Ang controlled zone (KZ) ay isang espasyo (teritoryo, gusali, bahagi ng isang gusali) kung saan ang hindi makontrol na pananatili ng mga taong walang permanenteng o isang beses na permit, at mga extraneous na sasakyan, teknikal at iba pang materyal na paraan ay hindi kasama.
Ang hangganan ng maikling circuit ay maaaring:
Ang perimeter ng protektadong teritoryo ng institusyon (enterprise);
Ang mga nakapaloob na istruktura ng isang protektadong gusali o isang protektadong bahagi ng isang gusali, kung ito ay matatagpuan sa isang hindi protektadong lugar.
Kaya, ang KZ ay maaaring limitado sa perimeter ng protektadong lugar sa bahagi, ang protektadong lugar, na sumasaklaw sa mga gusali at istruktura kung saan gaganapin ang mga saradong kaganapan, bahagi ng mga gusali, isang silid, isang opisina kung saan gaganapin ang mga saradong kaganapan.
V indibidwal na mga kaso para sa panahon ng pagproseso ng kumpidensyal na impormasyon sa pamamagitan ng teknikal na paraan, ang maikling circuit ay maaaring pansamantalang itakda na mas malaki kaysa sa protektadong lugar ng negosyo. Kasabay nito, ang mga pang-organisasyon, rehimen at mga teknikal na hakbang ay dapat gawin upang ibukod o makabuluhang hadlangan ang posibilidad ng pagharang sa sonang ito.
Ang permanenteng kontroladong sona ay isang sona na ang mga hangganan ay itinatag sa mahabang panahon.
Ang pansamantalang kinokontrol na sona ay isang sonang itinatag para sa pagdaraos ng mga saradong kaganapan na minsan lang.
Inilalaan na lugar- mga lugar (mga opisina, pagpupulong, conference room, atbp.) na espesyal na idinisenyo para sa pagproseso ng impormasyon sa pagsasalita (mga talakayan, pagpupulong, atbp.) na naglalaman ng impormasyon na bumubuo ng isang lihim ng estado.
Protektadong lugar- mga lugar (mga silid ng opisina, mga silid ng pagpupulong, mga silid ng kumperensya, atbp.) na espesyal na idinisenyo para sa pagdaraos ng mga kumpidensyal na kaganapan, kung saan impormasyon sa pagsasalita, na naglalaman ng impormasyong kumpidensyal.
4. Ilan at anong mga klase ng seguridad ang itinatag para sa mga awtomatikong sistema ng kontrol para sa produksyon at teknolohikal na proseso sa mga kritikal na pasilidad, posibleng mapanganib na mga bagay, pati na rin ang mga bagay na nagdudulot ng mas mataas na panganib sa buhay at kalusugan ng mga tao at sa natural na kapaligiran, kung saan sila umaasa. Anong dokumento ang kumokontrol sa mga kinakailangan para sa pagbibigay ng SI sa data ng AIS.
Ang pagbuo ng mga kinakailangan para sa mga mapagkukunan ng data sa isang awtomatikong sistema ng kontrol ay isinasagawa na isinasaalang-alang ang GOST R 51583 "Seguridad ng impormasyon. Ang pagkakasunud-sunod ng paglikha ng mga awtomatikong sistema sa protektadong pagpapatupad. Pangkalahatang probisyon"(pagkatapos nito - GOST R 51583), GOST R 51624 "Seguridad ng impormasyon. Mga awtomatikong system sa isang secure na disenyo. Pangkalahatang mga kinakailangan» (mula rito ay tinutukoy bilang GOST R 51624) at mga pamantayan ng organisasyon, kabilang ang: paggawa ng desisyon sa pangangailangan para sa pag-iimbak ng data sa isang awtomatikong sistema ng kontrol; pag-uuri ng awtomatikong sistema ng kontrol ayon sa mga kinakailangan ng RFP; pagkilala sa mga banta sa seguridad ng impormasyon, ang pagpapatupad nito ay maaaring humantong sa isang paglabag sa normal na operasyon ng automated control system, at ang pagbuo ng isang modelo ng mga banta sa seguridad ng impormasyon sa kanilang batayan; pagpapasiya ng mga kinakailangan para sa sistema ng proteksyon ng awtomatikong sistema ng kontrol.
Ang pag-uuri ng awtomatikong sistema ng kontrol ay isinasagawa ng customer o operator, depende sa antas ng kahalagahan (kritikal) ng impormasyon, ang pagproseso nito ay isinasagawa sa awtomatikong sistema ng kontrol. Tatlong klase ng seguridad ng automated control system ang itinatag, na tumutukoy sa mga antas ng seguridad ng automated control system. Ang pinakamababang klase ay ang pangatlo, ang pinakamataas ay ang una.
Ang pamamaraan para sa pagtukoy ng klase ng seguridad ng automated control system
1. Ang klase ng seguridad ng isang automated control system (first class (K1), second class (K2), third class (K3)) ay tinutukoy depende sa antas ng significance (criticality) ng impormasyong naproseso dito (UZ).
2. Ang antas ng kahalagahan (kritikal) ng impormasyon (IL) ay tinutukoy ng antas ng posibleng pinsala mula sa isang paglabag sa integridad nito (illegal na pagkasira o pagbabago), accessibility (illegal blocking) o confidentiality (illegal na pag-access, pagkopya, probisyon o pamamahagi), bilang isang resulta kung saan ang isang paglabag sa regular na operating mode ng automated control system o iligal na pagkagambala sa paggana ng automated control system.
KM = [(integridad, pinsala) (availability, pinsala) (kumpidensyal, pinsala)],
kung saan ang antas ng posibleng pinsala ay tinutukoy ng customer o operator ng isang eksperto o iba pang paraan at maaaring:
a) mataas, kung bilang isang resulta ng isang paglabag sa isa sa mga pag-aari ng seguridad ng impormasyon (integridad, kakayahang magamit, pagiging kumpidensyal), na humantong sa isang paglabag sa normal na operasyon ng automated control system, isang emergency ng isang pederal o interregional na kalikasan o iba pang makabuluhan Mga negatibong kahihinatnan sa panlipunan, pampulitika, pang-ekonomiya, militar o iba pang larangan ng aktibidad;
b) daluyan, kung bilang isang resulta ng isang paglabag sa isa sa mga pag-aari ng seguridad ng impormasyon (integridad, kakayahang magamit, pagiging kumpidensyal), na humantong sa isang paglabag sa normal na operasyon ng isang awtomatikong sistema ng kontrol, isang emergency ng isang rehiyonal o intermunicipal na kalikasan * o iba pang katamtamang negatibong kahihinatnan sa panlipunan, pampulitika, pang-ekonomiya, militar o iba pang larangan ng aktibidad;
c) mababa, kung bilang isang resulta ng isang paglabag sa isa sa mga pag-aari ng seguridad ng impormasyon (integridad, kakayahang magamit, pagiging kumpidensyal), na humantong sa isang paglabag sa normal na operasyon ng automated control system, isang emergency na sitwasyon ng isang munisipyo (lokal ) maaaring mangyari ang kalikasan o iba pang maliliit na negatibong kahihinatnan sa panlipunan, pampulitika, pang-ekonomiya, militar o iba pang larangan ng aktibidad.
Kung ang impormasyong naproseso sa awtomatikong sistema ng kontrol ay hindi nangangailangan ng isa sa mga katangian ng seguridad ng impormasyon (sa partikular, pagiging kumpidensyal), ang antas ng kahalagahan (kritikal) ay tutukuyin para sa iba pang dalawang katangian ng seguridad ng impormasyon (integridad, kakayahang magamit). Sa kasong ito:
KM = [(integridad, pinsala) (availability, pinsala) (kumpidensyal, hindi naaangkop)].
Ang impormasyong naproseso sa isang awtomatikong sistema ng kontrol ay mayroon mataas na lebel kahalagahan (kritikal) (KM 1), kung kahit isa sa mga katangian ng seguridad ng impormasyon (integridad, kakayahang magamit, pagiging kumpidensyal) ay may mataas na antas ng pinsala.
Ang impormasyong naproseso sa isang automated control system ay may average na antas ng kahalagahan (criticality) (LE 2) kung kahit isa sa mga information security properties (integrity, availability, confidentiality) ay may average na antas ng pinsala at walang kahit isang property para sa na kung saan ang isang mataas na antas ay tinutukoy. antas ng pinsala.
Ang impormasyong naproseso sa isang awtomatikong sistema ng kontrol ay may mababang antas ng kahalagahan (kritikal) (LE 3) kung ang mababang antas ng pinsala ay tinutukoy para sa lahat ng mga katangian ng seguridad ng impormasyon (integridad, kakayahang magamit, pagiging kumpidensyal).
Kapag nagpoproseso ng dalawa o higit pang mga uri ng impormasyon sa isang awtomatikong sistema ng kontrol (pagsukat ng impormasyon, impormasyon tungkol sa estado ng proseso), ang antas ng kahalagahan (kritikal) ng impormasyon (S) ay tinutukoy nang hiwalay para sa bawat uri ng impormasyon.
Ang pangwakas na antas ng kahalagahan (kritikal) ay itinakda ayon sa pinakamataas na halaga ng antas ng posibleng pinsala, na tinutukoy para sa integridad, kakayahang magamit, pagiging kumpidensyal ng bawat uri ng impormasyon. alinsunod sa Dekreto ng Pamahalaan ng Russian Federation ng Mayo 21, 2007 No. 304 "Sa pag-uuri mga emergency natural at teknogenikong kalikasan”(Collected Legislation of the Russian Federation, 2007, No. 22, Art. 2640; 2011, No. 21, Art. 2971).
3. Ang klase ng seguridad ng automated control system ay tinutukoy alinsunod sa talahanayan:
Antas ng kahalagahan (kritikal)
impormasyon Proteksyon klase ng automated control system
Maaaring itakda nang hiwalay ang klase ng seguridad para sa bawat antas ng automated control system o iba pang mga segment, kung mayroon man. Ang mga resulta ng pag-uuri ng isang automated control system ay nakadokumento sa isang classification act. Ang kinakailangan para sa klase ng seguridad ay kasama sa mga tuntunin ng sanggunian para sa paglikha ng isang awtomatikong sistema ng kontrol at (o) mga tuntunin ng sanggunian (mga pribadong tuntunin ng sanggunian) para sa paglikha ng isang sistema ng proteksyon para sa isang awtomatikong sistema ng kontrol, na binuo ng pagkuha sa account GOST 34.602 " Teknolohiya ng impormasyon. Set ng mga pamantayan para sa mga automated system. Teknikal na gawain para sa paglikha ng isang awtomatikong sistema" (mula rito ay tinutukoy bilang GOST 34.602), GOST R 51583, GOST R 51624 at mga pamantayan ng organisasyon.
Ang klase ng seguridad ng isang awtomatikong sistema ng kontrol (segment) ay napapailalim sa rebisyon lamang sa kaganapan ng modernisasyon nito, bilang isang resulta kung saan ang antas ng kahalagahan (kritikal) ng impormasyon na naproseso sa awtomatikong sistema ng kontrol (segment) ay nagbago.
Mga kinakailangan para sa pagbibigay ng GI sa data mga awtomatikong sistema ang pamamahala ay kinokontrol ng kaayusan FSTEC ng Russia napetsahan 14.03.2014 No. 31 "Sa pag-apruba ng Mga Kinakailangan para sa pagtiyak ng proteksyon ng data sa mga awtomatikong sistema ng kontrol para sa produksyon at teknolohikal na mga proseso sa kritikal na mahahalagang pasilidad, potensyal na mapanganib na mga pasilidad, pati na rin ang mga pasilidad na nagdudulot ng mas mataas na panganib sa buhay at kalusugan ng tao at sa likas na kapaligiran."
1. Itong Pamprosesong Pahayag personal na data nagtatatag ng mga pamamaraan na naglalayong makita at maiwasan ang mga paglabag sa batas Pederasyon ng Russia sa larangan ng personal na data, pati na rin ang pagtukoy para sa bawat layunin ng pagproseso ng personal na data ang nilalaman ng naprosesong personal na data, ang mga kategorya ng mga paksa na ang personal na data ay pinoproseso, ang mga tuntunin ng kanilang pagproseso at pag-iimbak, ang pamamaraan para sa pagkawasak sa maabot ang mga layunin ng pagproseso o sa paglitaw ng iba legal na batayan(pagkatapos nito - ang Regulasyon).
Ang pagproseso ng personal na data sa mga pasilidad ng pangangalagang pangkalusugan ay isinasagawa gamit ang mga tool sa automation o nang hindi gumagamit ng mga naturang tool, kabilang ang koleksyon, pag-record, systematization, akumulasyon, imbakan, paglilinaw (pag-update, pagbabago), pagkuha, paggamit, paglilipat (pamamahagi, probisyon, pag-access) , depersonalization, pagharang , pagtanggal, pagsira ng personal na data ng mga paksa na ang personal na data ay pinoproseso sa pasilidad ng kalusugan.
2. Mga pasilidad sa kalusugan alinsunod sa pederal na batas na may petsang Hulyo 27, 2006 No. 152-FZ "Sa Personal na Data" ay ang operator na nagpoproseso ng personal na data, pati na rin tinutukoy ang mga layunin ng pagproseso ng personal na data, ang komposisyon ng personal na data na ipoproseso, mga aksyon (mga operasyon) na isinagawa gamit ang personal data (mula rito ay tinutukoy bilang operator ng personal na data).
3. Ang regulasyon ay binuo alinsunod sa Pederal na Batas ng Hulyo 27, 2006 No. 152-FZ "Sa Personal na Data" (mula dito ay tinutukoy bilang ang Pederal na Batas), Ch. 14 Kodigo sa Paggawa ng Russian Federation na may petsang Disyembre 13, 2001 No. 197-FZ.
4. Ang mga paksa ng personal na data ay mga empleyado ng mga pasilidad sa pangangalagang pangkalusugan, mga mamamayan ng Russian Federation, impormasyon tungkol sa kung saan ay nakapaloob sa mga sistema ng impormasyon ah LPU.
5. Ang mga layunin ng mga Regulasyon ay:
a) tinitiyak ang proteksyon ng mga karapatan at kalayaan sa pagproseso ng personal na data ng mga empleyado ng mga pasilidad ng pangangalagang pangkalusugan, personal na data ng mga mamamayan na nakapaloob sa mga sistema ng impormasyon ng mga pasilidad ng pangangalagang pangkalusugan;
b) pagtatatag ng pananagutan ng mga empleyado ng mga pasilidad ng pangangalagang pangkalusugan para sa hindi pagsunod sa mga regulasyong legal na batas na namamahala sa pagproseso at proteksyon ng personal na data.
6. Mga pamamaraan na naglalayong makilala at maiwasan ang mga paglabag sa batas ng Russian Federation sa larangan ng personal na data:
a) pagpapatupad ng panloob na kontrol sa pagsunod sa pagproseso ng personal na data sa Pederal na Batas at mga regulasyong pinagtibay alinsunod dito; mga legal na gawain, mga kinakailangan para sa proteksyon ng personal na data;
b) isang pagtatasa ng pinsala na maaaring idulot sa mga paksa ng personal na data sa kaganapan ng isang paglabag sa Pederal na Batas, ang ratio ng nasabing pinsala at ang mga hakbang na ginawa ng mga pasilidad ng pangangalagang pangkalusugan na naglalayong tiyakin ang katuparan ng mga obligasyon ng personal operator ng data na ibinigay ng Pederal na Batas;
c) Pag-familiarization ng mga empleyado ng mga pasilidad ng pangangalagang pangkalusugan na direktang kasangkot sa pagproseso ng personal na data kasama ang mga probisyon ng batas ng Russian Federation sa personal na data, kasama ang mga kinakailangan para sa proteksyon ng personal na data.
7. Sa kaso ng pagbubunyag ng iligal na pagproseso ng personal na data na isinagawa ng operator ng personal na data, ang operator ng personal na data, sa loob ng isang panahon na hindi hihigit sa 3 araw ng trabaho mula sa petsa ng pagtuklas ng ilegal na pagproseso ng personal na data, ay obligadong huminto ang iligal na pagproseso ng personal na data o tiyakin ang pagwawakas ng iligal na pagproseso ng personal na data.
Kung imposibleng matiyak ang legalidad ng pagproseso ng personal na data, ang operator ng personal na data, sa loob ng isang panahon na hindi hihigit sa 10 araw ng trabaho mula sa petsa ng pagtuklas ng ilegal na pagproseso ng personal na data, ay obligadong sirain ang naturang personal na data o tiyakin kanilang pagkasira. Ang operator ng personal na data ay obligadong abisuhan ang paksa ng personal na data o ang kanyang kinatawan tungkol sa pag-aalis ng labag sa batas na pagproseso ng personal na data o ang pagkasira ng personal na data.
8. Kung ang layunin ng pagpoproseso ng personal na data ay nakamit, ang operator ng personal na data ay obligadong ihinto ang pagproseso ng personal na data at sirain ang personal na data sa loob ng isang panahon na hindi hihigit sa 30 araw ng trabaho mula sa petsa ng pagkamit ng layunin ng pagproseso ng personal na data.
9. Kung sakaling ang paksa ng personal na data ay mag-withdraw ng pahintulot sa pagproseso ng kanyang personal na data, ang operator ng personal na data ay obligadong ihinto ang pagproseso ng personal na data at sirain ang personal na data sa loob ng isang panahon na hindi hihigit sa tatlong araw ng trabaho mula sa petsa ng pagtanggap ng sabi ng withdrawal. Ang operator ng personal na data ay obligadong ipaalam sa paksa ng personal na data tungkol sa pagkasira ng personal na data sa loob ng tatlong araw ng trabaho.
10. Kung hindi posible na sirain ang personal na data sa loob ng mga panahong tinukoy sa mga talata 7-9 ng Mga Panuntunan, hinaharangan ng operator ng personal na data ang naturang personal na data, tinitiyak ang pagkasira ng personal na data sa loob ng 6 na buwan, maliban kung ang isa pang panahon ay itinatag kasalukuyang batas Pederasyon ng Russia.
11. Ang pag-iimbak ng personal na data ay dapat isagawa sa isang form na nagbibigay-daan upang matukoy ang paksa ng personal na data, nang hindi hihigit sa kinakailangan ng layunin ng pag-iimbak ng personal na data, kung ang panahon ng pag-iimbak ng personal na data ay hindi itinatag ng Pederal na Batas .
Ang naprosesong personal na data ay napapailalim sa pagkawasak o depersonalization kapag naabot ang mga layunin ng pagproseso ng personal na data o sa kaso ng pagkawala ng pangangailangan upang makamit ang mga layuning ito, maliban kung itinakda ng Pederal na Batas.
12. Ang pagpoproseso ng personal na data sa mga sistema ng impormasyon ng mga pasilidad sa pangangalagang pangkalusugan (mula dito ay tinutukoy bilang mga sistema ng impormasyon ng personal na data) ay isinasagawa alinsunod sa Dekreto ng Pamahalaan ng Russian Federation na may petsang 01.11. 2012 No. 1119 "Sa pag-apruba ng mga kinakailangan para sa proteksyon ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data."
13. Ang pagtiyak sa seguridad ng personal na data sa mga sistema ng impormasyon ng personal na data ay nakakamit sa pamamagitan ng:
a) pagtukoy ng mga banta sa seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data;
b) aplikasyon ng mga pang-organisasyon at teknikal na hakbang upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data;
c) ang paggamit ng mga tool sa seguridad ng impormasyon na nakapasa sa pamamaraan ng pagtatasa ng conformity alinsunod sa itinatag na pamamaraan;
d) pagtatasa ng pagiging epektibo ng mga hakbang na ginawa upang matiyak ang seguridad ng personal na data bago ang pag-commissioning ng mga sistema ng impormasyon ng personal na data;
e) accounting media ng makina personal na data;
f) pagtuklas ng mga katotohanan ng hindi awtorisadong pag-access sa personal na data at paggawa ng mga hakbang upang ihinto ang hindi awtorisadong pag-access;
g) pagbawi ng personal na data na binago o nawasak dahil sa hindi awtorisadong pag-access sa mga ito;
h) pagtatatag ng mga panuntunan sa pag-access (password, pag-login, atbp.) sa personal na data na naproseso sa mga sistema ng impormasyon ng personal na data, pati na rin ang pagtiyak sa pagpaparehistro at accounting ng lahat ng mga aksyon na isinagawa gamit ang personal na data sa mga sistema ng impormasyon ng personal na data.
14. Ang mga empleyado ng mga pasilidad ng pangangalagang pangkalusugan na may access sa mga sistema ng impormasyon ng personal na data ay kinakailangang:
a) gumawa ng mga hakbang upang maiwasan ang hindi awtorisadong pag-access sa software at hardware na ginamit;
b) panatilihin ang mga rekord ng electronic media na naglalaman ng personal na data at iimbak ang mga ito sa mga metal cabinet o safe;
c) mag-record ng personal na data (hiwalay na mga file, database) sa electronic media lamang sa mga kaso na kinokontrol ng pamamaraan para sa pagtatrabaho sa personal na data;
d) sumunod sa itinatag na pamamaraan at mga patakaran para sa pag-access sa mga sistema ng impormasyon, maiwasan ang paglipat ng mga personal na code at password sa mga sistema ng impormasyon ng personal na data;
e) gawin ang lahat ng kinakailangang hakbang upang ma-secure ang mga code at password para sa pag-access sa mga sistema ng impormasyon ng personal na data;
f) makipagtulungan sa mga sistema ng impormasyon ng personal na data sa loob ng saklaw ng kanilang mga kapangyarihan, hindi pinapayagan ang mga ito na lumampas;
g) may mga kasanayan upang gumana sa mga programang anti-virus sa lawak na kinakailangan upang gumanap mga tungkulin sa pagganap at mga kinakailangan sa seguridad ng impormasyon.
15. Kapag ang mga empleyado ng mga pasilidad ng pangangalagang pangkalusugan ay nagtatrabaho sa mga sistema ng impormasyon ng personal na data, ipinagbabawal:
a) itala ang mga halaga ng mga code at password para sa pag-access sa mga sistema ng impormasyon ng personal na data;
b) paglilipat ng mga code at password para sa pag-access sa mga sistema ng impormasyon ng personal na data sa ibang mga tao;
c) gamitin sa trabaho ang mga code at password ng iba pang mga gumagamit ng pag-access sa mga sistema ng impormasyon ng personal na data;
d) pumili ng mga code at password para sa pag-access sa mga sistema ng impormasyon ng personal na data ng ibang mga gumagamit;
e) magrekord ng mga programa at data ng third-party sa electronic media na may personal na data;
f) kumopya ng impormasyon na may personal na data sa hindi na-account para sa electronic media;
g) kumuha ng electronic media na may personal na data sa labas ng teritoryo ng pasilidad na medikal;
h) umalis lugar ng trabaho na naka-on ang personal na computer nang hindi gumagamit ng hardware o software upang harangan ang pag-access sa personal na computer;
i) dalhin, independiyenteng i-install at patakbuhin sa isang personal na computer ang anumang mga produkto ng software na hindi tinatanggap para sa operasyon;
j) buksan, i-disassemble, ayusin ang mga personal na computer, gumawa ng mga pagbabago sa disenyo, ikonekta ang hindi karaniwang mga bloke at device;
b) maglipat ng impormasyon na naglalaman ng personal na data na napapailalim sa proteksyon sa pamamagitan ng bukas na mga channel ng komunikasyon (fax, Email at iba pa), pati na rin ang paggamit ng impormasyong naglalaman ng personal na data na napapailalim sa proteksyon sa bukas na sulat at kapag nakikipag-usap sa pamamagitan ng telepono.
16. Pagkolekta, sistematisasyon, pag-iipon, pag-iimbak, pag-update, pagbabago, paglilipat, pagsira (mula rito ay tinutukoy bilang pagproseso) ng mga dokumento ng mga empleyado ng mga pasilidad ng pangangalagang pangkalusugan,
17. Ang lahat ng personal na data ay dapat makuha nang direkta mula sa mga empleyado ng pasilidad ng kalusugan.
18. Ang mga dokumentong naglalaman ng personal na data ay sinisira sa pamamagitan ng pag-shredding sa isang paper cutting machine.
19. Kapag binago ang empleyado na responsable para sa pagtatala ng mga dokumentong papel na naglalaman ng personal na data, isang pagkilos ng pagtanggap at paghahatid ng mga materyales na ito ay iginuhit, na inaprubahan ng pinuno ng may-katuturang yunit ng istruktura ng pasilidad ng kalusugan.
20. Kapag nagtatrabaho sa mga dokumentong papel na naglalaman ng personal na data, ang mga empleyado ng mga pasilidad ng kalusugan na awtorisadong magproseso ng personal na data ay kinakailangang:
a) upang maging pamilyar lamang sa mga dokumentong iyon na naglalaman ng personal na data kung saan nakuha ang access alinsunod sa pangangailangan ng negosyo;
b) panatilihin ang kumpidensyal na impormasyon na nalaman nila, na naglalaman ng personal na data na napapailalim sa proteksyon, ipaalam sa agarang superbisor ng mga katotohanan ng paglabag sa pamamaraan para sa pagtatrabaho sa personal na data at mga pagtatangka ng hindi awtorisadong pag-access sa kanila;
c) tungkol sa mga nagawang paglabag itinatag na kaayusan trabaho, accounting at imbakan ng mga dokumento na naglalaman ng personal na data, pati na rin ang mga katotohanan ng pagsisiwalat ng impormasyon na naglalaman ng personal na data na napapailalim sa proteksyon, ay nagbibigay ng mga nakasulat na paliwanag sa mga agarang superbisor.
21. Ang mga empleyadong nagkasala sa pagbubunyag o pagkawala ng impormasyong naglalaman ng personal na data ay mananagot alinsunod sa batas ng Russian Federation.
22. Ang kontrol sa katuparan ng mga empleyado ng pasilidad ng pangangalagang pangkalusugan sa mga kinakailangan ng Mga Panuntunang ito ay itinalaga sa mga tagapamahala mga istrukturang dibisyon LPI at isang responsableng tao na itinalaga sa pamamagitan ng utos ng LPI para sa pag-aayos ng pagproseso ng personal na data.
ORDER
Sa pagtukoy ng mga hangganan ng kinokontrol na zone
Upang maibukod ang hindi makontrol na presensya ng mga hindi awtorisadong tao sa panahon ng pagproseso ng personal na data at alinsunod sa mga kinakailangan ng Pederal na Batas ng Hulyo 27, 2006 No. 152-FZ "Sa Personal na Data", "Mga Espesyal na Kinakailangan at Rekomendasyon para sa teknikal na proteksyon kumpidensyal na impormasyon", na inaprubahan sa pamamagitan ng utos ng State Technical Commission ng Russia na may petsang Agosto 30, 2002 No. 282, sa pamamagitan ng utos ng FSTEC ng Russia na may petsang Pebrero 18, 2013 No. 21 "Sa pag-apruba ng komposisyon at nilalaman ng organisasyon at teknikal mga hakbang upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data", mga rekomendasyon ng FSB ng Russia " Mga Alituntunin sa pagtiyak ng seguridad ng personal na data gamit ang mga cryptographic na tool sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data gamit ang mga tool sa automation” (inaprubahan ng Federal Security Service ng Russian Federation noong Pebrero 21, 2008 No. 149/54-144)
ORDER KO:
2. Aprubahan ang pamamaraan para sa pag-access ng mga manggagawa sa pasilidad ng pangangalagang pangkalusugan sa lugar kung saan pinoproseso ang personal na data.
3. Ang kontrol sa pag-update at pagpapatupad ng kautusang ito ay itinalaga sa __________________________________________________________________.
(posisyon, buong pangalan ng empleyado)
Appendix sa order
Ministri ng Kalusugan
Rehiyon ng Sverdlovsk
may petsang Oktubre 20, 2015 N 1622-p Sample PANGALAN NG MEDICAL ORGANIZATION ________________________________________________________________________________ na may petsang _____________ N _____________ ORDER Sa pagtukoy ng mga hangganan ng kinokontrol na zone Upang maibukod ang hindi makontrol na pananatili ng mga hindi awtorisadong tao sa panahon ng pagproseso ng personal na data at alinsunod sa mga kinakailangan pederal na batas na may petsang 27.07.2006 N 152-FZ "Sa personal na data", "Mga espesyal na kinakailangan at rekomendasyon para sa teknikal na proteksyon ng kumpidensyal na impormasyon", na naaprubahan sa pamamagitan ng utos ng State Technical Commission ng Russia na may petsang 30.08.2002 para sa N 282, sa pamamagitan ng utos FSTEC ng Russia na may petsang Pebrero 18, 2013 N 21 "Sa pag-apruba ng komposisyon at nilalaman ng mga hakbang sa organisasyon at teknikal upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data", mga rekomendasyon ng FSB ng Russia " Mga alituntunin para sa pag-secure sa tulong ng mga tool sa cryptographic seguridad ng personal na data sa panahon ng kanilang pagproseso sa impormasyon mga sistema ng personal na data gamit ang mga tool sa automation"(Inaprubahan ng Federal Security Service ng Russian Federation noong Pebrero 21, 2008 N 149 / 54-144) Iniutos ko: 1. Ang mga hangganan ng kontroladong zone ______________________________________ (pangalan ng Rehiyon ng Moscow) ay ang perimeter ng mga nakapaloob na istruktura ng pangunahing gusaling medikal sa _________________________________________________________________ 2. Aprubahan utos access ng mga empleyado ng ____________________________ (pangalan ng Ministry of Defense) sa lugar kung saan pinoproseso ang personal na data. 3. Ang kontrol sa pag-update at pagpapatupad ng kautusang ito ay dapat italaga sa ________________________________________________________________. (posisyon, buong pangalan ng empleyado) Punong Manggagamot ______________ (BUONG PANGALAN.)
Umorder access ng mga manggagawa (pangalan ng MO) sa lugar kung saan pinoproseso ang personal na data (naaprubahan sa pamamagitan ng utos _____________________ mula sa ______ N ____)(pangalan ng MO) 1. Ang Pamamaraan na ito para sa pag-access ng mga empleyado _________________ (pangalan ng MO) sa lugar kung saan pinoproseso ang personal na data (mula rito ay tinutukoy bilang Pamamaraan) ay binuo alinsunod sa pederal na batas napetsahan noong Hulyo 27, 2006 N 152-FZ "Sa Personal na Data", Dekreto Pamahalaan ng Russian Federation na may petsang Marso 21, 2012 N 211 "Sa pag-apruba ng listahan ng mga hakbang na naglalayong tiyakin ang katuparan ng mga obligasyon na itinakda ng Pederal na Batas "Sa Personal na Data". 2. Ang personal na data ay inuri bilang kumpidensyal na impormasyon. Pinahintulutan ng mga opisyal upang iproseso ang personal na data ay isiwalat sa mga ikatlong partido at hindi namamahagi ng personal na data nang walang pahintulot ng paksa ng personal na data, maliban kung iba ang itinatadhana ng pederal na batas 3. Ang mga sistema ng impormasyon kung saan pinoproseso ang personal na data ay matatagpuan sa ligtas na lugar, hindi kasama ang posibilidad ng hindi nakokontrol na pagpasok at pananatili sa mga lugar na ito ng mga hindi awtorisadong tao 4. Kapag nag-iimbak ng mga personal na data carrier, dapat sundin ang mga kundisyon upang matiyak ang kaligtasan ng personal na data at ibukod ang hindi awtorisadong pag-access sa kanila. teknikal na paraan, na nagpapahintulot sa pagproseso ng personal na data, pati na rin ang pag-iimbak ng media ng impormasyon, ay pinapayagan lamang mga opisyal awtorisadong magproseso ng personal na data sa pamamagitan ng pagkakasunud-sunod ng ___________________ (pangalan ng Rehiyon ng Moscow). 6. Responsable para sa pag-aayos ng pag-access sa mga lugar kung saan ang pagproseso ng personal na data ay isinasagawa, ang mga pinuno ng mga istrukturang dibisyon ________________________________________________ (pangalan ng Rehiyon ng Moscow). 7. Ang pagkakaroon ng mga tao sa lugar (pangalan ng Rehiyon ng Moscow) na nilayon para sa pagproseso ng personal na data, na hindi awtorisadong magproseso ng personal na data, ay posible lamang kung sinamahan ng isang empleyadong awtorisadong magproseso ng personal na data sa isang takdang panahon. sa mga pangangailangan sa produksyon. walo. Panloob na kontrol Ang pagsunod sa pamamaraan para sa pag-access sa lugar kung saan pinoproseso ang personal na data ay isinasagawa ng taong responsable para sa pag-aayos ng pagproseso ng personal na data at responsable para sa seguridad ng personal na data.
|
<< Приложение. |