Контрольована зона (КЗ) – це простір (територія, будівля, частина будівлі), в якому виключено неконтрольоване перебування осіб, які не мають постійного чи разового допуску, та сторонніх транспортних, технічних та інших матеріальних засобів.
Кордоном КЗ можуть бути:
Периметр території установи (підприємства), що охороняється;
Огороджувальні конструкції будівлі, що охороняється, або частини будівлі, що охороняється, якщо вона розміщена на території, що не охороняється.
Таким чином, КЗ може обмежуватися периметром території, що охороняється частково, охороняється територією, що охоплює будівлі та споруди, в яких проводяться закриті заходи, частиною будівель, кімнатою, кабінетом, в яких проводяться закриті заходи.
В окремих випадкахна період обробки технічними засобами конфіденційної інформації КЗ тимчасово може встановлюватися більшою, ніж територія підприємства, що охороняється. При цьому повинні вживатися організаційно-режимні та технічні заходи, що виключають або суттєво ускладнюють можливість ведення перехоплення в цій зоні.
Постійна контрольована зона – це зона, межі якої встановлюються на тривалий термін.
Тимчасова контрольована зона - це зона, яка встановлюється щодо закритих заходів разового характеру.
Виділені приміщення– приміщення (службові кабінети, актові, конференц-зали тощо) спеціально призначені для обробки мовленнєвої інформації (обговорення, наради, тощо), що містить відомості, що становлять державну таємницю.
Захищені приміщення- приміщення (службові кабінети, актові, конференц-зали тощо), спеціально призначені щодо конфіденційних заходів, під час яких обробляється мовна інформація, що містить відомості про конфіденційний характер.
4. Скільки та які класи захищеності встановлені для автоматизованих систем управління виробничими та технологічними процесамина критично важливих об'єктах, потенційно небезпечних об'єктів, а також об'єктах, що становлять підвищену небезпеку для життя і здоров'я людей і для навколишнього природного середовища, через що вони залежать. Яким документом регламентовані вимоги до забезпечення ЗІ даних АІС.
Формування вимог до ЗІ в автоматизованій системі управління здійснюється з урахуванням ГОСТ Р 51583 «Захист інформації. Порядок створення автоматизованих систем у захищеному виконанні. загальні положення(далі - ГОСТ Р 51583), ГОСТ Р 51624 «Захист інформації. Автоматизовані системи у захищеному виконанні. Загальні вимоги»(далі - ГОСТ Р 51624) та стандартів організації та в тому числі включає: прийняття рішення про необхідність ЗІ в автоматизованій системі управління; класифікацію автоматизованої системи управління за вимогами ЗІ; визначення загроз безпеки інформації, реалізація яких може призвести до порушення штатного режиму функціонування автоматизованої системи управління, та розробку на їх основі моделі загроз безпеки інформації; визначення вимог системи захисту автоматизованої системи управління.
Класифікація автоматизованої системи управління проводиться замовником чи оператором залежно від рівня значущості (критичності) інформації, обробка якої здійснюється у автоматизованій системі управління. Встановлюються три класи захищеності автоматизованої системи управління, що визначають рівні захищеності автоматизованої системи управління. Найнижчий клас – третій, найвищий – перший.
Порядок визначення класу безпеки АСУ
1. Клас захищеності автоматизованої системи управління (перший клас (К1), другий клас (К2), третій клас (К3)) визначається залежно від рівня значущості (критичності) оброблюваної у ній інформації (УЗ).
2. Рівень значущості (критичності) інформації (УЗ) визначається ступенем можливої шкоди від порушення її цілісності (неправомірне знищення або модифікування), доступності (неправомірне блокування) або конфіденційності (неправомірний доступ, копіювання, надання або розповсюдження), внаслідок якого можливе порушення штатного режиму функціонування автоматизованої системи управління чи незаконне втручання у процеси функціонування автоматизованої системи управління.
УЗ = [(цілісність, ступінь шкоди) (доступність, ступінь шкоди) (конфіденційність, ступінь шкоди)],
де ступінь можливої шкоди визначається замовником або оператором експертним чи іншим методом і може бути:
а) високої, якщо внаслідок порушення однієї з властивостей безпеки інформації (цілісності, доступності, конфіденційності), що спричинило порушення штатного режиму функціонування автоматизованої системи управління, можливе виникнення надзвичайної ситуації федерального чи міжрегіонального характеру чи інші суттєві негативні наслідкиу соціальній, політичній, економічній, військовій чи інших галузях діяльності;
б) середньої, якщо внаслідок порушення однієї з властивостей безпеки інформації (цілісності, доступності, конфіденційності), що спричинило порушення штатного режиму функціонування автоматизованої системи управління, можливе виникнення надзвичайної ситуації регіонального або міжмуніципального характеру* або інші помірні негативні наслідки у соціальній, політичній, економічній , військовій або інших сферах діяльності;
в) низькою, якщо внаслідок порушення однієї з властивостей безпеки інформації (цілісності, доступності, конфіденційності), що спричинило порушення штатного режиму функціонування автоматизованої системи управління, можливе виникнення надзвичайної ситуації муніципального (локального) характеру або можливі інші незначні негативні наслідки у соціальній, політичній, економічної, військової чи інших галузях діяльності.
У випадку, якщо для інформації, що обробляється в автоматизованій системі управління, не потрібне забезпечення однієї з властивостей безпеки інформації (зокрема конфіденційності), рівень значущості (критичності) визначаться для двох інших властивостей безпеки інформації (цілісності, доступності). В цьому випадку:
УЗ = [(цілісність, ступінь шкоди) (доступність, ступінь шкоди) (конфіденційність, не застосовується)].
Інформація, що обробляється в автоматизованій системі управління, має високий рівеньзначущості (критичності) (УЗ 1), якщо хоча б для однієї з властивостей безпеки інформації (цілісності, доступності, конфіденційності) визначено високий рівень шкоди.
Інформація, що обробляється в автоматизованій системі управління, має середній рівень значущості (критичності) (УЗ 2), якщо хоча б для однієї з властивостей безпеки інформації (цілісності, доступності, конфіденційності) визначено середній ступінь шкоди і немає жодної властивості, для якої визначено високий ступінь збитків.
Інформація, що обробляється в автоматизованій системі управління, має низький рівень значущості (критичності) (УЗ 3), якщо всім властивостей безпеки інформації (цілісності, доступності, конфіденційності) визначені низькі ступеня шкоди.
При обробці в автоматизованій системі управління двох і більше видів інформації (вимірювальна інформація, інформація про стан процесу) рівень значущості (критичності) інформації визначається окремо для кожного виду інформації.
Підсумковий рівень значущості (критичності) встановлюється за найвищими значеннями ступеня можливої шкоди, визначеними для цілісності, доступності, конфіденційності кожного виду інформації. відповідно до постанови Уряду РФ від 21 травня 2007 р. № 304 «Про класифікацію надзвичайних ситуаційприродного та техногенного характеру»(Збори законодавства РФ, 2007, № 22, ст. 2640; 2011, № 21, ст. 2971).
3. Клас захищеності автоматизованої системи управління визначається відповідно до таблиці:
Рівень значущості (критичності)
інформації Клас захищеності автоматизованої системи управління
Клас захищеності може бути встановлений окремо для кожного з рівнів автоматизованої системи управління або інших сегментів за їх наявності. Результати класифікації автоматизованої системи управління оформлюються актом класифікації. Вимога до класу захищеності включається в технічне завдання створення автоматизованої системи управління та (або) технічне завдання (приватне технічне завдання) створення системи захисту автоматизованої системи управління, розроблювані з урахуванням ГОСТ 34.602 « Інформаційна технологія. Комплекс стандартів на автоматизовані системи. Технічне завданнястворення автоматизованої системи» (далі – ГОСТ 34.602), ГОСТ Р 51583, ГОСТ Р 51624 і стандартів організації.
Клас захищеності автоматизованої системи управління (сегменту) підлягає перегляду у разі її модернізації, у результаті якої змінився рівень значимості (критичності) інформації, оброблюваної в автоматизованій системі управління (сегменті).
Вимоги до забезпечення ЗІ даних автоматизованих системахуправління регламентуються наказом ФСТЕК Росіївід 14.03.2014 №31 «Про затвердження Вимог до забезпечення ЗІ в автоматизованих системах управління виробничими та технологічними процесами на критично важливих об'єктах, потенційно небезпечних об'єктах, а також об'єктах, що становлять підвищену небезпеку для життя та здоров'я людей та для навколишнього природного середовища».
1. Це Положення про обробку персональних данихвстановлює процедури, спрямовані на виявлення та запобігання порушенням законодавства Російської Федераціїу сфері персональних даних, а також визначальні для кожної мети обробки персональних даних зміст оброблюваних персональних даних, категорії суб'єктів, персональні дані яких обробляються, терміни їх обробки та зберігання, порядок знищення при досягненні цілей обробки або при настанні інших законних підстав(Далі – Положення).
Обробка персональних даних у ЛПЗ виконується з використанням засобів автоматизації або без використання таких засобів, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передачу (поширення, надання, доступ), знеособлення, блокування , видалення, знищення персональних даних суб'єктів, персональні дані яких обробляються ЛПУ.
2. ЛПУ відповідно до Федеральним закономвід 27.07.2006 № 152-ФЗ «Про персональні дані» є оператором, який здійснює обробку персональних даних, а також визначає цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними (далі – оператор персональних даних) даних).
3. Положення розроблено відповідно до Федерального закону від 27.07.2006 № 152-ФЗ «Про персональні дані» (далі – Федеральний закон), гол. 14 Трудового кодексуРосійської Федерації від 13.12.2001 № 197-ФЗ.
4. Суб'єктами персональних даних є співробітники ЛПУ, громадяни Російської Федерації, інформація про які міститься у інформаційних системах ЛПЗ.
5. Цілями Положення є:
а) забезпечення захисту права і свободи під час обробки персональних даних співробітників ЛПУ, персональних даних громадян, які у інформаційних системах ЛПУ;
б) встановлення відповідальності працівників ЛПЗ за невиконання нормативних правових актів, що регулюють обробку та захист персональних даних.
6. Процедури, створені задля виявлення і запобігання порушенням законодавства Російської Федерації у сфері персональних данных:
а) здійснення внутрішнього контролю відповідності обробки персональних даних Федеральному закону та прийнятим відповідно до нього нормативним правовим актам, вимогам захисту персональних даних;
б) оцінка шкоди, який може бути заподіяний суб'єктам персональних даних у разі порушення Федерального закону, співвідношення зазначеної шкоди та вживаних ЛПЗ заходів, спрямованих на забезпечення виконання обов'язків оператора персональних даних, передбачених Федеральним законом;
в) ознайомлення співробітників ЛПЗ, безпосередньо здійснюють обробку персональних даних, з положеннями законодавства України про персональні дані, з вимогами захисту персональних даних.
7. У разі виявлення неправомірної обробки персональних даних, що здійснюється оператором персональних даних, оператор персональних даних у строк, що не перевищує 3 робочі дні з дати виявлення неправомірної обробки персональних даних, зобов'язаний припинити неправомірну обробку персональних даних або забезпечити припинення неправомірної обробки персональних даних.
У разі якщо забезпечити правомірність обробки персональних даних неможливо, оператор персональних даних у строк, що не перевищує 10 робочих днів з дати виявлення неправомірної обробки персональних даних, зобов'язаний знищити такі персональні дані або забезпечити їх знищення. Про усунення неправомірної обробки персональних даних або знищення персональних даних оператор персональних даних зобов'язаний повідомити суб'єкта персональних даних або його представника.
8. У разі досягнення мети обробки персональних даних оператор персональних даних зобов'язаний припинити обробку персональних даних та знищити персональні дані у строк, що не перевищує 30 робочих днів з дати досягнення мети обробки персональних даних.
9. У разі відкликання суб'єктом персональних даних згоди на обробку своїх персональних даних оператор персональних даних зобов'язаний припинити обробку персональних даних та знищити персональні дані у строк, що не перевищує три робочі дні з дати отримання зазначеного відкликання. Про знищення персональних даних оператор персональних даних протягом трьох робочих днів зобов'язаний повідомити суб'єкта персональних даних.
10. У разі відсутності можливості знищення персональних даних протягом строків, зазначених у пунктах 7 – 9 Правил, оператор персональних даних здійснює блокування таких персональних даних, забезпечує знищення персональних даних у строк до 6 місяців, якщо інший термін не встановлено діючим законодавствомРосійської Федерації.
11. Зберігання персональних даних має здійснюватися у формі, що дозволяє визначити суб'єкта персональних даних, не довше, ніж цього вимагають мети зберігання персональних даних, якщо термін зберігання персональних даних не встановлено Федеральним законом.
Оброблювані персональні дані підлягають знищенню чи знеособлення по досягненні цілей обробки персональних даних або у разі втрати необхідності у досягненні цих цілей, якщо інше не передбачено Федеральним законом.
12. Обробка персональних даних в інформаційних системах ЛПЗ (далі - інформаційні системи персональних даних) здійснюється відповідно до постанови Уряду Російської Федерації від 01.11. 2012 № 1119 «Про затвердження вимог щодо захисту персональних даних при їх обробці в інформаційних системах персональних даних».
13. Забезпечення безпеки персональних даних в інформаційних системах персональних даних досягається шляхом:
а) визначення загроз безпеці персональних даних під час їх обробки в інформаційних системах персональних даних;
б) застосування організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних;
в) застосування процедури оцінки відповідності засобів захисту інформації, що пройшли в установленому порядку;
г) оцінки ефективності заходів, що вживаються щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційних систем персональних даних;
д) обліку машинних носіївперсональних даних;
е) виявлення фактів несанкціонованого доступу до персональних даних та вжиття заходів щодо припинення несанкціонованого доступу;
ж) відновлення персональних даних, модифікованих чи знищених унаслідок несанкціонованого доступу до них;
з) встановлення правил доступу (пароль, логін та ін.) до персональних даних, що обробляються в інформаційних системах персональних даних, а також забезпечення реєстрації та обліку всіх дій, що здійснюються з персональними даними в інформаційних системах персональних даних.
14. Співробітники ЛПЗ, які мають доступ до інформаційних систем персональних даних, зобов'язані:
а) вживати заходів, що унеможливлюють несанкціонований доступ до використовуваних програмно-технічних засобів;
б) вести облік електронних носіїв інформації, що містять персональні дані, та здійснювати їх зберігання у металевих шафах або сейфах;
в) робити запис персональних даних (окремих файлів, баз даних) на електронні носії лише у випадках, регламентованих порядком роботи з персональними даними;
г) дотримуватися встановленого порядку та правил доступу до інформаційних систем, не допускати передачу персональних кодів та паролів до інформаційних систем персональних даних;
д) вживати всіх необхідних заходів для надійного збереження кодів та паролів доступу до інформаційних систем персональних даних;
е) працювати з інформаційними системами персональних даних обсягом своїх повноважень, не допускати їх перевищення;
ж) мати навички роботи з антивірусними програмами в обсязі, необхідному для виконання функціональних обов'язківта вимог щодо захисту інформації.
15. При роботі працівників ЛПЗ в інформаційних системах персональних даних забороняється:
а) записувати значення кодів та паролів доступу до інформаційних систем персональних даних;
б) передавати коди та паролі доступу до інформаційних систем персональних даних іншим особам;
в) користуватися в роботі кодами та паролями інших користувачів доступу до інформаційних систем персональних даних;
г) проводити підбір кодів та паролів доступу до інформаційних систем персональних даних інших користувачів;
д) записувати на електронні носії з персональними даними сторонні програми та дані;
е) копіювати інформацію з персональними даними на невраховані електронні носії інформації;
ж) виносити електронні носії з персональними даними за межі території ЛПЗ;
з) покидати робоче місцез увімкненим персональним комп'ютером без застосування апаратних або програмних засобів блокування, доступу до персонального комп'ютера;
і) приносити, самостійно встановлювати та експлуатувати на персональному комп'ютері будь-які програмні продукти, що не прийняті до експлуатації;
к) відкривати, розбирати, ремонтувати персональні комп'ютери, вносити зміни до конструкції, підключати позаштатні блоки та пристрої;
б) передавати інформацію, що містить персональні дані, що підлягають захисту, відкритими каналами зв'язку (факсимільний зв'язок, електронна поштата інше), а також використовувати відомості, що містять персональні дані, що підлягають захисту, у відкритому листуванні та під час переговорів по телефону.
16. Збір, систематизацію, накопичення, зберігання, оновлення, зміну, передачу, знищення (далі – обробка) документів працівників ЛПЗ,
17. Усі персональні дані мають бути отримані безпосередньо від працівників ЛПЗ.
18. Документи, що містять персональні дані, знищуються шляхом подрібнення в паперорізальній машині.
19. При зміні працівника, відповідального за облік документів на паперовому носії, що містять персональні дані, складається акт приймання-здачі цих матеріалів, який затверджується керівником відповідного структурного підрозділу ЛПЗ.
20. При роботі з документами на паперовому носії, що містять персональні дані, уповноважені на обробку персональних даних, працівники ЛПУ зобов'язані:
а) ознайомитися лише з тими документами, які містять персональні дані, до яких отримано доступ відповідно до службової необхідності;
б) зберігати у таємниці відомості ним відомості, що містять персональні дані, що підлягають захисту, інформувати безпосереднього керівника про факти порушення порядку роботи з персональними даними та про спроби несанкціонованого доступу до них;
в) про допущені порушення встановленого порядкуроботи, обліку та зберігання документів, що містять персональні дані, а також факти розголошення відомостей, що містять персональні дані, що підлягають захисту, представляти безпосереднім керівникам письмові пояснення.
21. Співробітники, винні у розголошенні чи втраті інформації, що містить персональні дані, несуть відповідальність відповідно до законодавства України.
22. Контроль за виконанням співробітниками ЛПУ вимог цих Правил покладається на керівників структурних підрозділівЛПЗ і призначеного наказом ЛПЗ відповідальної особи за організацію обробки персональних даних.
НАКАЗ
Про визначення меж контрольованої зони
З метою виключення неконтрольованого перебування сторонніх осіб при обробці персональних даних та відповідно до вимог Федерального закону від 27.07.2006 № 152-ФЗ «Про персональні дані», «Спеціальними вимогами та рекомендаціями щодо технічний захистконфіденційної інформації», затвердженими наказом Держтехкомісії України від 30.08.2002 за № 282, наказом ФСТЭК Росії від 18.02.2013 № 21 «Про затвердження складу та утримання організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних» рекомендаціями ФСБ Росії « Методичні рекомендаціїщодо забезпечення за допомогою криптозасобів безпеки персональних даних при їх обробці в інформаційних системах персональних даних з використанням засобів автоматизації» (утв. ФСБ РФ 21.02.2008 № 149/54-144)
НАКАЗУЮ:
2. Затвердити порядок доступу працівників ЛПЗ до приміщень, у яких ведеться обробка персональних даних.
3. Контроль за актуалізацією та виконанням цього наказу покласти на __________________________________________________________________.
(Посада, П.І.Б. співробітника)
Додаток до наказу
Міністерства охорони здоров'я
Свердловській області
від 20 жовтня 2015 р. N 1622-п Зразок НАЙМЕННЯ МЕДИЧНОЇ ОРГАНІЗАЦІЇ _________________________________________________________________________ від _____________ N _____________ ПРИКАЗ Про визначення меж контрольованої зониЗ метою виключення неконтрольованого перебування сторонніх осіб при обробці персональних даних та відповідно до вимог Федерального законувід 27.07.2006 N 152-ФЗ "Про персональні дані", "Спеціальними вимогами та рекомендаціями з технічного захисту конфіденційної інформації", затвердженими наказом Держтехкомісії України від 30.08.2002 за N 282, наказомФСТЕК України від 18.02.2013 N 21 "Про затвердження складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних", рекомендаціями ФСБ Росії " Методичні рекомендації щодо забезпечення за допомогою криптосредств безпеки персональних даних при їх обробці в інформаційних системах персональних даних із використанням засобів автоматизації(затв. ФСБ РФ 21.02.2008 N 149/54-144) наказую: 1. Кордонами контрольованої зони ___________________________________ (назва МО) вважати периметр огороджувальних конструкцій головного лікувального корпусу за адресою _________________________________________________________________. 2. Затвердити порядокдоступу працівників ____________________________ (назва МО) до приміщень, у яких ведеться обробка персональних даних. 3. Контроль за актуалізацією та виконанням цього наказу покласти на ___________________________________________________________. (Посада, П.І.Б. співробітника) Головний лікар ______________ (П.І.Б.)
Порядок доступу працівників (назва МО) до приміщень, в яких ведеться обробка персональних даних (Утв. наказом _____________________ від ______ N ____)(назва МО) 1. Цей Порядок доступу працівників _________________ (назва МО) до приміщень, у яких ведеться обробка персональних даних (далі - Порядок) розроблений відповідно до Федеральним закономвід 27.07.2006 N 152-ФЗ "Про персональні дані", ПостановоюУряди Російської Федерації від 21.03.2012 N 211 "Про затвердження переліку заходів, спрямованих на забезпечення виконання обов'язків, передбачених Федеральним законом "Про персональні дані". 2. Персональні дані відносяться до конфіденційної інформації. Посадові особи, уповноважені на обробку персональних даних, зобов'язані не розкривати третім особам і не поширювати персональні дані без згоди суб'єкта персональних даних, якщо інше не передбачено федеральним законом 3. Розміщення інформаційних систем, в яких обробляються персональні дані, здійснюється в приміщеннях, що охороняються, виключаючи можливість неконтрольованого проникнення і перебування в цих приміщеннях сторонніх осіб. 4. При зберіганні носіїв персональних даних повинні дотримуватися умови, що забезпечують збереження персональних даних та унеможливлюють несанкціонований доступ до них. технічні засоби, що дозволяють здійснювати обробку персональних даних, а також зберігаються носії інформації, допускаються лише посадові особи, уповноважені на обробку персональних даних наказом ___________________ (назва МО). 6. Відповідальними за організацію доступу до приміщень, у яких ведеться обробка персональних даних, є керівники структурних підрозділів ____________________________________________ (назва МО). 7. Знаходження осіб у приміщеннях (назва МО), призначених для обробки персональних даних, які не є уповноваженими на обробку персональних даних, можливе лише у супроводі працівника, уповноваженого на обробку персональних даних на час, обумовлений виробничою необхідністю. 8. Внутрішній контрольза дотриманням порядку доступу до приміщень, у яких ведеться обробка персональних даних, здійснюється відповідальним за організацію обробки персональних даних та відповідальним за безпеку персональних даних.
|
<< Приложение. |