични данни (отделни файлове, бази данни) на електронен носител само в случаите, регламентирани от реда за работа с лични данни;
г) спазва установената процедура и правила за достъп до информационни системи, предотвратява прехвърлянето на лични кодове и пароли към информационните системи за лични данни;
д) предприема всички необходими мерки за защита на кодовете и паролите за достъп до информационните системи за лични данни;
е) работят с информационни системи на лични данни в рамките на своите правомощия, като не допускат тяхното превишаване;
ж) да притежават умения за работа с антивирусни програми до степента, необходима за изпълнение функционални задълженияи изисквания за информационна сигурност.
15. Когато служители на здравни заведения работят в информационни системи за лични данни, е забранено:
а) записва стойностите на кодовете и паролите за достъп до информационните системи за лични данни;
б) прехвърляне на кодове и пароли за достъп до информационни системи за лични данни на други лица;
в) да използва в работата си кодовете и паролите на други потребители за достъп до информационни системи за лични данни;
г) избира кодове и пароли за достъп до информационни системи за лични данни на други потребители;
д) записва програми и данни на трети страни на електронни носители с лични данни;
е) копиране на информация с лични данни на неотчетени електронни носители;
ж) изнасят електронни носители с лични данни извън територията на лечебното заведение;
з) да напусна работно мястос включен персонален компютър без използване на хардуер или софтуер за блокиране на достъпа до персоналния компютър;
и) донася, самостоятелно инсталира и работи на персонален компютър всякакви софтуерни продукти, които не са приети за работа;
й) отваряне, разглобяване, ремонт на персонални компютри, извършване на промени в дизайна, свързване на нестандартни блокове и устройства;
б) прехвърляне на информация, съдържаща лични данни, предмет на защита, чрез открити комуникационни канали (факс, електронна пощаи други), както и да използва информация, съдържаща лични данни, подлежащи на защита, в открита кореспонденция и при договаряне по телефона.
16. Събиране, систематизиране, натрупване, съхраняване, актуализиране, модифициране, прехвърляне, унищожаване (наричано по-долу обработка) на документи на служители на здравни заведения,
17. Всички лични данни трябва да бъдат получени директно от служителите на здравното заведение.
18. Документи, съдържащи лични данни, се унищожават чрез раздробяване в машина за рязане на хартия.
19. При смяна на служителя, отговорен за записването на хартиени документи, съдържащи лични данни, се съставя акт за приемане и предаване на тези материали, който се утвърждава от ръководителя на съответното структурно звено на здравното заведение.
20. При работа с документи на хартиен носител, съдържащи лични данни, служителите на здравни заведения, упълномощени да обработват лични данни, са длъжни:
а) да се запознава само с онези документи, съдържащи лични данни, до които е получен достъп в съответствие с бизнес необходимостта;
б) да пазят поверителна информация, станала им известна, съдържаща лични данни, предмет на защита, да информират прекия ръководител за фактите на нарушаване на реда за работа с лични данни и опити за неоторизиран достъп до тях;
в) за извършени нарушения установен редработа, отчитане и съхранение на документи, съдържащи лични данни, както и фактите на разкриване на информация, съдържаща лични данни, подлежащи на защита, предоставят писмени обяснения на непосредствените ръководители.
21. Служителите, виновни за разкриване или загуба на информация, съдържаща лични данни, носят отговорност в съответствие със законодателството на Руската федерация.
22. Контролът за изпълнението от служителите на здравното заведение на изискванията на този правилник се възлага на ръководителите. структурни подразделенияИЛП и определено със заповед на ЗИД отговорно лице за организиране на обработката на лични данни.
ПОРЪЧКА
Относно определяне на границите на контролираната зона
За да се изключи неконтролирано присъствие на неупълномощени лица по време на обработката на лични данни и в съответствие с изискванията на Федералния закон от 27 юли 2006 г. № 152-FZ „За личните данни“, „Специални изисквания и препоръки за техническа защитаповерителна информация“, одобрен със заповед на Държавната техническа комисия на Русия от 30 август 2002 г. № 282, заповед на FSTEC на Русия от 18 февруари 2013 г. № 21 „За одобряване на състава и съдържанието на организационни и технически мерки за гарантиране на сигурността на личните данни по време на тяхната обработка в информационните системи за лични данни", препоръки на FSB на Русия " Насокиза осигуряване на сигурността на личните данни с помощта на криптографски инструменти по време на тяхната обработка в информационни системи за лични данни, използващи инструменти за автоматизация“ (одобрено от Федералната служба за сигурност на Руската федерация на 21 февруари 2008 г. № 149/54-144)
ЗАПОВЯДВАМ:
2. Одобрява реда за достъп на работниците в здравното заведение до помещенията, където се обработват лични данни.
3. Контролът по актуализацията и изпълнението на тази заповед е възложен на ___________________________________________________________________.
(позиция, пълно име на служителя)
Приложение към заповедта
Министерство на здравеопазването
Свердловска област
от 20.10.2015 г. N 1622-п Образец НАИМЕНОВАНИЕ НА МЕДИЦИНСКАТА ОРГАНИЗАЦИЯ _____________________________________________________________________________ от _____________ N _____________ ЗАПОВЕД Относно определяне на границите на контролираната зонаС цел да се изключи неконтролиран престой на неупълномощени лица по време на обработката на лични данни и в съответствие с изискванията федерален законот 27.07.2006 г. N 152-FZ "За личните данни", "Специални изисквания и препоръки за техническа защита на поверителна информация", одобрен със заповед на Държавната техническа комисия на Русия от 30.08.2002 г. за N 282, по поръчка FSTEC на Русия от 18 февруари 2013 г. № 21 „За одобрение на състава и съдържанието на организационните и технически мерки за гарантиране на сигурността на личните данни по време на тяхното обработване в информационните системи за лични данни“, препоръки на FSB на Русия. Насоки за осигуряване с помощта на криптографски инструменти сигурност на личните данни по време на обработката им в информация системи за лични данни, използващи инструменти за автоматизация"(одобрена от Федералната служба за сигурност на Руската федерация на 21 февруари 2008 г. N 149 / 54-144) Нареждам: 1. Границите на контролираната зона ___________________________________ (име на Московска област) са периметърът на ограждащите конструкции на главния лечебен корпус на _________________________________________________________________ 2. Одобрява поръчкадостъп на служители на ____________________________ (име на Министерството на отбраната) до помещенията, където се обработват лични данни. 3. Контролът по актуализирането и изпълнението на тази заповед да се възложи на ________________________________________________________________. (позиция, пълно име на служителя) Главен лекар ______________ (ПЪЛНО ИМЕ.)
Поръчка достъп на работници (име на МО) до помещенията, в които личните данни се обработват (одобрено по поръчка _____________________ от ______ N ____)(име на МО) 1. Тази Процедура за достъп на служители _________________ (име на МО) до помещенията, където се обработват лични данни (наричана по-долу Процедурата) се разработва в съответствие с федерален законот 27 юли 2006 г. N 152-FZ "За личните данни", УказПравителството на Руската федерация от 21 март 2012 г. № 211 „За одобряване на списъка от мерки, насочени към гарантиране изпълнението на задълженията, предвидени от Федералния закон „За личните данни“. 2. Личните данни са поверителна информация. Длъжностни лица, упълномощени да обработват лични данни са длъжни да не разкриват на трети страни и да не разпространяват лични данни без съгласието на субекта на личните данни, освен ако не е предвидено друго във федерален закон 3. Информационните системи, в които се обработват лични данни, се намират в защитени помещения, с изключение на възможността на неконтролирано влизане и престой в тези помещения от неупълномощени лица 4. При съхраняване на носители на лични данни трябва да се спазват условия за осигуряване безопасността на личните данни и изключването на неоторизиран достъп до тях. технически средства, позволяващи обработването на лични данни, както и съхранението на информационни носители, са разрешени само длъжностни лицаупълномощен да обработва лични данни по нареждане на ___________________ (име на Московска област). 6. Отговорни за организирането на достъп до помещенията, в които се извършва обработката на лични данни, са ръководителите на структурни подразделения ________________________________________________ (име на Московска област). 7. Присъствието на лица в помещенията (име на Московска област), предназначени за обработка на лични данни, които не са упълномощени да обработват лични данни, е възможно само ако са придружени от служител, упълномощен да обработва лични данни за определен срок към производствените нужди. осем. Вътрешен контролспазването на процедурата за достъп до помещенията, където се обработват лични данни, се извършва от лицето, отговорно за организиране на обработката на лични данни и отговарящо за сигурността на личните данни.
|
<< Приложение. |