Приложение 12. План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных учреждения здравоохранения, социальной сферы, труда и занятости. Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (утв. Министерством здравоохранения и социального развития РФ 23 декабря 2009 г.)

Министерство здравоохранения и социального развития Российской Федерации

УТВЕРЖДАЮ
_______________________
_______________________
"__" ____________ 2009 г.

Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости

Приложение 12

План
мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных учреждения здравоохранения, социальной сферы, труда и занятости

СОГЛАСОВАНО
_______________________	________________ подпись, дата	_______________
_______________________	________________ подпись, дата	_______________
_______________________	________________ подпись, дата	_______________
Москва 2009

1 Общие положения

План мероприятий по обеспечению защиты персональных данных (далее - План), содержит необходимый перечень мероприятий для обеспечения защиты персональных данных.

План составлен на основании списка мер, методов и средств защиты, определенных в Концепции информационной безопасности и Политике информационной безопасности.

Выбор конкретных мероприятий осуществляется на основании анализа Отчета по результатам внутренней проверки и Модели угроз безопасности.

В План включены следующие категории мероприятий:

- организационные (административные);

- физические;

- технические (аппаратные и программные);

- контролирующие.

В План включена следующая информация:

- Название мероприятия.

- Периодичность мероприятия (разовое/периодическое).

- Исполнитель мероприятия/ответственный за исполнение.

План внутренних проверок составляется на все информационные системы персональных данных Учреждения.

2 План мероприятий по обеспечению безопасности ПДн

Мероприятие	Периодичность	Исполнитель/ Ответственный
ИСПДн 1
Организационные мероприятия
Первичная внутренняя проверка	Разовое срок до 01.01.2010 г.
Определение перечня ИСПДн	Разовое срок до
Определение обрабатываемых ПДн и объектов защиты	Разовое срок до
Определение круга лиц участвующих в обработке ПДн	Разовое срок до
Определение ответственности лиц участвующих в обработке	Разовое срок до
Определение прав разграничения доступа пользователей ИСПДн, необходимых для выполнения должностных обязанностей	Разовое срок до
Назначение ответственного за безопасность ПДн	Разовое срок до
Введение режима защиты ПДн	Разовое срок до
Утверждение Концепции информационной безопасности	Разовое срок до
Утверждение Политики информационной безопасности	Разовое срок до
Собрание коллегиального органа по классификации ИСПДн	Разовое срок до
Классификация всех выявленных ИСПДн	Разовое срок до
Первичный анализ актуальности УБПДн	Разовое срок до
Установление контролируемой зоны вокруг ИСПДн	Разовое срок до
Выбор помещений для установки аппаратных средств ИСПДн в помещениях, с целью исключения НСД лиц не допущенных к обработке ПДн	Разовое срок до
Организация режима и контроля доступа (охраны) в помещения, в которых установлены аппаратные средства ИСПДн.	Разовое срок до
Организация порядка резервного копирования защищаемой информации на твердые носители	Разовое срок до
Организация порядка восстановления работоспособности технических средств, ПО, баз данных с подсистем СЗПДн	Разовое срок до
Введение в действие инструкции по порядку формирования, распределения и применения паролей	Разовое срок до
Организация информирования и обучения сотрудников о порядке обработки ПДн	Разовое срок до
Организация информирования и обучения сотрудников о введенном режиме защиты ПДн	Разовое срок до
Разработка должностных инструкций о порядке обработки ПДн и обеспечении введенного режима защиты	Разовое срок до
Разработка инструкций о порядке работы при подключении к сетям общего пользования и (или) международного обмена	Разовое срок до
Разработка инструкций о действии в случае возникновения внештатных ситуаций	Разовое срок до
Разработка положения о внесении изменения в штатное программное обеспечение элементов ИСПДн	Разовое срок до
Разработка положения о порядке внесения изменений в программное обеспечение собственной разработки или штатное ПО специально дорабатываемое собственными разработчиками или сторонними организациями. Положение должно включать в себя техническое задание на изменения, технический проект, приемо-сдаточные испытания, акт о введении в эксплуатацию.	Разовое срок до
Организация журнала учета обращений субъектов ПДн	Разовое срок до
Организация перечня по учету технических средств и средств защиты, а так же документации к ним	Разовое срок до
Физические мероприятия
Организация постов охраны для пропуска в контролируемую зону	Разовое срок до
Внедрение технической системы контроля доступа в контролируемую зону и помещения (по электронным пропускам, токену, биометрическим данным и т.п.)	Разовое срок до
Внедрение технической системы контроля доступа к элементам ИСПДн (по электронным пропускам, токену, биометрическим данным и т.п.)	Разовое срок до
Внедрение видеонаблюдения	Разовое срок до
Установка дверей на входе в помещения с аппаратными средствами ИСПДн	Разовое срок до
Установка замков на дверях в помещениях с аппаратными средствами ИСПДн	Разовое срок до
Установка жалюзи на окнах	Разовое срок до
Установка решеток на окнах первого и последнего этажа здания	Разовое срок до
Установка системы пожаротушения в помещениях, где расположены элементы ИСПДн	Разовое срок до
Установка систем кондиционирования в помещениях, где расположены аппаратные средства ИСПДн	Разовое срок до
Установка систем бесперебойного питания на ключевые элементы ИСПДн	Разовое срок до
Внедрение резервных (дублирующих) технических средств ключевых элементов ИСПДн	Разовое срок до
Технические (аппаратные и программные) мероприятия
Внедрение единого хранилища зарегистрированных действий пользователей с ПДн	Разовое срок до
Внедрение специальной подсистемы управления доступом, регистрации и учета (НАЗВАНИЕ)	Разовое срок до
Внедрение антивирусной защиты (НАЗВАНИЕ)	Разовое срок до
Внедрение межсетевого экранирования (НАЗВАНИЕ)	Разовое срок до
Внедрение подсистемы анализа защищенности (НАЗВАНИЕ)	Разовое срок до
Внедрение подсистемы обнаружения вторжений (НАЗВАНИЕ)	Разовое срок до
Внедрение криптографической защиты (НАЗВАНИЕ)	Разовое срок до
Контролирующие мероприятия
Создание журнала внутренних проверок и поддержание его в актуальном состоянии	Ежемесячно
Контроль над соблюдением режима обработки ПДн	Еженедельно
Контроль над соблюдением режима защиты	Ежедневно
Контроль над выполнением антивирусной защиты	Еженедельно
Контроль над соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена	Еженедельно
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн	Ежегодно
Контроль за обновлениями программного обеспечения и единообразия применяемого ПО на всех элементах ИСПДн	Еженедельно
Контроль за обеспечением резервного копирования	Ежемесячно
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а так же предсказание появления новых, еще неизвестных, угроз	Ежегодно
Поддержание в актуальном состоянии нормативно-организационных документов	Ежемесячно
Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное ПО, специально дорабатываемое собственными разработчиками или сторонними организациями.	Ежемесячно