Письмо Департамента здравоохранения г. Москвы от 22 марта 2010 г. N 2-11-3993 О Регламенте выполнения мероприятий по организации защиты персональных данных в учреждениях здравоохранения г. Москвы

Письмо Департамента здравоохранения г. Москвы
от 22 марта 2010 г. N 2-11-3993


В целях приведения в соответствие с требованиями федерального законодательства работы с персональными данными в системе здравоохранения города Москвы все информационные системы учреждений здравоохранения к 01.01.2011 должны соответствовать требованиям Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных" и Федерального закона от 27 декабря 2009 года N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных".

Работы, проводимые в учреждениях здравоохранения по организации защиты персональных данных, должны вестись в соответствии с прилагаемым утвержденным Регламентом выполнения мероприятий по организации защиты персональных данных в учреждениях здравоохранения города Москвы.


Первый заместитель руководителя
Департамента здравоохранения
города Москвы

С.В. Поляков


Регламент
выполнения мероприятий по организации защиты персональных данных в учреждениях здравоохранения города Москвы


1. Введение


В настоящее время, в Российской Федерации осуществляется государственное регулирование в области обеспечения безопасности персональных данных. Правовое регулирование вопросов обработки персональных данных проводится в соответствии с Конституцией Российской Федерации и международными договорами Российской Федерации, на основании вступившего в силу с 2007 года Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных". Федерального закона от 27 декабря 2009 года N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных". Во исполнение положений данных Федеральных законов принят ряд федеральных и московских нормативно-правовых актов и методических документов.

В силу требований Федерального закона N 363-ФЗ все информационные системы персональных данных (далее ИСПДн), созданные до введения его в действие, должны быть приведены в соответствие установленным требованиям не позднее 1 января 2011 года.

Настоящий регламент определяет последовательность действий для приведения ИСПДн в соответствие с законодательством. Он разработан на основании Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" с учетом действующих нормативных документов ФСТЭК и ФСБ России по защите информации. При его составлении использованы "Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости", утвержденные Департаментом информатизации Минздравсоцразвития 23.12.2009.


2. Основные задачи учреждений здравоохранения города Москвы, эксплуатирующих информационные системы персональных данных


На основании Статьи 3 Федерального закона "О персональных данных" учреждения здравоохранения города Москвы являются операторами персональных данных как юридическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание их обработки. В соответствии с Законодательством оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Во всех внедряемых информационных системах с момента их ввода в эксплуатацию должна обеспечиваться защита персональных данных. В отношении действующих информационных систем, обрабатывающих персональные данные, учреждения здравоохранения города Москвы, эксплуатирующие системы, обязаны решить следующие задачи:

1. Провести классификацию ИСПДн с оформлением соответствующего акта;

2. Реализовать комплекс мер по защите персональных данных в соответствии с перечисленными правовыми актами и методическими документами;

3. Провести оценку соответствия ИСПДн требованиям безопасности в форме сертификации (аттестации) или декларирования соответствия.

Решение поставленных;# задач достигается совместной работой учреждений здравоохранения.# Департамента здравоохранения города Москвы и специализированных организаций с освоением средств, выделяемых на защиту персональных данных. Мероприятия, сроки их выполнения, результаты и ответственные по ним указаны в Плане мероприятий по защите персональных данных в учреждениях здравоохранения города Москвы (приложение к настоящему регламенту). Типовые формы приказов, распоряжений и прочих документов, которые должны быть подготовлены и утверждены учреждением здравоохранения, приведены в приложениях к "Методическим рекомендациям в учреждениях здравоохранения, социальной сферы, труда и занятости", утвержденным Департаментом информатизации Минздравсоцразвития 23.12.2009.


3. Мероприятия по защите персональных данных, самостоятельно проводимые учреждением здравоохранения


Каждое учреждение здравоохранения города Москвы, в котором используется ИСПДн, должно выполнить следующие действия:

1) Начать работу по приведению информационных систем учреждений в соответствие с ФЗ-152 с издания приказа "О защите персональных данных". День выхода приказа считается днем начала работ.

2) В течение трех дней с начала работ должны быть разработаны и изданы в учреждении здравоохранения приказы:

- "О подразделении учреждения, которому поручается защита персональных данных";

- "О назначении лиц, ответственных за обработку персональных данных";

- "О проведении внутренней проверки".


4. Подготовительные мероприятия по защите персональных данных, проводимые учреждением здравоохранения совместно со специализированной организацией


Для выполнения мероприятий по подготовке к созданию системы защиты персональных данных привлекается организация, имеющая необходимые лицензии на проведение работ. Выбор организации осуществляется централизовано, на основании конкурса, проводимого Департаментом здравоохранения, и оформляется Государственным контрактом. Работа организации проводится в соответствии с календарным планом Государственного контракта.

1) После заключения Государственного контракта его исполнитель проводит внутреннюю проверку в учреждении здравоохранения. Результаты проверки должны быть оформляются в виде отчета, который подлежит утверждению руководством учреждения здравоохранения.

2) По результатам проверки исполнителем Государственного контракта разрабатываются документы: "Концепция информационной безопасности учреждения здравоохранения" и "Политика информационной безопасности в учреждении здравоохранения". Документы утверждаются внутри учреждения и вводятся в действие приказом по учреждению здравоохранения.

3) На основании собранных данных в соответствие с утвержденными документами исполнитель Государственного контракта:

- Определяет состав и категории обрабатываемых персональных данных. Результат оформляется в виде "Перечня персональных данных, обрабатываемых в учреждении здравоохранения"

- Осуществляет классификацию действующих информационных систем, обрабатывающих персональные данные. Результат оформляется в виде "Акта классификации ИСПДн"

- Адаптирует модель угроз к конкретной ИСПДн учреждения. Результат оформляется в виде "Модели угроз"

- Разрабатывает "Положение о разграничении прав доступа к обрабатываемым персональным данным".

4) Как итог выполнения Государственного контракта исполнитель разрабатывает:

- План мероприятий по защите персональных данных

- Техническое задание для организации конкурса на заключение Государственного контракта по проведению технических мероприятий по разработке и созданию системы защиты

- Эскизный проект системы защиты персональных данных в ИСПДн

- Инструкция администратора ИСПДн;

- Инструкция администратора безопасности;

- Инструкция пользователя при работе с ИСПДн;

- Инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.

Используя результаты выполнения Государственного контракта учреждение здравоохранения:

- Подготавливает и направляет уведомление в территориальный орган Россвязькомнадзора (уполномоченный орган по защите прав субъектов персональных данных), и тем самым регистрируется в качестве оператора персональных данных

- Назначает ответственных за обеспечение безопасности персональных данных

- Разрабатывает и утверждает внутри учреждения план внутренних проверок состояния защиты персональных данных.

- Разрабатывает и утверждает внутри учреждения журнал учета обращений субъектов персональных данных о выполнении их законных прав.


5. Организация надзора за техническими мероприятиями для обеспечения защиты персональных данных, выполняемыми по Государственному контракту


На основании требований технического задания, разработанного при проведении мероприятий по защите персональных данных, самостоятельно проводимых учреждением здравоохранения (раздел 2, п. 6), Государственный заказчик организует конкурс на право заключения Государственного контракта по выполнению соответствующих работ. Победитель конкурса в соответствии с условиями контракта:

1. разрабатывает и представляет на согласование в учреждение проектную и техническую документацию по системе защиты персональных данных при их обработке в ИСПДн. После согласования учреждением документация утверждается Государственным заказчиком

2. Поставляет оборудование для системы защиты;

3. Проводит установку и настройку оборудования, осуществляет пусконаладочные работы;

4. Проводит обучение персонала, который будет эксплуатировать систему защиты;

5. Подготавливает эксплуатационную документацию по системе защиты, в том числе проекты документов:

- Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации

- Электронный журнал обращений пользователей информационной системы к ПДн

- Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним

- Программу и методика аттестационных испытаний

6. Проводит пробную эксплуатацию и организует предварительные испытания

7. Подготавливает аттестационные испытания.

Взаимодействуя с исполнителем Государственного контракта, учреждение здравоохранения на этапе проведения технических мероприятий осуществляет общий надзор за работами, а также:

- Согласует проектную и техническую документацию по системе защиты персональных данных;

- организует обучение персонала, который будет эксплуатировать систему защиты;

- Согласует программу и методику аттестационных испытаний

- Участвует в пробной эксплуатации системы защиты и предварительных испытаниях

- Утверждает документы:

ГАРАНТ:

Текст приводится в соответствии с источником


технических средств и программного обеспечения, баз данных и средств защиты информации

б. Электронный журнал обращений пользователей информационной системы к ПДн

в. Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним

г. Программу и методика аттестационных: испытаний


6. Проведение аттестационных (сертификационных) испытаний информационных систем персональных данных


После реализации организационно-технических мероприятий по приведению ИСПДн в соответствие с требованиями Закона, учреждения здравоохранения города Москвы должны провести аттестационные испытания (аттестацию проводит контролирующий орган или специально уполномоченный контролирующим органом лицензиат) или составить декларацию соответствия ИСПДн классу.

Аттестация ИСПДи обязательна для систем К1, К2. Аттестационные испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК России, и состоят из следующих этапов:

а) Анализ ИСПДн учреждения, изучение вновь принятых решений по обеспечению безопасности информации и включают проверку:

- организационно-технических мероприятий по обеспечению безопасности персональных данных;

- защищенности информации от утечек по техническим каналам;

- защищенности информации от несанкционируемого доступа.

б) По результатам аттестационных испытаний принимается решение о выдаче "Аттестата соответствия" информационной системы заявленному классу по требованиям безопасности информации. Аттестат выдается сроком на 3 года.

Декларирование соответствия - это подтверждение соответствия характеристик ИСПДн предъявляемым к ней требованиям, установленным законодательством Российской Федерации, руководящими и нормативно-методическими документами ФСТЭК России и ФСБ России. Декларирование соответствия может осуществляться на основе собственных доказательств учреждения или на основании доказательств, полученных с участием привлеченных организаций, имеющих необходимые лицензии.

Для организации проведения аттестации после выполнения технических мероприятий по обеспечению защиты персональных данных (раздел 4) учреждение должно обратиться в Департамент здравоохранения города Москвы.

В случае проведения декларирования на основе собственных доказательств учреждение здравоохранения самостоятельно формирует комплект документов, таких как техническая документация, другие документы и результаты собственных исследований, послужившие мотивированным основанием для подтверждения соответствия информационной системы персональных данных всем необходимым требованиям, предъявляемым к классу КЗ. Для информационных систем К4 оценка соответствия не регламентируется и осуществляется по решению учреждения.


7. Прием в промышленную эксплуатацию и организация эксплуатации системы защиты персональных данных при их обработке в ИСПДн


Прошедшая аттестацию система защиты персональных данных при их обработке в ИСПДн должна быть принята в промышленную эксплуатацию в качестве отдельной системы или как подсистема ИСПДн. Для этого в соответствии с Московским законодательством должно быть издано Распоряжение Правительства Москвы.

Учреждение здравоохранения:

Готовит проект Распоряжения Правительства Москвы о приеме системы в промышленную эксплуатацию

После выхода Распоряжения обеспечивает занесение данных о системе в Реестр информационных ресурсов и систем города Москвы.

Организует сопровождение работы системы (подсистемы) защиты персональных данных ИСПДн.


8. Принятые сокращения


ИСПДн Информационные системы персональных данных


Учреждения здравоохранения являются операторами персональных данных, в связи с чем на них возлагаются обязанности по организации защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и других неправомерных действий.

Предполагается, что во всех внедряемых информационных системах с момента ввода в эксплуатацию должна обеспечиваться защита персональных данных. В отношении действующих информационных систем необходимо провести их классификацию, реализовать комплекс мер по защите персональных данных, провести оценку соответствия информационных систем требованиям безопасности. Для решения указанных задач каждое учреждение здравоохранения должно провести работу по приведению информационных систем в соответствие с установленными требованиями безопасности, принять приказы о назначении лиц, ответственных за обработку персональных данных, о подразделении, которому поручается защита персональных данных.

Регламентом также установлен порядок организации надзора за техническими мероприятиями для обеспечения защиты персональных данных, проведения аттестационных испытаний информационных систем персональных данных, приема в промышленную эксплуатацию систем защиты персональных данных.


Письмо Департамента здравоохранения г. Москвы от 22 марта 2010 г. N 2-11-3993


Текст письма официально опубликован не был


Текст документа на сайте мог устареть

Вы можете заказать актуальную редакцию полного документа и получить его прямо сейчас.

Или получите полный доступ к системе ГАРАНТ бесплатно на 3 дня


Получить доступ к системе ГАРАНТ

(1 документ в сутки бесплатно)

(До 55 млн документов бесплатно на 3 дня)


Чтобы приобрести систему ГАРАНТ, оставьте заявку и мы подберем для Вас индивидуальное решение