Пн-Пт с 08:00 до 20:00

Правила осуществления внутреннего контроля соответствия обработки персональных данных

Приложение  № 2

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Правила

осуществления внутреннего контроля соответствия обработки персональных данных в ГБУ РД «Республиканский диагностический центр»

требованиям к защите персональных данных

 

  1. Общие положения

 

  • Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных в ГБУ РД «Республиканский диагностический центр» требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» (далее ‒ Правила) разработаны в соответствии с Федеральным законом от 27.07.2006  № 152-ФЗ «О персональных данных» и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
  1. Порядок осуществления внутреннего контроля
    соответствия обработки персональных данных     требованиям к защите персональных данных

 

  • В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ГБУ РД «Республиканский диагностический центр» (далее – РДЦ) проводятся периодические проверки условий обработки персональных данных.
  • Проверка соответствия обработки персональных данных требованиям к защите персональных данных проводится ответственным за организацию обработки персональных данных.
  • Плановые проверки условий обработки персональных данных проводятся на основании утвержденного руководителем РДЦ ежегодного плана внутренних проверок режима защиты персональных данных (плановые проверки), представленного в приложении к Положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ГБУ РД «Республиканский диагностический центр».
  • Внеплановые проверки проводятся на основании поступившей информации о нарушениях правил обработки персональных данных. Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных.
  • В проведении проверки условий обработки персональных данных не могут участвовать сотрудники РДЦ, прямо или косвенно заинтересованные в ее результатах.
  • Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест сотрудников РДЦ, участвующих в процессе обработки персональных данных.
  • При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:
  • порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
  • порядок и условия соблюдения парольной защиты;
  • порядок и условия соблюдения антивирусной защиты;
  • порядок и условия обеспечения резервного копирования;
  • эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
  • условия соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена;
  • порядок и условия обновления программного обеспечения и единообразия применяемого программного обеспечения на всех элементах информационной системы персональных данных;
  • порядок и условия применения средств защиты информации;
  • состояние учета носителей персональных данных;
  • соблюдение правил доступа к персональным данным;
  • соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
  • наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
  • мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
    • Проверка условий обработки персональных данных должна быть завершена не позднее чем через тридцать календарных дней со дня принятия решения о ее проведении.
    • По результатам проведенной проверки условий обработки персональных данных ответственный за организацию обработки персональных данных предоставляет руководителю РДЦ письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.

 

Приложение  № 3

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Правила работы с обезличенными данными в случае обезличивания персональных данных в ГБУ РД «Республиканский диагностический центр»

  1. Общие положения

 

  • Правила работы с обезличенными данными в случае обезличивания персональных данных в ГБУ РД «Республиканский диагностический центр» (далее – Правила) разработаны в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» и определяют условия обезличивания персональных данных, методы обезличивания персональных данных и порядок работы с обезличенными данными.
  1. Условия обезличивания персональных данных

 

  • В соответствии с Федеральным законом «О персональных данных» обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
  • Обезличивание персональных данных может быть проведено в статистических целях, в целях предупреждения ущерба от разглашения персональных данных, по достижении целей или в случае утраты необходимости в достижении этих целей, а также в иных целях, предусмотренных законодательством Российской Федерации.
  • Обезличивание персональных данных должно обеспечивать следующие свойства информации:
  • полноту (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
  • структурированность (сохранение структурных связей между обезличенными персональными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
  • релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
  • семантическую целостность (сохранение семантики (сути и смысла) персональных данных при их обезличивании);
  • применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных без предварительного деобезличивания всего объема записей о субъектах);
  • анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
    • Методы обезличивания персональных данных должны обладать следующими характеристиками:
  • обратимостью (возможностью преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
  • вариативностью (возможностью внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
  • изменяемостью (возможностью внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
  • стойкостью (стойкостью метода к атакам на идентификацию субъекта персональных данных);
  • возможностью косвенного деобезличивания (возможностью проведения деобезличивания с использованием информации других операторов);
  • совместимостью (возможностью интеграции персональных данных, обезличенных различными методами);
  • параметрическим объемом (возможностью определения объема дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
  • возможностью оценки качества данных (возможностью проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
    • Методы обезличивания персональных данных должны обладать следующими свойствами:
  • обратимостью (возможность проведения деобезличивания);
  • возможностью обеспечения заданного уровня анонимности;
  • увеличением стойкости при увеличении объема обезличиваемых персональных данных.
    • Получаемые обезличенные данные должны обладать следующими свойствами:
  • сохранением полноты (состав обезличенных данных должен полностью
  • соответствовать составу обезличиваемых персональных данных);
  • сохранением структурированности обезличиваемых персональных данных;
  • сохранением семантической целостности обезличиваемых персональных данных;
  • анонимностью отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k- anonymity).
    • Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
    • В ГБУ РД «Республиканский диагностический центр» (далее ‒ РДЦ) могут быть использованы следующие методы обезличивания:
  • метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
  • метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
  • метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
  • метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).
    • Описание методов обезличивания, обеспечиваемых ими свойств обезличенных данных, оценка свойств методов, требования к реализации методов приведены в приложении к настоящим Правилам.
    • Предложения о методах обезличивания вносит ответственный за обеспечение безопасности персональных данных в информационных системах персональных данных РДЦ. Решение о методах обезличивания персональных данных принимает руководитель РДЦ.
    • Ответственность за обезличивание персональных данных несут лица, замещающие должности, вошедшие в Перечень должностей служащих ГБУ РД «Республиканский диагностический центр», ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае обезличивания персональных данных.
  1. Порядок работы с обезличенными данными

 

  • Обезличенные персональные данные конфиденциальны и не подлежат разглашению.
  • Обезличенные персональные данные могут обрабатываться как с использованием, так и без использования средств автоматизации.
  • При обработке обезличенных персональных данных сотрудники РДЦ руководствуются настоящими Правилами.

 

Приложение

к Правилам работы с обезличенными данными в случае обезличивания персональных данных в ГБУ РД «Республиканский

диагностический центр»

 

Описание методов обезличивания

  1. Метод введения идентификаторов

 

  • Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
  • Метод обеспечивает следующие свойства обезличенных данных:
  • полнота;
  • структурированность;
  • семантическая целостность;
  • применимость.
    • Оценка свойств метода:
  • обратимость (метод позволяет провести процедуру деобезличивания);
  • вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
  • изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
  • стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
  • возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
  • совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
  • параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
  • возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
    • Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
  1. Метод изменения состава или семантики
    • Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
    • Метод обеспечивает следующие свойства обезличенных данных:
  • структурированность;
  • релевантность;
  • применимость;
  • анонимность.
    • Оценка свойств метода:
  • обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
  • вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
  • изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
  • стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
  • возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
  • совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
  • параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
  • возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).
    • Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта. При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).
  1. Метод декомпозиции

 

  • Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
  • Метод обеспечивает следующие свойства обезличенных данных:
  • полнота;
  • структурированность;
  • релевантность;
  • семантическая целостность;
  • применимость.
    • Оценка свойств метода:
  • обратимость (метод позволяет провести процедуру деобезличивания);
  • вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
  • изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
  • стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
  • возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
  • совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
  • параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);
  • возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
    • Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
  1. Метод перемешивания

 

  • Метод перемешивания реализуется путем перемешивания отдельных записей, а так же групп записей между собой.
  • Метод обеспечивает следующие свойства обезличенных данных:
  • полнота;
  • структурированность;
  • релевантность;
  • семантическая целостность;
  • применимость;
  • анонимность.
    • Оценка свойств метода:
  • обратимость (метод позволяет провести процедуру деобезличивания);
  • вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
  • изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
  • стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
  • возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
  • совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
  • параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
  • возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
    • Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.
    • Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.

 

 

Приложение  № 4

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Перечень должностей сотрудников ГБУ РД «Республиканский диагностический центр», ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае

обезличивания персональных данных

 

 

— Главный врач;

— Заместитель главного врача по ОМР;

— Заместитель главного врача по диагностике;

— Заместитель главного врача по экономике;

— Заместитель главного врача по технике;

— Главный бухгалтер;

— Консультант – бухгалтер;

— Регистратор — Кассир;

— Главный специалист – экономист;

— Ведущий специалист – бухгалтер;

— Специалист 1 категории;

— Консультант – юрист;

— Главный специалист – программист;

— Ведущий специалист – специалист по кадрам ;

— Инженер по охране труда;

— Специалист 1 категории – делопроизводитель;

— Главный специалист – начальник сектора;

— Начальник ИВЦ

— Главный программист ИВЦ

— Ведущий программист ИВЦ

— Инженер — программист ИВЦ

— Заведующая отделением регистратуры

— Регистратор

— Врач кабинета статистики

— Статист

— Заведующий отделением Функциональной Диагностики

— Врач отделения Функциональной Диагностики

— Медсестра отделения Функциональной Диагностики

— Заведующий отделением Эндоскопии

— Врач отделения Эндоскопии

— Медсестра отделения Эндоскопии

— Заведующий отделением УЗИ

— Врач отделения УЗИ

— Медсестра отделения УЗИ

— Заведующий отделением Рентгена

— Врач отделения Рентгена

— Медсестра отделения Рентгена

— Заведующий отделением Лаборатории

— Врач отделения Лаборатории

— Медсестра отделения Лаборатории

— Заведующий Хозрасчетным отделением

— Врач Хозрасчетного отделением

— Медсестра Хозрасчетного отделения

— Заведующий Республиканским Эндокринологическим Центром

— Врач Республиканского Эндокринологического Центра

— Медсестра Республиканского Эндокринологического Центра

— Заведующий Консультативной Поликлиникой

— Врач Консультативной Поликлиники

— Медсестра Консультативной Поликлиники

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение  № 5

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Перечень должностей сотрудников ГБУ РД «Республиканский диагностический центр», осуществляющих обработку персональных данных, либо

осуществляющие доступ к персональным данным

 

 

—  Главный врач;

— Заместитель главного врача по ОМР;

— Заместитель главного врача по диагностике;

— Заместитель главного врача по экономике;

— Заместитель главного врача по технике;

— Главный бухгалтер;

— Консультант – бухгалтер;

— Регистратор — Кассир;

— Главный специалист – экономист;

— Ведущий специалист – бухгалтер;

— Специалист 1 категории;

— Консультант – юрист;

— Главный специалист – программист;

— Ведущий специалист – специалист по кадрам ;

— Инженер по охране труда;

— Специалист 1 категории – делопроизводитель;

— Главный специалист – начальник сектора;

— Начальник ИВЦ

— Главный программист ИВЦ

— Ведущий программист ИВЦ

— Инженер — программист ИВЦ

— Заведующая отделением регистратуры

— Регистратор

— Врач кабинета статистики

— Статист

— Заведующий отделением Функциональной Диагностики

— Врач отделения Функциональной Диагностики

— Медсестра отделения Функциональной Диагностики

— Заведующий отделением Эндоскопии

— Врач отделения Эндоскопии

— Медсестра отделения Эндоскопии

— Заведующий отделением УЗИ

— Врач отделения УЗИ

— Медсестра отделения УЗИ

— Заведующий отделением Рентгена

— Врач отделения Рентгена

— Медсестра отделения Рентгена

— Заведующий отделением Лаборатории

— Врач отделения Лаборатории

— Медсестра отделения Лаборатории

— Заведующий Хозрасчетным отделением

— Врач Хозрасчетного отделением

— Медсестра Хозрасчетного отделения

— Заведующий Республиканским Эндокринологическим Центром

— Врач Республиканского Эндокринологического Центра

— Медсестра Республиканского Эндокринологического Центра

— Заведующий Консультативной Поликлиникой

— Врач Консультативной Поликлиники

— Медсестра Консультативной Поликлиники

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение  № 6

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Инструкция пользователя

информационных систем персональных данных
ГБУ РД «Республиканский диагностический центр»

  1. Общие положения

 

  • Пользователем информационных систем персональных данных (далее – Пользователь) является уполномоченный сотрудник ГБУ РД «Республиканский диагностический центр» (далее – РДЦ).
  • Пользователь должен знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы в сфере обработки персональных данных.
  • В своей деятельности, связанной с обработкой персональных данных, Пользователь руководствуется Политикой в отношении обработки персональных данных в ГБУ РД «Республиканский диагностический центр» и настоящей Инструкцией.
  • Пользователи, участвующие в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющие доступ к аппаратным средствам, программному обеспечению и обрабатываемой информации, несут персональную ответственность за свои действия.
    1. Обязанности и права пользователя информационных систем персональных данных

 

  • Пользователь обязан:

— соблюдать требования Политики в отношении обработки персональных данных в ГБУ РД «Республиканский диагностический центр»  и иных нормативных актов РДЦ, устанавливающих порядок работы с персональными данными;

— выполнять в информационных системах персональных данных (далее – ИСПДн) только те процедуры, которые необходимы для исполнения его должностных обязанностей;

— использовать для выполнения должностных обязанностей только предоставленное ему автоматизированное рабочее место (далее – АРМ) на базе персонального компьютера (автономной ПЭВМ);

— пользоваться только зарегистрированными в установленном порядке съемными (отчуждаемыми) машинными носителями информации;

— обеспечивать безопасное хранение вышеуказанных материальных носителей информации, исключающее несанкционированный доступ к ним;

— немедленно сообщать руководителю структурного подразделения или ответственному за обеспечение безопасности персональных данных в ИСПДн (далее – Ответственный) о нештатных ситуациях, фактах и попытках несанкционированного доступа к обрабатываемой информации, о блокировании, исчезновении (искажении) защищаемой информации;

— перед началом обработки в ИСПДн файлов, хранящихся на съемных носителях информации, Пользователь должен осуществлять проверку файлов на наличие компьютерных вирусов. Антивирусный контроль на АРМ должен осуществляться Пользователем не реже одного раза в неделю;

— располагать экран монитора в помещении во время работы так, чтобы исключалась возможность ознакомления с отображаемой на них информацией посторонними лицами;

— соблюдать установленный режим разграничения доступа к информационным ресурсам: получать пароль, надежно его запоминать и хранить в тайне.

  • Пользователям ИСПДн запрещается:

— записывать и хранить информацию, относящуюся к конфиденциальной информации или персональным данным, на неучтенных материальных носителях информации;

— оставлять во время работы материальные носители информации без присмотра, не санкционированно передавать материальные носители информации другим лицам и выносить их за пределы помещения, в котором производится обработка информации;

— отключать средства антивирусной защиты;

— отключать (блокировать) средства защиты информации;

— производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств;

— самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;

— обрабатывать в ИСПДн информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам ИСПДн;

— сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам в ИСПДн;

— работать в ИСПДн при обнаружении каких-либо неисправностей;

— хранить на учтенных носителях информации программы и данные, не относящиеся к рабочей информации;

— вводить в ИСПДн персональные данные под диктовку или с микрофона;

— привлекать посторонних лиц для производства ремонта технических средств ИСПДн без согласования с Ответственным.

  • Пользователь имеет право знакомиться с внутренними документами РДЦ, регламентирующими его обязанности по занимаемой должности.
    1. Организация парольной защиты при работе на объектах информатизации
  • Пароли доступа к ИСПДн устанавливаются Ответственным или Пользователем.
  • При формировании пароля необходимо руководствоваться следующими требованиями:

— длина пароля должна быть не менее 8-и буквенно-цифровых символов;

— пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования АРМ, общепринятые сокращения) и другие данные, которые могут быть подобраны злоумышленником путем анализа информации;

— запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;

— запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);

— при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;

— в числе символов пароля, обязательно должны присутствовать буквы в верхнем и нижнем регистрах, а также цифры;

— запрещается использовать ранее использованные пароли.

  • При организации парольной защиты запрещается:

— записывать свои пароли в очевидных местах, внутренности ящика стола, на мониторе ПЭВМ, на обратной стороне клавиатуры и т.д.;

— хранить пароли в записанном виде на отдельных листах бумаги;

— сообщать свои пароли посторонним лицам, а также сведения о применяемых средствах защиты от НСД.

  1. Порядок применения парольной защиты

 

  • Плановую смену паролей на доступ в ИСПДн рекомендуется проводить один раз в месяц.
  • Пользователь обязан незамедлительно сообщить Ответственному факты утраты, компрометации ключевой, парольной и аутентифицирующей информации.
  • Внеплановая смена личного пароля должна производиться в обязательном порядке в следующих случаях:

— компрометации (подозрении на компрометацию) пароля;

— в случае прекращения полномочий (увольнение, переход на другую работу внутри организации) Пользователя (в течение 24 часов после окончания последнего сеанса работы данного с ИСПДн);

— по инициативе Ответственного.

 

  1. Технология обработки персональных данных

 

  • При первичном допуске к работе с ИСПДн Пользователь:

— проходит инструктаж по использованию ИСПДн;

  • — знакомится с требованиями нормативно-правовых, руководящих и организационно-распорядительных документов, регламентирующих обработку и обеспечение безопасности персональных данных;

— получает у Ответственного идентификатор и личный пароль для входа в ИСПДн.

  • Перед началом работы Пользователь визуально проверяет целостность пломб, убеждается в отсутствии посторонних технических средств, включает необходимые средства вычислительной техники.
  • Авторизацию в ИСПДн (ввод личного идентификатора и пароля) Пользователь осуществляет при отсутствии в помещении посторонних лиц.
  • В процессе работы на АРМ ИСПДн Пользователь использует технические средства и установленное Ответственным программное обеспечение согласно Техническому паспорту ИСПДн.
  • Копирование персональных данных на электронные носители информации осуществляется только при наличии производственной необходимости и только на учтенные электронные носители информации.
  • При необходимости создания на АРМ Пользователя дополнительных электронных документов, содержащих персональные данные, Пользователь создает и хранит такие документы в строго отведенном для этого месте.
  • Печать документов, содержащих персональные данные, осуществляется только при наличии производственной необходимости на принтер, подключенный Ответственным к АРМ Пользователя. Все бумажные носители, не подлежащие учету по каким-либо техническим или иным причинам (сбой принтера при печати, обнаружение ошибок в документе после распечатки и т.д.) уничтожаются незамедлительно с применением уничтожителей бумаги. Распечатанные черновые бумажные варианты вновь создаваемых документов, содержащих персональные данные, уничтожаются с применением уничтожителей бумаги незамедлительно после подписания (утверждения) окончательного варианта документа.
  • В случае возникновения необходимости временно покинуть рабочее помещение во время работы в ИСПДн, Пользователь обязан выключить компьютер, либо заблокировать его, для чего нужно нажать комбинацию клавиш <Ctrl-Alt-Del> и выбрать в диалоговом окне кнопку «Блокировать». Разблокирование компьютера производится набором пароля разблокировки, который был создан при настройке системы блокировки АРМ. При отсутствии в покидаемом помещении других служащих РДЦ, Пользователь обязан закрыть дверь помещения на ключ или другой используемый ограничитель доступа.
  • Покидая рабочее помещение в конце рабочего дня, Пользователь обязан выключить все необходимые средства вычислительной техники и закрыть дверь помещения на ключ.

 

 

Приложение  № 7

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Перечень мест хранения материальных (бумажных и машинных) носителей персональных данных в ГБУ РД «Республиканский диагностический центр»

№ п/п номер кабинета Адрес и место расположения
Эндоскопия
1 206 г. Махачкала ул. Магомедтагирова, 172 «б»
2 209 г. Махачкала ул. Магомедтагирова, 172 «б»
3 212 г. Махачкала ул. Магомедтагирова, 172 «б»
4 241 г. Махачкала ул. Магомедтагирова, 172 «б»
5 210 г. Махачкала ул. Магомедтагирова, 172 «б»
Хозрасчетное отделение
6 224  г. Махачкала ул. Магомедтагирова, 172 «б»
7 222 г. Махачкала ул. Магомедтагирова, 172 «б»
8 235 г. Махачкала ул. Магомедтагирова, 172 «б»
9 233 г. Махачкала ул. Магомедтагирова, 172 «б»
10 217 г. Махачкала ул. Магомедтагирова, 172 «б»
Функциональная диагностика
10 322 г. Махачкала ул. Магомедтагирова, 172 «б»
11 313 г. Махачкала ул. Магомедтагирова, 172 «б»
12 311 г. Махачкала ул. Магомедтагирова, 172 «б»
13 317 г. Махачкала ул. Магомедтагирова, 172 «б»
14 314 г. Махачкала ул. Магомедтагирова, 172 «б»
15 319 г. Махачкала ул. Магомедтагирова, 172 «б»
16 318 г. Махачкала ул. Магомедтагирова, 172 «б»
17 323 г. Махачкала ул. Магомедтагирова, 172 «б»
УЗИ
18 304 г. Махачкала ул. Магомедтагирова, 172 «б»
19 303 г. Махачкала ул. Магомедтагирова, 172 «б»
20 305 г. Махачкала ул. Магомедтагирова, 172 «б»
21 332 г. Махачкала ул. Магомедтагирова, 172 «б»
22 306 г. Махачкала ул. Магомедтагирова, 172 «б»
23 307 г. Махачкала ул. Магомедтагирова, 172 «б»
24 309 г. Махачкала ул. Магомедтагирова, 172 «б»
25 331 г. Махачкала ул. Магомедтагирова, 172 «б»
26 308 г. Махачкала ул. Магомедтагирова, 172 «б»
Рентген
27 26/28 г. Махачкала ул. Магомедтагирова, 172 «б»
28 21/43 г. Махачкала ул. Магомедтагирова, 172 «б»
29 20/43 г. Махачкала ул. Магомедтагирова, 172 «б»
30 129 г. Махачкала ул. Магомедтагирова, 172 «б»
31 30 г. Махачкала ул. Магомедтагирова, 172 «б»
32 24 г. Махачкала ул. Магомедтагирова, 172 «б»
33 11 г. Махачкала ул. Магомедтагирова, 172 «б»
34 1 г. Махачкала ул. Магомедтагирова, 172 «б»
35 27 г. Махачкала ул. Магомедтагирова, 172 «б»
РЭЦ
36 100 г. Махачкала ул. Магомедтагирова, 172 «б»
37 109 г. Махачкала ул. Магомедтагирова, 172 «б»
38 110 г. Махачкала ул. Магомедтагирова, 172 «б»
39 211 г. Махачкала ул. Магомедтагирова, 172 «б»
40 111 г. Махачкала ул. Магомедтагирова, 172 «б»
Поликлиника
40 16 г. Махачкала ул. Магомедтагирова, 172 «б»
41 10 г. Махачкала ул. Магомедтагирова, 172 «б»
42 14 г. Махачкала ул. Магомедтагирова, 172 «б»
43 15 г. Махачкала ул. Магомедтагирова, 172 «б»
44 3 г. Махачкала ул. Магомедтагирова, 172 «б»
45 26 г. Махачкала ул. Магомедтагирова, 172 «б»
46 17 г. Махачкала ул. Магомедтагирова, 172 «б»
47 9 г. Махачкала ул. Магомедтагирова, 172 «б»
48 12 г. Махачкала ул. Магомедтагирова, 172 «б»
Лаборатория
49 436 г. Махачкала ул. Магомедтагирова, 172 «б»
Справочный стол
50 г. Махачкала ул. Магомедтагирова, 172 «б»
Отдел Статистики
51 232 г. Махачкала ул. Магомедтагирова, 172 «б»
52 27 г. Махачкала ул. Магомедтагирова, 172 «б»
Регистратурный отдел
53 Регистратура поликлиники г. Махачкала ул. Магомедтагирова, 172 «б»
54 Регистратура РЭЦ г. Махачкала ул. Магомедтагирова, 172 «б»
55 Регистратура РДЦ г. Махачкала ул. Магомедтагирова, 172 «б»
Информационно-вычислительный центр
56 239 г. Махачкала ул. Магомедтагирова, 172 «б»
57 214 г. Махачкала ул. Магомедтагирова, 172 «б»
58 215 г. Махачкала ул. Магомедтагирова, 172 «б»
Аппарат управления
59 113 г. Махачкала ул. Магомедтагирова, 172 «б»
60 110 г. Махачкала ул. Магомедтагирова, 172 «б»
Отдел кадрового, документационно-информационного и правового обеспечения
61 140 г. Махачкала ул. Магомедтагирова, 172 «б»
Отдел экономического и бухгалтерского учета
62 103 г. Махачкала ул. Магомедтагирова, 172 «б»

 

 

 

 

 

Приложение  № 8

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

 

 

Журнал учета отчуждаемых машинных носителей персональных данных

 

Учет­ный/ ре­гис­тра­ци­он­ный (за­вод­ской) но­мер Да­та
пос­та­нов­ки
на учет
Вид ма­шин­но­го но­си­те­ля Мес­то хра­не­ния (раз­ме­ще­ния)* Ли­цо, от­вет­ствен­ное за ис­поль­зо­ва­ние

и хра­не­ние

От­мет­ка об

унич­то­же­нии

Ф.И.О., должность Да­та по­лу­че­ния Под­пись Да­та
воз­вра­та
Под­пись Дата и № акта Под­пись от­вет­ствен­но­го ли­ца
1 2 3 4 5 6 7 8 9 10 11
                     
                     
                     
                     

 

* в случае если на отчуждаемом машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов)

 

 

 

Приложение  № 9

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Порядок доступа сотрудников ГБУ РД «Республиканский диагностический центр» в помещения, в которых осуществляется обработка персональных данных и размещены информационные системы персональных данных

 

Настоящий Порядок регламентирует условия и порядок осуществления доступа сотрудников ГБУ РД «Республиканский диагностический центр» (далее – РДЦ) в помещения, в которых осуществляется обработка персональных данных и размещены информационные системы персональных данных (далее – Помещения) в целях организации режима обеспечения безопасности информации, содержащей персональные данные, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих прав доступа.

Настоящий Порядок разработан в соответствии с требованиями Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006  № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013  № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Для Помещений организуется режим обеспечения безопасности, при котором обеспечивается сохранность технических средств обработки персональных данных, средств защиты информации и носителей персональных данных, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

В помещения, где размещены информационные системы, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, содержащей персональные данные, допускаются только сотрудники РДЦ, уполномоченные на обработку персональных данных. Перечень сотрудников, осуществляющих обработку персональных данных и имеющих доступ к персональным данным, обрабатываемым в информационных системах персональных данных (далее – Сотрудники), утверждается нормативным актом РДЦ. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

Нахождение в Помещениях посторонних лиц допускается только в сопровождении сотрудников РДЦ.

Уборка и техническое обслуживание помещений допускаются только в присутствии сотрудников РДЦ.

О попытках неконтролируемого проникновения посторонних лиц в Помещения необходимо незамедлительно сообщать руководителю структурного подразделения РДЦ.

Двери Помещений должны быть оборудованы механическими замками.

Перед началом рабочего (служебного) времени сотрудники РДЦ  берут ключи от Помещений с внесением записи в журнал.

В течение рабочего (служебного) времени ключи от Помещений хранятся у сотрудников РДЦ.

По окончании рабочего (служебного) времени сотрудники РДЦ  закрывают помещения и сдают ключи с внесением записи в журнал.

Внутренний контроль за соблюдением порядка доступа в помещения проводится лицом, ответственным за организацию обработки персональных данных.

 

Приложение  № 10

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Инструкция

ответственного за обеспечение безопасности персональных данных

 в ГБУ РД «Республиканский диагностический центр»

  1. Общие положения

 

Ответственный за обеспечение безопасности персональных данных в информационных системах персональных данных ГБУ РД «Республиканский диагностический центр» (далее – Ответственный) назначается приказом ГБУ РД «Республиканский диагностический центр» (далее – РДЦ) и отвечает за обеспечение конфиденциальности, целостности и доступности персональных данных (далее – ПДн) в процессе их обработки в информационных системах персональных данных (далее – ИСПДн) РДЦ.

Ответственный должен знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы в сфере обработки и защиты ПДн.

В своей деятельности Ответственный руководствуется Политикой в отношении обработки персональных данных в ГБУ РД «Республиканский диагностический центр», настоящей Инструкцией, рекомендациями Ответственного за организацию обработки персональных данных (далее – Ответственный за организацию обработки ПДн).

  1. Основные функции и обязанности ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных

Функции Ответственного.

Ответственный изучает все стороны деятельности РДЦ и вырабатывает рекомендации по защите ПДн при решении следующих основных вопросов:

— проведение аналитической работы по комплексной защите и предупреждению утечки ПДн;

— подготовка решений в отношении сведений о работах, выполняемых РДЦм, подлежащих защите;

— координация внедрения и эксплуатации систем защиты и безопасности информации, обрабатываемой техническими средствами;

— проведение работ по контролю эффективности принимаемых мер по выявлению и закрытию возможных каналов утечки ПДн;

— подготовка предложений по совершенствованию действующей системы защиты ПДн с последующим предоставлением Ответственному за организацию обработки ПДн РДЦ;

— учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПДн;

— обеспечение соответствия проводимых работ в части обработки ПДн технике безопасности, правилам и нормам охраны труда;

— осуществление в пределах своей компетенции иных функций в соответствии с целями и задачами РДЦ.

Ответственный обязан:

— соблюдать требования нормативно-правовых и организационно-распорядительных документов по обеспечению безопасности ПДн при их обработке в ИСПДн;

— знать состав, структуру, назначение и выполняемые задачи ИСПДн, а также состав информационных технологий и технических средств, позволяющих осуществлять обработку ПДн;

— осуществлять общее техническое сопровождение ИСПДн;

— контролировать соблюдение требований по размещению и использованию технических средств, указанных в инструкциях по эксплуатации этих средств;

— контролировать сохранность пломб на оборудовании автоматизированных рабочих мест;

— вести журнал учета и выдачи используемых материальных носителей ПДн;

— контролировать использование съемных материальных носителей информации, в том числе запрещать использование неучтенных носителей информации;

— проводить инструктаж сотрудников, осуществляющих обработку ПДн и имеющих доступ к ПДн, обрабатываемым в ИСПДн РДЦ (далее – Пользователи ИСПДн) по правилам работы в ИСПДн;

— осуществлять настройку и сопровождение подсистемы регистрации и учета ИСПДн:

— реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (том, каталог, файл, запись, поле записи) на основе утвержденного руководителем списка сотрудников, допущенных к работе в ИСПДн;

— назначать пароли Пользователей ИСПДн;

— контролировать плановую смену паролей Пользователями ИСПДн для доступа в ИСПДн;

— своевременно удалять профиль Пользователя ИСПДн при увольнении или переводе сотрудника;

— вводить в базу данных системы защиты от несанкционированного доступа (далее – НСД) описания событий, подлежащих регистрации в системном журнале;

— регулярно проводить анализ системного журнала для выявления попыток несанкционированного доступа к ИСПДн;

— своевременно информировать Ответственного за организацию обработки ПДн о несанкционированных действиях персонала для организации расследования попыток НСД;

— сопровождать подсистему обеспечения целостности рабочего программного обеспечения (ПО) ИСПДн:

— обеспечивать регулярное и своевременное обновление антивирусного программного обеспечения РДЦ;

— обеспечивать поддержание установленного порядка эксплуатации антивирусного программного обеспечения;

— обеспечивать регулярное и своевременное создание резервных копий ИСПДн РДЦ;

— осуществлять настройку и сопровождение системы защиты от НСД в ИСПДн;

— проводить периодическое тестирование функций системы защиты от НСД при изменении программной среды и полномочий Пользователей ИСПДн;

— требовать прекращения обработки ПДн в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;

— участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и служебных расследований фактов НСД;

— участвовать при проведении внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн;

— контролировать выполнение Пользователями ИСПДн требований Инструкции пользователя информационных систем персональных данных РДЦ, а также установленных требований для обеспечения уровней защищенности ПДн;

— контролировать правильность применения Пользователями ИСПДн средств защиты информации.

В случае получения от Пользователей ИСПДн информации о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, а также любой другой информации ограниченного доступа, незамедлительно принять все необходимые меры для обеспечения безопасности ПДн в пределах своих полномочий.

Обеспечивать функционирование и поддерживать работоспособность на автоматизированных рабочих местах ИСПДн:

— антивирусного программного обеспечения;

— средств защиты от несанкционированного доступа.

В случае нарушения работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты ИСПДн, принимать меры по их своевременному восстановлению и выявлению причин, приведших к нарушению работоспособности.

Своевременно информировать Ответственного за организацию обработки ПДн о выявленных нарушениях требований по обеспечению безопасности ПДн и попытках несанкционированного доступа к ИСПДн.

  1. Права ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных

 

Ответственный имеет право:

— знакомиться с нормативными актами РДЦ, регламентирующими процессы обработки и защиты ПДн;

— вносить предложения руководителю РДЦ по совершенствованию существующей системы защиты информации;

— привлекать по согласованию с Ответственным за организацию обработки ПДн и руководителем РДЦ к работе по созданию и совершенствованию системы защиты ПДн других сотрудников РДЦ;

— требовать от Пользователей ИСПДн соблюдения требований Инструкции пользователя информационных систем персональных данных РДЦ и иных нормативно-правовых и организационно-распорядительных документов по обеспечению безопасности ПДн;

— участвовать в работе по совершенствованию мероприятий, обеспечивающих безопасность ПДн, вносить свои предложения по совершенствованию организационных и технических мер защиты ПДн в ИСПДн;

— инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения безопасности ПДн;

— требовать прекращения работы в ИСПДн, как в целом, так и отдельных Пользователей ИСПДн, в случае выявления нарушений требований по обеспечению безопасности ПДн или в связи с нарушением функционирования ИСПДн;

— обращаться за необходимыми разъяснениями по вопросам обработки и обеспечения безопасности ПДн к Ответственному за организацию обработки ПДн.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение  № 11

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Уведомление о факте обработки персональных данных без использования средств автоматизации

 

Я,   ,
  (фамилия, имя, отчество)  
паспорт серии      
выдан    
   
 

дата выдачи «____»____________ ____г.

 
   
Работающий(ая) в должности  
   
(должность, наименование структурного подразделения)  
проинформирован(а):

— о факте обработки мною персональных данных, обработка которых осуществляется ГБУ РД «Республиканский диагностический центр» (далее — Оператор) без использования средств автоматизации*;

— о категориях обрабатываемых персональных данных;

— о правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Оператора.

 

* обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

 
 

Я предупрежден(а) о том, что в случае нарушения установленного законодательством Российской Федерации порядка сбора, хранения, использования или распространения персональных данных я несу ответственность, предусмотренную ст. 13.11 КоАП РФ.

 

 
           
(дата)   (подпись)   (расшифровка подписи)  

Приложение  № 12

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Обязательство о соблюдении конфиденциальности персональных данных

 

Я,   ,
  (фамилия, имя, отчество)  
паспорт серии      
выдан    
   
 

дата выдачи«____» _______________ _____г.

 
 

работающий(ая) в должности

 
   
(должность, наименование структурного подразделения)  
предупрежден(а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства:

1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.

2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.

3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.

4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.

5. После расторжения со мной служебного контракта (трудового договора) не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.

 

 

 

Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных, или их утраты я несу ответственность, предусмотренную КоАП РФ.

 

         
(дата)   (подпись)   (расшифровка подписи)

 

 

Приложение  № 13

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Форма ознакомления с положениями законодательства Российской Федерации о персональных данных, локальными актами ГБУ РД «Республиканский диагностический центр» по вопросам обработки персональных данных

 

Я,   ,
  (фамилия, имя, отчество)  
паспорт серии      
выдан    
   
 

дата выдачи «____» _______________ _____г.

 
 

работающий(ая) в должности

 
   
(должность, наименование структурного подразделения)  
ознакомлен(а) с

— положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных (Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»);

— документом, определяющим политику ГБУ РД «Республиканский диагностический центр» в отношении обработки персональных данных (Политика в отношении обработки персональных данных в ГБУ РД «Республиканский диагностический центр»);

— локальными актами ГБУ РД «Республиканский диагностический центр» по вопросам обработки персональных данных.

 

 

 

         
(дата)   (подпись)   (расшифровка подписи)

 

Приложение  № 14

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Типовое обязательство о прекращении обработки персональных данных в случае расторжения трудового договора

 

Я,   ,
  (фамилия, имя, отчество)  
паспорт серии     , выдан  
 
 
  дата выдачи «___»____________ ______г.
 

работающий(ая) в должности

 
(должность, наименование структурного подразделения)

 

Настоящим добровольно принимаю на себя обязательства:

1.     Прекратить обработку персональных данных субъектов персональных данных, которые мне доверены в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта (трудового договора).

2.     После расторжения со мной служебного контракта (трудового договора) не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.

 

 

         
(дата)   (подпись)   (расшифровка подписи)

 

Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных я несу ответственность, предусмотренную КоАП РФ.

 

 

         
(дата)   (подпись)   (расшифровка подписи)

 

 

Приложение  № 15

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные

 

Я,   ,
  (фамилия, имя, отчество)  
паспорт серии     , выдан  
 
 
  дата выдачи «___»____________ ______г.
 

получил(а) разъяснения о юридических последствиях отказа предоставить свои персональные данные ГБУ РД «Республиканский диагностический центр»  в соответствии с законодательством Российской Федерации.

В соответствии со статьей 65 Трудового кодекса РФ субъект персональных данных, при заключении трудового договора, обязан представить определенный перечень информации о себе.

Без предоставления субъектом персональных данных обязательных для заключения трудового договора сведений, трудовой договор не может быть заключен.

На основании статьи пункта 11 статьи 77 Трудового кодекса Российской Федерации трудовой договор прекращается вследствие нарушения установленных Трудовым кодексом РФ  или иными федеральными законами правил заключения трудового договора, если это нарушение исключает возможность продолжения работы

 

 

 

         
(дата)   (подпись)   (расшифровка подписи)

 

 

Приложение  № 16

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Уведомление о получении персональных данных от третьих лиц

 

Уважаемый(ая)   !
  (фамилия, имя, отчество)  
На основании  
 
 
ГБУ РД «Республиканский диагностический центр»  (далее — Оператор) получена от
 
 
(наименование и адрес организации)
 

следующая информация, содержащая Ваши персональные данные:

 
 
 
с целью:  
 

предполагаемые пользователи

 

 

Вы имеете право:

— на полную информацию о Ваших персональных данных, обрабатываемых Оператором;

— на свободный бесплатный доступ к Вашим персональным данным, включая право на получение копий любой записи, содержащей Ваши персональные данные, за исключением случаев, предусмотренных действующим законодательством;

— требовать от Оператора уточнения Ваших персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, получать иную информацию, касающуюся обработки Ваших персональных данных.

 

 

         
(дата)   (подпись)   (расшифровка подписи)
 

 

Настоящее уведомление на руки получил:

 

         
(дата)   (подпись)   (расшифровка подписи)

 

 

Приложение  № 17

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Уведомление об уничтожении, изменении, прекращении обработки, устранении нарушений, допущенных при обработке персональных данных

 

Уважаемый(ая)   !
  (фамилия, имя, отчество)  
В связи с  
 
 
 
 
 
 
(причина)

 

сообщаем Вам, что ГБУ РД «Республиканский диагностический центр» прекращена обработка Ваших персональных данных и указанная информация подлежит уничтожению (изменению).

 

 
 
 
 
(информация, содержащая персональные данные)

 

 

         
(дата)   (подпись)   (расшифровка подписи)

 

 

Настоящее уведомление на руки получил:

 

         
(дата)   (подпись)   (расшифровка подписи)

 

 

Приложение  № 18

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Акт на списание и уничтожение

машинных (бумажных) носителей информации

 

Комиссия в составе:

 

Председатель комиссии:
   
Члены комиссии:
   
   
   
   

 

составила настоящий акт в том, что перечисленные в нем машинные (бумажные) носители информации подлежат уничтожению как утратившие практическое значение и непригодные для перезаписи.

 

№ п/п Вид но­си­те­ля Учет­ный но­мер но­си­те­ля Да­та пос­туп­ле­ния Крат­кое со­дер­жа­ние ин­фор­ма­ции
         
         
         
         

 

Всего подлежит списанию и уничтожению __________________ наименований машинных (бумажных) носителей информации.                                                                                          (прописью)

 

 

 

 

Правильность произведенных записей в акте проверил:

 

 
(подпись)

 

Машинные (бумажные) носители информации перед уничтожением сверили с записями в акте и полностью уничтожили путем

 
 

 

«_____»_______________20___г.

 

Председатель комиссии:
   
   
   
   
   
   
 
Члены комиссии:

 

 

 

 

 

 

 

 

 

 

 

 

Приложение  № 19

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Журнал учета передачи персональных данных

 

Све­де­ния о зап­ра­ши­ваю­щем ли­це Сос­тав зап­ра­ши­вае­мых пер­со­наль­ных дан­ных Цель по­лу­че­ния пер­со­наль­ных дан­ных От­мет­ка о пе­ре­да­че или от­ка­зе в пе­ре­да­че пер­со­наль­ных дан­ных Дата пе­ре­да­чи/от­ка­за в пе­ре­да­че пер­со­наль­ных дан­ных Под­пись от­вет­ствен­но­го сот­руд­ни­ка
1 2 3 4 5 6 7
             
             
             
             
             
             
             
             
             
             
             
             
             
             

 

 

Приложение  № 20

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Журнал учета обращений субъектов персональных данных

 

Све­де­ния об об­ра­тив­шем­ся субъекте

пер­со­наль­ных дан­ных

Крат­кое со­дер­жа­ние

об­ра­ще­ния

(цель по­лу­че­ния

ин­фор­ма­ции)

От­мет­ка о пре­дос­тав­ле­нии или

от­ка­зе в

пре­дос­тав­ле­нии

ин­фор­ма­ции

Да­та пе­ре­да­чи/

от­ка­за в

предо­ста­вле­нии ин­фор­ма­ции

Под­пись

об­ра­тив­ше­го­ся субъекта

пер­со­наль­ных дан­ных

Под­пись

от­вет­ствен­но­го

 сот­руд­ни­ка

1 2 3 4 5 6 7
             
             
             
             
             
             
             
             
             
             
             
             
             
             

 

Приложение  № 21

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

Журнал учета ознакомления сотрудников с порядком обработки персональных данных и изменениями в законодательстве в области защиты персональных данных

 

ФИО сотрудника Должность сотрудника Дата ознакомления Под­пись сотрудника
1 2 3 4 5
Суть ознакомления (обучение сотрудников/ изменение в законодательстве), ФИО сотрудника, ответственного за ознакомление

 

         
         
         
         
         
         
         
         
         
         
         
         
         

 

 

Приложение  № 22

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

 

ПОЛОЖЕНИЕ

по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

ГБУ РД «Республиканский диагностический центр»

  1. Общие положения
    • Настоящее Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ГБУ РД «Республиканский диагностический центр» (далее – Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013  № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
    • Цель разработки настоящего Положения – установление порядка организации и проведения работ по обеспечению безопасности персональных данных (далее – ПДн) в информационных системах персональных данных (далее – ИСПДн) ГБУ РД «Республиканский диагностический центр» (далее – РДЦ, Оператор) на протяжении всего жизненного цикла ИСПДн.
  2. Термины и определения
    • В настоящем Положении используются следующие термины и их определения:

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания, если иное не предусмотрено федеральным законом.

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы РДЦ базами данных и т.п.), средства защиты информации).

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

  1. Порядок организации и проведения работ по обеспечению безопасности персональных данных
    • Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн, реализуемых в рамках создаваемой системы защиты персональных данных (далее – СЗПДн).
    • СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн, уровня защищенности ПДн, который необходимо обеспечить, и информационных технологий, используемых в информационных системах.
    • Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность ПДн при их обработке в информационной системе.
    • Выбор средств защиты информации для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации (далее – ФСБ России) и Федеральной службой по техническому и экспортному контролю (далее – ФСТЭК России) во исполнение Федерального закона «О персональных данных».
    • Структура, состав и основные функции СЗПДн определяются исходя из уровня защищенности ПДн при их обработке в ИСПДн.
    • СЗПДн создается в три этапа:

Этап 1. Предпроектное обследование ИСПДн и разработка технического задания на создание СЗПДн.

Этап 2. Проектирование СЗПДн, закупка, установка, настройка необходимых средств защиты информации.

Этап 3. Ввод ИСПДн с СЗПДн в эксплуатацию.

  • Этап 1. Проведение предпроектного обследования и разработка технического задания на создание СЗПДн.
    • Назначение ответственного за организацию обработки ПДн РДЦ.
    • Создание комиссии по определению уровня защищенности ПДн при их обработке в ИСПДн РДЦ.
    • Определение целей обработки ПДн в РДЦ.
    • Определение перечня ИСПДн в РДЦ и состава ПДн, обрабатываемых в ИСПДн.
    • Определение перечня обрабатываемых в РДЦ ПДн.
    • Определение сроков обработки и хранения ПДн, исходя из требования, что ПДн не должны храниться дольше, чем этого требуют цели обработки этих ПДн, по достижению которых ПДн подлежат уничтожению.
    • Определение перечня используемых в ИСПДн (предлагаемых к использованию в ИСПДн) общесистемных и прикладных программных средств.
    • Определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах.
    • Назначение ответственного за обеспечение безопасности ПДн в ИСПДн (далее – Ответственный) для разработки и осуществления технических мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн. Для каждой ИСПДн может быть назначен отдельный Ответственный.
    • Назначение ответственного пользователя криптосредств, обеспечивающего функционирование и безопасность криптосредств, предназначенных для обеспечения безопасности ПДн. Утверждение перечня лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности ПДн в ИСПДн (пользователей криптосредств).
    • Определение перечня помещений, в которых размещены ИСПДн и материальные носители ПДн.
    • Определение конфигурации и топологии ИСПДн в целом и их отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения.
    • Определение технических средств и систем, используемых в ИСПДн, включая условия их расположения.
    • Формирование технических паспортов ИСПДн.
    • Разработка организационно-распорядительных документов (далее – ОРД), регламентирующих процесс обработки и защиты ПДн:
  • Политика в отношении обработки персональных данных;
  • Инструкции (ответственного за организацию обработки ПДн, ответственного за обеспечение безопасности ПДн в ИСПДн, пользователя ИСПДн, ответственного пользователя крипто средств);
  • Раздел должностных инструкций сотрудников РДЦ в части обеспечения безопасности ПДн при их обработке, включая установление персональной ответственности за нарушения правил обработки ПДн.
    • Получение (при необходимости) согласия на обработку ПДн субъектом ПДн, подписание обязательства о соблюдении конфиденциальности ПДн сотрудником РДЦ.
    • Утверждение форм уведомлений субъектов ПДн и форм журналов, необходимых в целях обеспечения безопасности ПДн.
    • Определение уровня защищенности ПДн при их обработке в ИСПДн в соответствии с «Требованиями к защите ПДн при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства Российской Федерации от 01.11.2012 № 1119 (подготовка и утверждение акта определения уровня защищенности ПДн при их обработке в ИСПДн).
    • Определение типа угроз безопасности ПДн, актуальных для информационной системы, с учетом оценки возможного вреда в соответствии с нормативными правовыми актами, принятыми во исполнение Федерального закона «О персональных данных». Определение угроз безопасности ПДн в конкретных условиях функционирования ИСПДн (разработка моделей угроз безопасности ПДн при их обработке в ИСПДн).
    • Формирование технического задания на разработку СЗПДн по результатам предпроектного обследования на основе нормативно-методических документов ФСТЭК России и ФСБ России с учетом установленного уровня защищенности ПДн при их обработке в ИСПДн.

Техническое задание на разработку СЗПДн должно содержать:

  • обоснование разработки СЗПДн;
  • исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;
  • уровень защищенности ПДн при их обработке в ИСПДн;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн, и приниматься в эксплуатацию ИСПДн;
  • конкретизацию мероприятий и требований к СЗПДн;
  • состав и содержание работ по этапам разработки и внедрения СЗПДн;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации.
  • Этап 2. Проектирование СЗПДн, закупка, установка, настройка и опытная эксплуатация необходимых средств защиты информации.
    • Создание СЗПДн является необходимым условием обеспечения безопасности ПДн, в том случае, если существующие организационные и технические меры обеспечения безопасности не соответствуют требованиям к обеспечению безопасности ПДн для соответствующего уровня защищенности ПДн при их обработке в ИСПДн и/или не нейтрализуют всех угроз безопасности ПДн для данной ИСПДн.
    • Технические меры защиты ПДн предполагают использование программно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов РДЦ. Применение технических мер должно быть регламентировано нормативным актом РДЦ.
    • Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.
    • На стадии проектирования и создания СЗПДн для ИСПДн РДЦ проводятся следующие мероприятия:
  • разработка технического проекта СЗПДн;
  • приобретение (при необходимости), установка и настройка серийно выпускаемых технических средств обработки, передачи и хранения информации;
  • разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
  • приобретение, установка и настройка сертифицированных технических, программных и программно-технических средств защиты информации, в том числе (при необходимости) средств криптографической защиты информации;
  • реализация разрешительной системы доступа пользователей ИСПДн к обрабатываемой в ИСПДн информации;
  • подготовка эксплуатационной документации на используемые средства защиты информации;
  • корректировка (дополнение) организационно-распорядительной документации в части защиты информации.
  • Этап 3. Ввод ИСПДн с СЗПДн в промышленную эксплуатацию.
    • На стадии ввода в ИСПДн (СЗПДн) осуществляются:
  • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн (при необходимости);
  • приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации (при необходимости);
  • контроль выполнения требований (возможно проведение данного контроля в виде аттестации по требованиям безопасности ПДн).
    • Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
  1. Проведение работ по обеспечению безопасности персональных данных
    • Работы по обеспечению безопасности ПДн проводятся в соответствии с Планом мероприятий по защите персональных данных (Приложение № 1). Внутренние проверки режима обработки и защиты ПДн РДЦ проводятся в соответствии с Планом внутренних проверок режима обработки и защиты персональных данных (Приложение № 2). По результатам проведения внутренней проверки составляется Отчет о результатах проведения внутренней проверки режима обработки и защиты персональных данных в Управлении (Приложение № 3).
    • Контроль за проведением работ по обеспечению безопасности ПДн осуществляет ответственный за организацию обработки ПДн в виде методического руководства, участия в разработке требований по защите ПДн, организации работ по выявлению возможных каналов утечки информации, согласования выбора средств вычислительной техники и связи, технических и программных средств защиты, участия в оценке соответствия ИСПДн РДЦ требованиям безопасности ПДн.
    • При необходимости к проведению работ по обеспечению безопасности ПДн могут привлекаться специализированные организации, имеющие лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.
    • В соответствии с п. 5.2 Методических рекомендаций по обеспечению с помощью крипто средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144, при необходимости использования при создании СЗПДн средств криптографической защиты информации к проведению работ по обеспечению безопасности ПДн Управлению необходимо привлекать специализированные организации, имеющие лицензии ФСБ России на осуществление работ по распространению шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведения, составляющие государственную тайну, на осуществление технического обслуживания шифровальных (криптографических) средств, на осуществление работ по оказанию услуг в области шифрования информации, не содержащих сведений, составляющих государственную тайну.
  2. Решение вопросов обеспечения безопасностиперсональных данныхв динамике изменения обстановки и контроля эффективности защиты
    • Модернизация СЗПДн для функционирующих ИСПДн РДЦ должна осуществляться в случае:
    • изменения состава или структуры ИСПДн или технических особенностей ее построения (изменения состава или структуры программного обеспечения, технических средств обработки ПДн, топологии ИСПДн);
    • изменения состава угроз безопасности ПДн в ИСПДн;
    • изменения уровня защищенности ПДн при их обработке в ИСПДн;
    • прочих случаях, по решению оператора.
    • В целях определения необходимости доработки (модернизации) СЗПДн не реже одного раза в год ответственным за организацию обработки ПДн должна проводиться проверка состава и структуры ИСПДн, состава угроз безопасности ПДн в ИСПДн и уровня защищенности ПДн при их обработке в ИСПДн, соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией. Результаты проверки оформляются актом проверки и утверждаются руководителем РДЦ.
    • Анализ инцидентов безопасности ПДн и составление заключений в обязательном порядке должно проводиться в случае выявления следующих фактов:
    • несоблюдение условий хранения носителей ПДн;
    • использование средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн;
    • нарушение заданного уровня безопасности ПДн (конфиденциальность/ целостность/доступность).

 

Приложение № 1

к Положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

ГБУ РД «Республиканский диагностический центр»

 

План мероприятий по защите персональных данных

                   в ГБУ РД «Республиканский диагностический центр»

 

 

№ п\п Наименование мероприятия Срок выполнения Примечание
1. Документальное регламентирование работы с ПДн При необходимости Разработка организационно-распорядительных документов по защите ПДн, либо внесение изменений в существующие
2. Получение согласий субъектов ПДн (физических лиц) на обработку ПДн в случаях, когда этого требует законодательство Постоянно В случаях, предусмотренных Федеральным законом «О персональных данных», обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью
3. Пересмотр договора с третьими лицами на поручение обработки ПДн При необходимости В случае поручения обработки ПДн субъектов ПДн третьим лицам (например, кредитно-финансовым ГБУ РД «РДЦ»м) в договор включается пункт о соблюдении конфиденциальности при обработке ПДн, а также учитываются требования ч.3 ст.6 Федерального закона «О персональных данных»
4. Ограничение доступа сотрудников к ПДн При необходимости (при создании ИСПДн) В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствие с требованиями закона необходимо разграничить доступ сотрудников Оператора к ПДн
5. Взаимодействие с субъектами ПДн Постоянно Работа с обращениями субъектов ПДн, ведение журналов учета передачи персональных данных, обращений субъектов ПДн, уведомление субъектов ПДн об уничтожении, изменении, прекращении обработки, устранении нарушений, допущенных при обработке ПДн, получении ПДн от третьих лиц
6. Ведение журналов учета отчуждаемых электронных носителей персональных данных, средств защиты информации Постоянно  
7. Повышение квалификации сотрудников в области защиты ПДн Постоянно Повышение квалификации сотрудников, ответственных за выполнение работ – не менее раза в три года, повышение осведомленности сотрудников – постоянно (данное обучение проводит ответственный за обеспечение безопасности ПДн в ИСПДн)
8. Инвентаризация информационных ресурсов Раз в полгода Проводится с целью выявления в информационных ресурсах присутствия ПДн
9. Установка сроков обработки ПДн и процедуры их уничтожения по окончании срока обработки При необходимости Для ПДн Оператором устанавливаются сроки обработки ПДн, которые документально подтверждаются в нормативных документах Оператора. При пересмотре сроков необходимые изменения вносятся в соответствующие документы
10. Уничтожение электронных (бумажных) носителей информации при достижении целей обработки ПДн При необходимости Уничтожение электронных (бумажных) носителей информации при достижении целей обработки ПДн производится с оформлением Акта на списание и уничтожение электронных (бумажных) носителей информации.
11. Определение уровня защищенности ПДн при их обработке в ИСПДн При необходимости Определение уровня защищенности ПДн при их обработке в ИСПДн осуществляется при создании ИСПДн, при изменении состава ПДн, объема обрабатываемых ПДн, субъектов ПДн
12. Выявление угроз безопасности и разработка моделей угроз и нарушителя При необходимости Разрабатывается при создании системы защиты ИСПДн
13. Аттестация ИСПДн на соответствие требованиям по обеспечению безопасности ПДн При необходимости Проводится совместно с лицензиатами ФСТЭК
14. Эксплуатация ИСПДн и контроль безопасности ПДн Постоянно  
15. Понижение требований по защите ПДн путем сегментирования ИСПДн, отключения от сетей общего пользования, обеспечения обмена между ИСПДн с помощью сменных носителей, создания автономных ИСПДн на выделенных АРМ и прочих доступных мер При необходимости В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствии с требованиями закона

 

 

Приложение № 2

к Положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

ГБУ РД «Республиканский диагностический центр»

 

План внутренних проверок режима обработки и защиты персональных данных

в ГБУ РД «Республиканский диагностический центр»

 

Мероприятие Периодичность Дата, подпись исполнителя
Организационные меры по вопросам обработки ПДн
1. Осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн ФЗ-152«О персональных данных» и принятым в соответствии с ним нормативным правовым актам Раз в полгода  
2. Проверка ознакомления сотрудников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн Раз в полгода  
3. Проверка получения согласий субъектов ПДн на обработку ПДн в случаях, когда этого требует законодательство Раз в полгода  
4. Проверка подписания сотрудниками, осуществляющими обработку ПДн, основных форм, необходимых в целях выполнения требований законодательства в сфере обработки и защиты ПДн:

—     Уведомления о факте обработки ПДн без использования средств автоматизации;

—     Обязательства о соблюдении конфиденциальности ПДн;

—     Формы ознакомления с положениями законодательства Российской Федерации о ПДн, локальными актами РДЦ по вопросам обработки ПДн;

—     Типового обязательства о прекращении обработки ПДн в случае расторжения служебного контракта (трудового договора);

—     Разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн

Раз в полгода  
5. Проверка уничтожения материальных носителей ПДн с составлением соответствующего акта Ежегодно  
6. Проверка ведения журналов по учету обращений субъектов ПДн и учету передачи ПДн субъектов третьим лицам Раз в полгода  
7. Проведение внутренних проверок на предмет выявления изменений в правилах обработки и защиты ПДн Ежегодно  
8. Проверка соблюдения условий хранения материальных носителей ПДн Раз в полгода  
9. Проверка состояния актуальности Уведомления об обработке (намерении осуществлять обработку) ПДн Раз в полгода  
10. Поддержание в актуальном состоянии организационно-распорядительных документов по вопросам обработки ПДн, в том числе документов, определяющих политику РДЦ в отношении обработки ПДн Раз в полгода  
Технические меры по вопросам защиты ПДн
11. Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а также предсказание появления новых, еще неизвестных, угроз Ежегодно  
12. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ-152 «О персональных данных» Ежегодно  
13. Проверка применения для обеспечения безопасности ПДн средств защиты информации, прошедших в установленном порядке процедуру соответствия Раз в полгода  
14. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн При необходимости  
15. Контроль учета машинных носителей ПДн Раз в полгода  
16. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн Раз в полгода  
17. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в ИСПДн Ежеквартально  
18. Контроль внесения изменений в структурно-функциональные характеристики ИСПДн Ежеквартально  
19. Контроль корректности настроек средств защиты информации Раз в полгода  
20. Контроль за обеспечением резервного копирования Ежеквартально  
21. Поддержание в актуальном состоянии организационно-распорядительных документов по вопросам защиты ПДн Раз в полгода  

 

 

Приложение № 3

к Положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

ГБУ РД «Республиканский диагностический центр»

 

Отчет о результатах проведения внутренней проверки режима обработки и защиты персональных данных в ГБУ РД «Республиканский диагностический центр»

 

Внутренняя проверка произведена на основании Положения по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ГБУ РД «Республиканский диагностический центр»

  • от «____»_________________ 20__ г.

 

  • Проверка проводилась «___»______________20__ г. по адресу:

______________________________________________________________________

______________________________________________________________________

 

  • В ходе проверки были проведены следующие мероприятия:
  • ______________________________________________________________________
  • ______________________________________________________________________
  • ______________________________________________________________________
  • ______________________________________________________________________
  • ______________________________________________________________________

 

  • Результаты проведения проверки:
  • ______________________________________________________________________
  • ______________________________________________________________________
  • ______________________________________________________________________
  • ______________________________________________________________________
  • ______________________________________________________________________

 

  • Необходимые мероприятия.

На основании проведения внутренней проверки режима обработки и защиты ПДн рекомендуется осуществить следующие мероприятия:

  • ______________________________________________________________________
  • ______________________________________________________________________
  • ______________________________________________________________________
  • ______________________________________________________________________
  • ______________________________________________________________________

 

 

 

 

 

Подписи ответственных лиц, проводивших внутреннюю проверку режима обработки и защиты персональных данных:

 

_________________               ______________                      ___________________

(дата)                                                   (подпись)                                             (расшифровка подписи)

_________________               ______________                      ___________________

(дата)                                                   (подпись)                                             (расшифровка подписи)

_________________               ______________                      ___________________

(дата)                                                   (подпись)                                             (расшифровка подписи)

_________________               ______________                      ___________________

(дата)                                                   (подпись)                                             (расшифровка подписи)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение  № 23

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

ПОРЯДОК

хранения, использования и передачи персональных данных сотрудников

ГБУ РД «Республиканский диагностический центр»

  1. Общие положения
    • Настоящий Порядок хранения, использования и передачи персональных данных сотрудников ГБУ РД «Республиканский диагностический центр» (далее – Порядок) разработан в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
    • Цель разработки настоящего Порядка – определение порядка обработки (хранения, использования, передачи) персональных данных сотрудников ГБУ РД «Республиканский диагностический центр» (далее – РДЦ, Оператор); обеспечение защиты прав и свобод сотрудников РДЦ при обработке их персональных данных.
  2. Хранение и использование персональных данных сотрудников
    • Хранение персональных данных должно осуществляться в форме, позволяющей определить сотрудника РДЦ, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является сотрудник. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Хранение персональных данных сотрудников РДЦ может осуществляться на бумажных и машинных носителях, доступ к которым ограничен списком лиц, допущенных к обработке персональных данных.
    • Все отчуждаемые машинные носители персональных данных подлежат строгому учету. Форма Журнала учета отчуждаемых машинных носителей персональных данных утверждена нормативным актом РДЦ.
    • Персональные данные сотрудников, содержащиеся на машинных носителях персональных данных, должны храниться на автоматизированных рабочих местах и серверах информационных систем персональных данных РДЦ, установленных в пределах помещений, утвержденных Приказом об обеспечении безопасности помещений, в которых размещены информационные системы персональных данных.
    • Персональные данные сотрудников, содержащиеся на материальных носителях персональных данных, должны храниться в пределах помещений, утвержденных Приказом об обеспечении безопасности материальных носителей персональных данных.
    • Все хранимые или используемые средства защиты информации (далее – СЗИ), эксплуатационная и техническая документация к ним подлежат поэкземплярному учету и выдаются под расписку в Журнале поэкземплярного учета СЗИ, эксплуатационной и технической документации к ним пользователям СЗИ, несущим персональную ответственность за их сохранность. Форма соответствующего Журнала утверждена нормативным актом РДЦ.
    • Хранение персональных данных сотрудников должно происходить в порядке, исключающем их утрату или их неправомерное использование.
    • Использование персональных данных сотрудников осуществляется РДЦм исключительно в целях выполнения требований трудового законодательства Российской Федерации.
    • Обработка персональных данных сотрудников РДЦ осуществляется только специально уполномоченными лицами, перечень которых утверждается приказом РДЦ, при этом указанные в приказе сотрудники должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения непосредственных должностных обязанностей.
    • Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами РДЦ (при их наличии).
    • Передача персональных данных сотрудников между структурными подразделениями РДЦ осуществляется только между сотрудниками, включенными в перечень лиц, имеющих доступ к персональным данным.
    • Обработка персональных данных сотрудников должна осуществляться только в пределах помещений РДЦ и с использованием средств вычислительной техники РДЦ.
    • РДЦ вправе поручить обработку персональных данных сотрудников другим юридическим или физическим лицам на основании договора (далее – поручение РДЦ) с согласия сотрудника, если иное не предусмотрено Федеральным законом «О персональных данных». Лицо, осуществляющее обработку персональных данных по поручению РДЦ, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных».
    • Сотрудники РДЦ и иные лица, получающие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия сотрудников, если иное не предусмотрено федеральным законодательством в сфере защиты персональных данных.
  3. Передача персональных данных
    • При передаче персональных данных сотрудника Оператор должен соблюдать следующие требования:
      • не сообщать персональные данные сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, предусмотренных Гражданским кодексом Российской Федерации или иными федеральными законами;
      • предупреждать лица, получающие персональные данные сотрудников, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных персональных данных;
      • не сообщать персональные данные сотрудника в коммерческих целях без его письменного согласия;
      • передавать персональные данные сотрудника представителям сотрудников в порядке, установленном Гражданским кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными сотрудника, которые необходимы для выполнения указанными представителями их функций;
      • не отвечать на вопросы, связанные с передачей персональных данных сотрудника по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими сотрудниками своих непосредственных должностных обязанностей, адресатам в чью компетенцию входит получение такой информации.
    • В целях обеспечения контроля правомерности использования переданных по запросам персональных данных лицами, их получившими, сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также состав переданной информации фиксируются в Журнале учета передачи персональных данных. Форма соответствующего Журнала утверждена нормативным актом РДЦ.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение  № 24

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

 

Перечень информационных систем,

в которых обрабатываются персональные данные субъектов

ГБУ РД «Республиканский диагностический центр»

 

ИСПДн МИС «Ариадна»

Персональные данные субъектов ПДн (пациентов) включают:

ФИО;

Дата рождения;

Контактный телефон;

Адрес прописки;

Адрес фактического проживания;

Паспортные данные;

СНИЛС;

Данные медицинского полиса;

Данные о состоянии здоровья (история болезни).

Перечень персональных данных сотрудников ГБУ РД «Республиканский диагностический центр» (далее – ГБУ РД «РДЦ»):

Фамилия, имя, отчество;

Место, год и дата рождения;

Специализация (профессия)

Данные о трудовом договоре (табельный номер)

СНИЛС.

 

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

 

Программно-технические средства обработки включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

ИСПДн «1С: Бухгалтерия»

Персональные данные сотрудников ГБУ РД «РДЦ»  включают:

  • Фамилия, имя, отчество;
  • Место, год и дата рождения;
  • Специализация (профессия);
  • Данные о трудовом договоре (табельный номер);
  • Информация о приеме на работу, перемещении по должности, увольнении;

 

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

ИСПДн «1С: Зарплата»

 

Персональные данные сотрудников ГБУ РД «РДЦ»  включают:

  • Фамилия, имя, отчество;
  • Место, год и дата рождения;
  • Специализация (профессия);
  • Данные о трудовом договоре (табельный номер);
  • Информация о приеме на работу, перемещении по должности, увольнении;

 

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

ИСПДн ПО «Учет медикаментов»

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Адрес прописки;
  • Адрес фактического проживания;
  • Паспортные данные;
  • Данные полиса ОМС;
  • СНИЛС;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

ИСПДн «Региональная Информационная Система ОМС РД»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Адрес прописки;
  • Адрес фактического проживания;
  • Паспортные данные;
  • Данные полиса ОМС;
  • СНИЛС;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

ИСПДн «MedFoms» (в автономном режиме)

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Адрес прописки;
  • Адрес фактического проживания;
  • Паспортные данные;
  • Данные полиса ОМС;

— СНИЛС;

  • Данные о состоянии здоровья (история болезни).

Персональные данные сотрудников ГБУ РД «РДЦ»  включают:

  • Фамилия, имя, отчество;
  • Специальность.

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

 

ИСПДн «MedFoms» (в режиме интеграции с программным комплексом Vipnet «Деловая почта», Vipnet «Монитор»)

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Адрес прописки;
  • Адрес фактического проживания;
  • Паспортные данные;
  • Данные полиса ОМС;

— СНИЛС;

  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

ИСПДн ПО «Регистр диабета»

 

Персональные данные субъектов ПДн (пациентов) включают:

ФИО;

Дата рождения;

Контактный телефон;

Адрес прописки;

Адрес фактического проживания;

Паспортные данные;

Данные о состоянии здоровья (история болезни).

 

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

 

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

 

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

ИСПДн ПО «Регистр медработников»

 

Персональные данные сотрудников ГБУ РД «РДЦ» включают:

  • Фамилия, имя, отчество;
  • Место, год и дата рождения;
  • Специализация (профессия);
  • Данные о трудовом договоре (табельный номер);
  • СНИЛС;
  • Данные паспорта;
  • Информация о приеме на работу, перемещении по должности, увольнении;

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

ИСПДн ПО «Лечебно-профилактическое учреждение»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Адрес прописки;
  • Адрес фактического проживания;
  • Паспортные данные;
  • СНИЛС;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

 

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

ИСПДн ПО «Core OS»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Адрес прописки;
  • Адрес фактического проживания;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

 

ИСПДн ПО «Prodigy patient»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Адрес прописки;
  • Адрес фактического проживания;
  • Паспортные данные;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

ИСПДн ПО «Software Base»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Адрес прописки;
  • Адрес фактического проживания;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

 

ИСПДн ПО «Tomosoft»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Адрес прописки;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

 

ИСПДн ПО «MR-software»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

 

ИСПДн ПО «BP Labwim»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

 

 

ИСПДн ПО «Rezult»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

 

ИСПДн ПО «Custo Diagnostic»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Адрес фактического проживания;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

 

ИСПДн ПО «Konelab»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

 

 

ИСПДн ПО «Echo»

 

Персональные данные субъектов ПДн (пациентов) включают:

  • ФИО;
  • Дата рождения;
  • Контактный телефон;
  • Адрес прописки;
  • Адрес фактического проживания;
  • Паспортные данные;
  • Данные о состоянии здоровья (история болезни).

Технологическая информация, подлежащая защите, включает:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

 

Программно-технические средства включают в себя:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

 

 

 

 

 

 

 

 

 

 

 

ЛИСТ ОЗНАКОМЛЕНИЯ

№ п/п Ф.И.О. Должность Дата Подпись