Министерство здравоохранения и социального развития Российской Федерации
УТВЕРЖДАЮ
_______________________
_______________________
"__" ____________ 2009 г.
Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости
Приложение 12
План
мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных учреждения здравоохранения, социальной сферы, труда и занятости
|
СОГЛАСОВАНО | ||
|
_______________________ |
________________ |
_______________ |
|
_______________________ |
________________ |
_______________ |
|
_______________________ |
________________ |
_______________ |
|
| ||
|
Москва 2009 | ||
1 Общие положения
План мероприятий по обеспечению защиты персональных данных (далее - План), содержит необходимый перечень мероприятий для обеспечения защиты персональных данных.
План составлен на основании списка мер, методов и средств защиты, определенных в Концепции информационной безопасности и Политике информационной безопасности.
Выбор конкретных мероприятий осуществляется на основании анализа Отчета по результатам внутренней проверки и Модели угроз безопасности.
В План включены следующие категории мероприятий:
- организационные (административные);
- физические;
- технические (аппаратные и программные);
- контролирующие.
В План включена следующая информация:
- Название мероприятия.
- Периодичность мероприятия (разовое/периодическое).
- Исполнитель мероприятия/ответственный за исполнение.
План внутренних проверок составляется на все информационные системы персональных данных Учреждения.
2 План мероприятий по обеспечению безопасности ПДн
|
Мероприятие |
Периодичность |
Исполнитель/ Ответственный |
|
ИСПДн 1 | ||
|
Организационные мероприятия | ||
|
Первичная внутренняя проверка |
Разовое срок до 01.01.2010 г. |
|
|
Определение перечня ИСПДн |
Разовое срок до |
|
|
Определение обрабатываемых ПДн и объектов защиты |
Разовое срок до |
|
|
Определение круга лиц участвующих в обработке ПДн |
Разовое срок до |
|
|
Определение ответственности лиц участвующих в обработке |
Разовое срок до |
|
|
Определение прав разграничения доступа пользователей ИСПДн, необходимых для выполнения должностных обязанностей |
Разовое срок до |
|
|
Назначение ответственного за безопасность ПДн |
Разовое срок до |
|
|
Введение режима защиты ПДн |
Разовое срок до |
|
|
Утверждение Концепции информационной безопасности |
Разовое срок до |
|
|
Утверждение Политики информационной безопасности |
Разовое срок до |
|
|
Собрание коллегиального органа по классификации ИСПДн |
Разовое срок до |
|
|
Классификация всех выявленных ИСПДн |
Разовое срок до |
|
|
Первичный анализ актуальности УБПДн |
Разовое срок до |
|
|
Установление контролируемой зоны вокруг ИСПДн |
Разовое срок до |
|
|
Выбор помещений для установки аппаратных средств ИСПДн в помещениях, с целью исключения НСД лиц не допущенных к обработке ПДн |
Разовое срок до |
|
|
Организация режима и контроля доступа (охраны) в помещения, в которых установлены аппаратные средства ИСПДн. |
Разовое срок до |
|
|
Организация порядка резервного копирования защищаемой информации на твердые носители |
Разовое срок до |
|
|
Организация порядка восстановления работоспособности технических средств, ПО, баз данных с подсистем СЗПДн |
Разовое срок до |
|
|
Введение в действие инструкции по порядку формирования, распределения и применения паролей |
Разовое срок до |
|
|
Организация информирования и обучения сотрудников о порядке обработки ПДн |
Разовое срок до |
|
|
Организация информирования и обучения сотрудников о введенном режиме защиты ПДн |
Разовое срок до |
|
|
Разработка должностных инструкций о порядке обработки ПДн и обеспечении введенного режима защиты |
Разовое срок до |
|
|
Разработка инструкций о порядке работы при подключении к сетям общего пользования и (или) международного обмена |
Разовое срок до |
|
|
Разработка инструкций о действии в случае возникновения внештатных ситуаций |
Разовое срок до |
|
|
Разработка положения о внесении изменения в штатное программное обеспечение элементов ИСПДн |
Разовое срок до |
|
|
Разработка положения о порядке внесения изменений в программное обеспечение собственной разработки или штатное ПО специально дорабатываемое собственными разработчиками или сторонними организациями. Положение должно включать в себя техническое задание на изменения, технический проект, приемо-сдаточные испытания, акт о введении в эксплуатацию. |
Разовое срок до |
|
|
Организация журнала учета обращений субъектов ПДн |
Разовое срок до |
|
|
Организация перечня по учету технических средств и средств защиты, а так же документации к ним |
Разовое срок до |
|
|
Физические мероприятия | ||
|
Организация постов охраны для пропуска в контролируемую зону |
Разовое срок до |
|
|
Внедрение технической системы контроля доступа в контролируемую зону и помещения (по электронным пропускам, токену, биометрическим данным и т.п.) |
Разовое срок до |
|
|
Внедрение технической системы контроля доступа к элементам ИСПДн (по электронным пропускам, токену, биометрическим данным и т.п.) |
Разовое срок до |
|
|
Внедрение видеонаблюдения |
Разовое срок до |
|
|
Установка дверей на входе в помещения с аппаратными средствами ИСПДн |
Разовое срок до |
|
|
Установка замков на дверях в помещениях с аппаратными средствами ИСПДн |
Разовое срок до |
|
|
Установка жалюзи на окнах |
Разовое срок до |
|
|
Установка решеток на окнах первого и последнего этажа здания |
Разовое срок до |
|
|
Установка системы пожаротушения в помещениях, где расположены элементы ИСПДн |
Разовое срок до |
|
|
Установка систем кондиционирования в помещениях, где расположены аппаратные средства ИСПДн |
Разовое срок до |
|
|
Установка систем бесперебойного питания на ключевые элементы ИСПДн |
Разовое срок до |
|
|
Внедрение резервных (дублирующих) технических средств ключевых элементов ИСПДн |
Разовое срок до |
|
|
Технические (аппаратные и программные) мероприятия | ||
|
Внедрение единого хранилища зарегистрированных действий пользователей с ПДн |
Разовое срок до |
|
|
Внедрение специальной подсистемы управления доступом, регистрации и учета (НАЗВАНИЕ) |
Разовое срок до |
|
|
Внедрение антивирусной защиты (НАЗВАНИЕ) |
Разовое срок до |
|
|
Внедрение межсетевого экранирования (НАЗВАНИЕ) |
Разовое срок до |
|
|
Внедрение подсистемы анализа защищенности (НАЗВАНИЕ) |
Разовое срок до |
|
|
Внедрение подсистемы обнаружения вторжений (НАЗВАНИЕ) |
Разовое срок до |
|
|
Внедрение криптографической защиты (НАЗВАНИЕ) |
Разовое срок до |
|
|
Контролирующие мероприятия | ||
|
Создание журнала внутренних проверок и поддержание его в актуальном состоянии |
Ежемесячно |
|
|
Контроль над соблюдением режима обработки ПДн |
Еженедельно |
|
|
Контроль над соблюдением режима защиты |
Ежедневно |
|
|
Контроль над выполнением антивирусной защиты |
Еженедельно |
|
|
Контроль над соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена |
Еженедельно |
|
|
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн |
Ежегодно |
|
|
Контроль за обновлениями программного обеспечения и единообразия применяемого ПО на всех элементах ИСПДн |
Еженедельно |
|
|
Контроль за обеспечением резервного копирования |
Ежемесячно |
|
|
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а так же предсказание появления новых, еще неизвестных, угроз |
Ежегодно |
|
|
Поддержание в актуальном состоянии нормативно-организационных документов |
Ежемесячно |
|
|
Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное ПО, специально дорабатываемое собственными разработчиками или сторонними организациями. |
Ежемесячно |
|
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Открыть документ Получить доступ к системе ГАРАНТ
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.