Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Министерство здравоохранения и социального развития Российской Федерации
УТВЕРЖДАЮ
_______________________
_______________________
"__" ____________ 2009 г.
Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости
Приложение 12
План
мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных учреждения здравоохранения, социальной сферы, труда и занятости
СОГЛАСОВАНО | ||
_______________________ |
________________ |
_______________ |
_______________________ |
________________ |
_______________ |
_______________________ |
________________ |
_______________ |
| ||
Москва 2009 |
1 Общие положения
План мероприятий по обеспечению защиты персональных данных (далее - План), содержит необходимый перечень мероприятий для обеспечения защиты персональных данных.
План составлен на основании списка мер, методов и средств защиты, определенных в Концепции информационной безопасности и Политике информационной безопасности.
Выбор конкретных мероприятий осуществляется на основании анализа Отчета по результатам внутренней проверки и Модели угроз безопасности.
В План включены следующие категории мероприятий:
- организационные (административные);
- физические;
- технические (аппаратные и программные);
- контролирующие.
В План включена следующая информация:
- Название мероприятия.
- Периодичность мероприятия (разовое/периодическое).
- Исполнитель мероприятия/ответственный за исполнение.
План внутренних проверок составляется на все информационные системы персональных данных Учреждения.
2 План мероприятий по обеспечению безопасности ПДн
Мероприятие |
Периодичность |
Исполнитель/ Ответственный |
ИСПДн 1 | ||
Организационные мероприятия | ||
Первичная внутренняя проверка |
Разовое срок до 01.01.2010 г. |
|
Определение перечня ИСПДн |
Разовое срок до |
|
Определение обрабатываемых ПДн и объектов защиты |
Разовое срок до |
|
Определение круга лиц участвующих в обработке ПДн |
Разовое срок до |
|
Определение ответственности лиц участвующих в обработке |
Разовое срок до |
|
Определение прав разграничения доступа пользователей ИСПДн, необходимых для выполнения должностных обязанностей |
Разовое срок до |
|
Назначение ответственного за безопасность ПДн |
Разовое срок до |
|
Введение режима защиты ПДн |
Разовое срок до |
|
Утверждение Концепции информационной безопасности |
Разовое срок до |
|
Утверждение Политики информационной безопасности |
Разовое срок до |
|
Собрание коллегиального органа по классификации ИСПДн |
Разовое срок до |
|
Классификация всех выявленных ИСПДн |
Разовое срок до |
|
Первичный анализ актуальности УБПДн |
Разовое срок до |
|
Установление контролируемой зоны вокруг ИСПДн |
Разовое срок до |
|
Выбор помещений для установки аппаратных средств ИСПДн в помещениях, с целью исключения НСД лиц не допущенных к обработке ПДн |
Разовое срок до |
|
Организация режима и контроля доступа (охраны) в помещения, в которых установлены аппаратные средства ИСПДн. |
Разовое срок до |
|
Организация порядка резервного копирования защищаемой информации на твердые носители |
Разовое срок до |
|
Организация порядка восстановления работоспособности технических средств, ПО, баз данных с подсистем СЗПДн |
Разовое срок до |
|
Введение в действие инструкции по порядку формирования, распределения и применения паролей |
Разовое срок до |
|
Организация информирования и обучения сотрудников о порядке обработки ПДн |
Разовое срок до |
|
Организация информирования и обучения сотрудников о введенном режиме защиты ПДн |
Разовое срок до |
|
Разработка должностных инструкций о порядке обработки ПДн и обеспечении введенного режима защиты |
Разовое срок до |
|
Разработка инструкций о порядке работы при подключении к сетям общего пользования и (или) международного обмена |
Разовое срок до |
|
Разработка инструкций о действии в случае возникновения внештатных ситуаций |
Разовое срок до |
|
Разработка положения о внесении изменения в штатное программное обеспечение элементов ИСПДн |
Разовое срок до |
|
Разработка положения о порядке внесения изменений в программное обеспечение собственной разработки или штатное ПО специально дорабатываемое собственными разработчиками или сторонними организациями. Положение должно включать в себя техническое задание на изменения, технический проект, приемо-сдаточные испытания, акт о введении в эксплуатацию. |
Разовое срок до |
|
Организация журнала учета обращений субъектов ПДн |
Разовое срок до |
|
Организация перечня по учету технических средств и средств защиты, а так же документации к ним |
Разовое срок до |
|
Физические мероприятия | ||
Организация постов охраны для пропуска в контролируемую зону |
Разовое срок до |
|
Внедрение технической системы контроля доступа в контролируемую зону и помещения (по электронным пропускам, токену, биометрическим данным и т.п.) |
Разовое срок до |
|
Внедрение технической системы контроля доступа к элементам ИСПДн (по электронным пропускам, токену, биометрическим данным и т.п.) |
Разовое срок до |
|
Внедрение видеонаблюдения |
Разовое срок до |
|
Установка дверей на входе в помещения с аппаратными средствами ИСПДн |
Разовое срок до |
|
Установка замков на дверях в помещениях с аппаратными средствами ИСПДн |
Разовое с |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.