Una zona controlada (KZ) es un espacio (territorio, edificio, parte de un edificio) en el que se excluye la estancia incontrolada de personas que no tienen un permiso permanente o único, y vehículos extraños, medios técnicos y otros medios materiales.
El límite del cortocircuito puede ser:
El perímetro del territorio protegido de la institución (empresa);
Estructuras de cerramiento de un edificio protegido o una parte protegida de un edificio, si está ubicado en un área no protegida.
Por lo tanto, la KZ puede limitarse al perímetro del área protegida en parte, el área protegida, que abarca edificios y estructuras en los que se realizan eventos cerrados, parte de los edificios, una sala, una oficina en la que se realizan eventos cerrados.
V casos individuales durante el período de procesamiento de información confidencial por medios técnicos, el cortocircuito puede configurarse temporalmente más grande que el área protegida de la empresa. Al mismo tiempo, se deben tomar medidas organizativas, de régimen y técnicas para excluir o impedir significativamente la posibilidad de interceptar en esta zona.
Una zona controlada permanente es una zona cuyos límites se establecen desde hace mucho tiempo.
Zona controlada temporal es una zona establecida para la celebración de eventos cerrados de carácter único.
locales asignados- locales (oficinas, asambleas, salas de conferencias, etc.) especialmente diseñados para procesar información verbal (discusiones, reuniones, etc.) que contenga información que constituya un secreto de estado.
locales protegidos- locales (oficinas, salas de reuniones, salas de conferencias, etc.) especialmente diseñados para la celebración de eventos confidenciales, durante los cuales información del habla, que contiene información de carácter confidencial.
4. ¿Cuántas y qué clases de seguridad se establecen para los sistemas de control automatizado de producción y procesos tecnológicos en instalaciones críticas, potencialmente objetos peligrosos, así como los objetos que supongan un peligro mayor para la vida y la salud de las personas y para el medio natural, del que dependen. Qué documento regula los requisitos para proporcionar SI en datos AIS.
La formación de requisitos para fuentes de datos en un sistema de control automatizado se lleva a cabo teniendo en cuenta GOST R 51583 “Seguridad de la información. La orden de creación de sistemas automatizados en ejecución protegida. Provisiones generales"(en adelante - GOST R 51583), GOST R 51624 "Seguridad de la información. Sistemas automatizados en un diseño seguro. Requerimientos generales» (en lo sucesivo, GOST R 51624) y estándares de organización, que incluyen: tomar una decisión sobre la necesidad de almacenar datos en un sistema de control automatizado; clasificación del sistema de control automatizado de acuerdo con los requisitos de la RFP; identificación de amenazas a la seguridad de la información, cuya implementación puede conducir a una violación del funcionamiento normal del sistema de control automatizado, y el desarrollo de un modelo de amenazas a la seguridad de la información sobre su base; determinación de requisitos para el sistema de protección del sistema de control automatizado.
La clasificación del sistema de control automatizado la realiza el cliente o el operador, en función del nivel de significancia (criticidad) de la información, cuyo tratamiento se realiza en el sistema de control automatizado. Se establecen tres clases de seguridad del sistema de control automatizado, que determinan los niveles de seguridad del sistema de control automatizado. La clase más baja es la tercera, la más alta es la primera.
El procedimiento para determinar la clase de seguridad del sistema de control automatizado.
1. La clase de seguridad de un sistema de control automatizado (primera clase (K1), segunda clase (K2), tercera clase (K3)) se determina en función del nivel de significancia (criticidad) de la información procesada en él (UZ).
2. El nivel de importancia (criticidad) de la información (IL) está determinado por el grado de daño posible por una violación de su integridad (destrucción o modificación ilegal), accesibilidad (bloqueo ilegal) o confidencialidad (acceso ilegal, copia, provisión o distribución), como resultado de una violación del modo operativo normal del sistema de control automatizado o interferencia ilegal en el funcionamiento del sistema de control automatizado.
KM = [(integridad, daño) (disponibilidad, daño) (confidencialidad, daño)],
donde el grado de daño posible lo determina el cliente u operador mediante un experto u otro método y puede ser:
a) alta, si como consecuencia de la violación de una de las propiedades de la seguridad de la información (integridad, disponibilidad, confidencialidad), que derivó en una violación del normal funcionamiento del sistema de control automatizado, una emergencia de carácter federal o interregional u otros significativos Consecuencias negativas en los campos de actividad social, política, económica, militar o de otro tipo;
b) medio, si como consecuencia de la violación de una de las propiedades de la seguridad de la información (integridad, disponibilidad, confidencialidad), que dio lugar a una violación del normal funcionamiento de un sistema de control automatizado, una emergencia de carácter regional o intermunicipal * u otras consecuencias negativas moderadas en los campos de actividad social, política, económica, militar o de otro tipo;
c) baja, si como consecuencia de la violación de una de las propiedades de la seguridad de la información (integridad, disponibilidad, confidencialidad), que condujo a la violación del normal funcionamiento del sistema de control automatizado, se presenta una situación de emergencia de un municipio (local ) la naturaleza puede ocurrir u otras consecuencias negativas menores en los campos de actividad social, política, económica, militar o de otro tipo.
Si la información tratada en el sistema de control automatizado no requiere una de las propiedades de seguridad de la información (en particular, la confidencialidad), se determinará el nivel de significación (criticidad) de las otras dos propiedades de seguridad de la información (integridad, disponibilidad). En este caso:
KM = [(integridad, daño) (disponibilidad, daño) (confidencialidad, no aplicable)].
La información procesada en un sistema de control automatizado tiene nivel alto importancia (criticidad) (KM 1), si al menos una de las propiedades de seguridad de la información (integridad, disponibilidad, confidencialidad) tiene un alto grado de daño.
La información procesada en un sistema de control automatizado tiene un nivel medio de significancia (criticidad) (LE 2) si al menos una de las propiedades de seguridad de la información (integridad, disponibilidad, confidencialidad) tiene un grado medio de daño y no existe una sola propiedad para que se determina un nivel alto grado de daño.
La información procesada en un sistema de control automatizado tiene un bajo nivel de significancia (criticidad) (LE 3) si se determinan bajos niveles de daño para todas las propiedades de seguridad de la información (integridad, disponibilidad, confidencialidad).
Cuando se procesan dos o más tipos de información en un sistema de control automatizado (información de medición, información sobre el estado del proceso), el nivel de importancia (criticidad) de la información (S) se determina por separado para cada tipo de información.
El nivel final de significancia (criticidad) se establece de acuerdo a los valores más altos del grado de daño posible, determinados por la integridad, disponibilidad, confidencialidad de cada tipo de información. de acuerdo con el Decreto del Gobierno de la Federación Rusa del 21 de mayo de 2007 No. 304 “Sobre la clasificación emergencias naturales y naturaleza tecnogénica”(Legislación Recopilada de la Federación Rusa, 2007, No. 22, Art. 2640; 2011, No. 21, Art. 2971).
3. La clase de seguridad del sistema de control automatizado se determina de acuerdo con la tabla:
Nivel de significancia (criticidad)
información Clase de protección del sistema de control automatizado
La clase de seguridad se puede configurar por separado para cada nivel del sistema de control automatizado u otros segmentos, si los hay. Los resultados de la clasificación de un sistema de control automatizado se documentan en un acta de clasificación. El requisito de la clase de seguridad está incluido en los términos de referencia para la creación de un sistema de control automatizado y (o) los términos de referencia (términos de referencia privados) para la creación de un sistema de protección para un sistema de control automatizado, desarrollado tomando en cuenta GOST 34.602 " Tecnologías de la información. Conjunto de normas para sistemas automatizados. Tarea técnica para la creación de un sistema automatizado” (en lo sucesivo, GOST 34.602), GOST R 51583, GOST R 51624 y estándares de organización.
La clase de seguridad de un sistema de control automatizado (segmento) está sujeta a revisión solo en el caso de su modernización, como resultado de lo cual el nivel de importancia (criticidad) de la información procesada en el sistema de control automatizado (segmento) ha cambiado.
Requisitos para proporcionar IG en los datos sistemas automatizados la gestión está regulada por orden FSTEC de Rusia de fecha 14.03.2014 N° 31 “Sobre la aprobación de los Requisitos para garantizar la protección de datos en los sistemas de control automatizado de procesos productivos y tecnológicos en instalaciones de importancia crítica, instalaciones potencialmente peligrosas, así como instalaciones que supongan un mayor peligro para la vida y la salud humana y al entorno natural”.
1. Esta Declaración de Procesamiento información personal establece procedimientos destinados a detectar y prevenir violaciones a la ley Federación Rusa en el campo de los datos personales, así como determinar para cada propósito de procesamiento de datos personales el contenido de los datos personales procesados, las categorías de sujetos cuyos datos personales están siendo procesados, los términos de su procesamiento y almacenamiento, el procedimiento de destrucción al alcanzar los objetivos del procesamiento o ante la ocurrencia de otros motivos legales(en adelante, el Reglamento).
El procesamiento de datos personales en los establecimientos de salud se lleva a cabo utilizando herramientas de automatización o sin ellas, incluida la recopilación, el registro, la sistematización, la acumulación, el almacenamiento, la aclaración (actualización, modificación), la extracción, el uso, la transferencia (distribución, provisión, acceso) , despersonalización, bloqueo, borrado, destrucción de datos personales de sujetos cuyos datos personales son tratados en el centro de salud.
2. Establecimientos de salud de acuerdo con ley Federal de fecha 27 de julio de 2006 No. 152-FZ "Sobre datos personales" es el operador que procesa datos personales, así como determina los propósitos del procesamiento de datos personales, la composición de los datos personales que se procesarán, las acciones (operaciones) realizadas con personal datos (en adelante, el operador de datos personales).
3. El reglamento se desarrolló de conformidad con la Ley Federal del 27 de julio de 2006 No. 152-FZ "Sobre datos personales" (en adelante, la Ley Federal), Cap. 14 Código de Trabajo de la Federación Rusa del 13 de diciembre de 2001 No. 197-FZ.
4. Los sujetos de los datos personales son empleados de centros de salud, ciudadanos de la Federación Rusa, cuya información se encuentra en sistemas de información ah LPU.
5. Los objetivos del Reglamento son:
a) garantizar la protección de los derechos y libertades en el tratamiento de los datos personales de los empleados de los establecimientos de salud, los datos personales de los ciudadanos contenidos en los sistemas de información de los establecimientos de salud;
b) establecer la responsabilidad de los empleados de los establecimientos de salud por el incumplimiento de los actos jurídicos reglamentarios que rigen el tratamiento y la protección de datos personales.
6. Procedimientos destinados a identificar y prevenir violaciones de la legislación de la Federación Rusa en el campo de los datos personales:
a) implementación de control interno sobre el cumplimiento del tratamiento de datos personales con la Ley Federal y los reglamentos adoptados de conformidad con ella; actos legales, requisitos para la protección de datos personales;
b) una evaluación del daño que puede ser causado a los titulares de datos personales en caso de violación de la Ley Federal, la proporción de dicho daño y las medidas tomadas por los establecimientos de salud para garantizar el cumplimiento de las obligaciones de los personales operador de datos previsto por la Ley Federal;
c) familiarización de los empleados de los establecimientos de salud directamente involucrados en el procesamiento de datos personales con las disposiciones de la legislación de la Federación Rusa sobre datos personales, con los requisitos para la protección de datos personales.
7. En caso de revelar el tratamiento ilegal de datos personales realizado por el operador de datos personales, el operador de datos personales, en un plazo no mayor de 3 días hábiles a partir de la fecha de detección del tratamiento ilegal de datos personales, está obligado a dejar de el procesamiento ilegal de datos personales o asegurar la terminación del procesamiento ilegal de datos personales.
Si es imposible garantizar la legalidad del procesamiento de datos personales, el operador de datos personales, en un plazo no mayor a 10 días hábiles a partir de la fecha de detección del procesamiento ilegal de datos personales, está obligado a destruir dichos datos personales o garantizar su destrucción. El operador de datos personales está obligado a notificar al sujeto de datos personales o a su representante sobre la eliminación del procesamiento ilegal de datos personales o la destrucción de datos personales.
8. Si se logra el objetivo del procesamiento de datos personales, el operador de datos personales está obligado a dejar de procesar los datos personales y destruir los datos personales en un plazo que no exceda los 30 días hábiles a partir de la fecha de lograr el objetivo del procesamiento de datos personales.
9. En caso de que el titular de los datos personales retire el consentimiento para el tratamiento de sus datos personales, el operador de datos personales está obligado a dejar de tratar los datos personales y destruir los datos personales en un plazo no superior a tres días hábiles a partir de la fecha de recepción del dicho retiro. El operador de datos personales está obligado a notificar al sujeto de datos personales sobre la destrucción de datos personales dentro de los tres días hábiles.
10. Si no es posible destruir los datos personales dentro de los plazos especificados en los párrafos 7-9 de las Reglas, el operador de datos personales bloquea dichos datos personales, garantiza la destrucción de los datos personales dentro de los 6 meses, a menos que se establezca otro período. legislación actual Federación Rusa.
11. El almacenamiento de datos personales debe realizarse de forma que permita determinar el sujeto de los datos personales, no más allá de lo que requiere el propósito de almacenar los datos personales, si el período de almacenamiento de los datos personales no está establecido por la Ley Federal.
Los datos personales procesados están sujetos a destrucción o despersonalización al alcanzar los fines del procesamiento de datos personales o en caso de pérdida de la necesidad de lograr estos fines, a menos que la Ley Federal disponga lo contrario.
12. El procesamiento de datos personales en los sistemas de información de los centros de salud (en lo sucesivo, sistemas de información de datos personales) se lleva a cabo de conformidad con el Decreto del Gobierno de la Federación Rusa de fecha 01.11. 2012 N° 1119 “Sobre la aprobación de requisitos para la protección de datos personales durante su tratamiento en sistemas de información de datos personales”.
13. Garantizar la seguridad de los datos personales en los sistemas de información de datos personales se logra mediante:
a) determinar amenazas a la seguridad de los datos personales durante su tratamiento en los sistemas de información de datos personales;
b) aplicación de medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su tratamiento en los sistemas de información de datos personales;
c) el uso de herramientas de seguridad de la información que hayan pasado el procedimiento de evaluación de la conformidad de acuerdo con el procedimiento establecido;
d) evaluar la eficacia de las medidas adoptadas para garantizar la seguridad de los datos personales antes de la puesta en servicio de los sistemas de información de datos personales;
e) contabilidad medios de comunicacion información personal;
f) detectar hechos de acceso no autorizado a datos personales y tomar medidas para detener el acceso no autorizado;
g) recuperación de datos personales modificados o destruidos por acceso no autorizado a los mismos;
h) establecer reglas de acceso (contraseña, login, etc.) a los datos personales tratados en los sistemas de información de datos personales, así como asegurar el registro y contabilidad de todas las acciones realizadas con datos personales en los sistemas de información de datos personales.
14. Los empleados de los establecimientos de salud con acceso a los sistemas de información de datos personales están obligados a:
a) tomar medidas para evitar el acceso no autorizado al software y hardware utilizado;
b) llevar registros de medios electrónicos que contengan datos personales y guardarlos en gabinetes metálicos o cajas fuertes;
c) registrar datos personales (archivos separados, bases de datos) en medios electrónicos solo en los casos regulados por el procedimiento para trabajar con datos personales;
d) cumplir con el procedimiento y las normas establecidas para el acceso a los sistemas de información, impedir la transferencia de claves y contraseñas personales a los sistemas de información de datos personales;
e) tomar todas las medidas necesarias para asegurar las claves y contraseñas de acceso a los sistemas de información de datos personales;
f) trabajar con sistemas de información de datos personales en el ámbito de sus competencias, no permitir que se excedan de las mismas;
g) tener las habilidades para trabajar con programas antivirus en la medida necesaria para realizar deberes funcionales y requisitos de seguridad de la información.
15. Cuando los empleados de establecimientos de salud trabajen en sistemas de información de datos personales, está prohibido:
a) registrar los valores de claves y contraseñas para el acceso a los sistemas de información de datos personales;
b) transferir claves y contraseñas para el acceso a sistemas de información de datos personales a otras personas;
c) utilizar en el trabajo las claves y contraseñas de otros usuarios de acceso a los sistemas de información de datos personales;
d) seleccionar claves y contraseñas para el acceso a los sistemas de información de datos personales de otros usuarios;
e) registrar programas y datos de terceros en medios electrónicos con datos personales;
f) copiar información con datos personales a medios electrónicos no contabilizados;
g) sacar medios electrónicos con datos personales fuera del territorio del establecimiento médico;
h) salir lugar de trabajo con la computadora personal encendida sin el uso de hardware o software para bloquear el acceso a la computadora personal;
i) traer, instalar y operar de forma independiente en una computadora personal cualquier producto de software que no sea aceptado para operar;
j) abrir, desmontar, reparar computadoras personales, realizar cambios en el diseño, conectar bloques y dispositivos no estándar;
b) transferir información que contenga datos personales sujetos a protección a través de canales abiertos de comunicación (fax, Correo electrónico y otros), así como utilizar información que contenga datos personales sujetos a protección en la correspondencia abierta y en la negociación telefónica.
16. Recopilación, sistematización, acumulación, almacenamiento, actualización, modificación, transferencia, destrucción (en adelante, procesamiento) de documentos de empleados de establecimientos de salud,
17. Todos los datos personales deben obtenerse directamente de los empleados del establecimiento de salud.
18. Los documentos que contienen datos personales se destruyen triturando en una cortadora de papel.
19. Al cambiar el empleado responsable del registro de documentos en papel que contengan datos personales, se levanta un acta de aceptación y entrega de estos materiales, que es aprobada por el jefe de la unidad estructural correspondiente del establecimiento de salud.
20. Cuando trabajen con documentos en papel que contengan datos personales, los empleados de los establecimientos de salud autorizados para procesar datos personales están obligados a:
a) conocer únicamente aquellos documentos que contengan datos personales a los que se haya obtenido acceso de acuerdo con la necesidad empresarial;
b) conservar la información confidencial que haya llegado a su conocimiento, que contenga datos personales sujetos a protección, informar al jefe inmediato de los hechos de violación del procedimiento para trabajar con datos personales e intentos de acceso no autorizado a los mismos;
c) sobre infracciones cometidas orden establecido trabajo, contabilidad y almacenamiento de documentos que contengan datos personales, así como los hechos de divulgación de información que contenga datos personales sujetos a protección, brindar explicaciones por escrito a los jefes inmediatos.
21. Los empleados culpables de divulgación o pérdida de información que contenga datos personales son responsables de conformidad con la legislación de la Federación Rusa.
22. El control del cumplimiento por parte de los empleados del establecimiento de salud de los requisitos de este Reglamento está atribuido a los gerentes divisiones estructurales LPI y un responsable designado por orden de la LPI para organizar el tratamiento de datos personales.
PEDIDO
Sobre la determinación de los límites de la zona controlada
Para excluir la presencia incontrolada de personas no autorizadas durante el procesamiento de datos personales y de conformidad con los requisitos de la Ley Federal del 27 de julio de 2006 No. 152-FZ "Sobre datos personales", "Requisitos y recomendaciones especiales para protección técnica información confidencial”, aprobado por la orden de la Comisión Técnica Estatal de Rusia del 30 de agosto de 2002 No. 282, la orden del FSTEC de Rusia del 18 de febrero de 2013 No. 21 “Sobre la aprobación de la composición y el contenido de la organización y medidas técnicas para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales”, recomendaciones del FSB de Rusia” Pautas sobre la garantía de la seguridad de los datos personales utilizando herramientas criptográficas durante su procesamiento en sistemas de información de datos personales utilizando herramientas de automatización” (aprobado por el Servicio Federal de Seguridad de la Federación Rusa el 21 de febrero de 2008 No. 149/54-144)
ORDENO:
2. Aprobar el procedimiento de acceso de los trabajadores del centro de salud a los locales donde se traten datos personales.
3. El control sobre la actualización e implementación de esta orden está asignado a __________________________________________________________________.
(cargo, nombre completo del empleado)
Apéndice de la orden
Ministerio de Salud
Región de Sverdlovsk
de fecha 20 de octubre de 2015 N 1622-p Muestra NOMBRE DE LA ORGANIZACIÓN MÉDICA __________________________________________________________________ de fecha _____________ N _____________ ORDEN Sobre la determinación de los límites de la zona controlada Para excluir la permanencia incontrolada de personas no autorizadas durante el procesamiento de datos personales y de conformidad con los requisitos ley Federal de fecha 27.07.2006 N 152-FZ "Sobre datos personales", "Requisitos y recomendaciones especiales para la protección técnica de información confidencial", aprobado por orden de la Comisión Técnica Estatal de Rusia de fecha 30.08.2002 para N 282, por orden FSTEC de Rusia de fecha 18 de febrero de 2013 N 21 "Sobre la aprobación de la composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales", recomendaciones del FSB de Rusia " Directrices para la seguridad con la ayuda de herramientas criptográficas seguridad de los datos personales durante su tratamiento en la información sistemas de datos personales utilizando herramientas de automatización"(aprobado por el Servicio Federal de Seguridad de la Federación Rusa el 21 de febrero de 2008 N 149 / 54-144) Ordeno: 1. Los límites de la zona controlada ___________________________________ (nombre de la Región de Moscú) son el perímetro de las estructuras circundantes del edificio médico principal en _________________________________________________________________ 2. Aprobar pedido acceso de empleados de ____________________________ (nombre del Ministerio de Defensa) a las instalaciones donde se procesan datos personales. 3. El control sobre la actualización y ejecución de la presente orden corresponderá a _______________________________________________________________. (cargo, nombre completo del empleado) Madico principal ______________ (NOMBRE COMPLETO.)
Pedido acceso de los trabajadores (nombre de MO) a los locales en los que se están procesando datos personales (aprobado por orden _____________________ de ______ N ____)(nombre del MO) 1. Este Procedimiento para el acceso de los empleados _________________ (nombre del MO) a las instalaciones donde se procesan datos personales (en adelante, el Procedimiento) se desarrolla de conformidad con ley Federal de fecha 27 de julio de 2006 N 152-FZ "Sobre Datos Personales", Decreto Gobierno de la Federación Rusa de fecha 21 de marzo de 2012 N 211 "Sobre la aprobación de la lista de medidas destinadas a garantizar el cumplimiento de las obligaciones estipuladas por la Ley Federal "Sobre Datos Personales". 2. Los datos personales se clasifican como información confidencial. Funcionarios autorizados para procesar datos personales son divulgar a terceros y no distribuir datos personales sin el consentimiento del sujeto de datos personales, a menos que la ley federal disponga lo contrario 3. Los sistemas de información en los que se procesan datos personales están ubicados en instalaciones seguras, excluyendo la posibilidad de entrada y permanencia incontroladas en estas instalaciones por parte de personas no autorizadas 4. Al almacenar soportes de datos personales, se deben observar condiciones para garantizar la seguridad de los datos personales y excluir el acceso no autorizado a ellos. medios tecnicos, que permiten el tratamiento de datos personales, así como el almacenamiento de soportes de información, sólo están permitidos funcionarios autorizado para procesar datos personales por orden de ___________________ (nombre de la Región de Moscú). 6. Los responsables de organizar el acceso a las instalaciones en las que se lleva a cabo el procesamiento de datos personales son los jefes de las divisiones estructurales _____________________________________________ (nombre de la Región de Moscú). 7. La presencia de personas en las instalaciones (nombre de la Región de Moscú) destinadas al procesamiento de datos personales, que no están autorizadas para procesar datos personales, solo es posible si están acompañadas por un empleado autorizado para procesar datos personales por un tiempo debido a las necesidades de producción. ocho. Control interno el cumplimiento del procedimiento de acceso a los locales donde se procesan los datos personales lo lleva a cabo el responsable de organizar el procesamiento de datos personales y el responsable de la seguridad de los datos personales.
|
<< Приложение. |