Приложение 12. План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных учреждения здравоохранения, социальной сферы, труда и занятости. Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (утв. Министерством здравоохранения и социального развития РФ 23 декабря 2009 г.)

Министерство здравоохранения и социального развития Российской Федерации

УТВЕРЖДАЮ
_______________________
_______________________
"__" ____________ 2009 г.

Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости

Приложение 12

План
мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных учреждения здравоохранения, социальной сферы, труда и занятости

СОГЛАСОВАНО
_______________________	________________ подпись, дата	_______________
_______________________	________________ подпись, дата	_______________
_______________________	________________ подпись, дата	_______________
Москва 2009

1 Общие положения

План мероприятий по обеспечению защиты персональных данных (далее - План), содержит необходимый перечень мероприятий для обеспечения защиты персональных данных.

План составлен на основании списка мер, методов и средств защиты, определенных в Концепции информационной безопасности и Политике информационной безопасности.

Выбор конкретных мероприятий осуществляется на основании анализа Отчета по результатам внутренней проверки и Модели угроз безопасности.

В План включены следующие категории мероприятий:

- организационные (административные);

- физические;

- технические (аппаратные и программные);

- контролирующие.

В План включена следующая информация:

- Название мероприятия.

- Периодичность мероприятия (разовое/периодическое).

- Исполнитель мероприятия/ответственный за исполнение.

План внутренних проверок составляется на все информационные системы персональных данных Учреждения.

2 План мероприятий по обеспечению безопасности ПДн

Мероприятие	Периодичность	Исполнитель/ Ответственный
ИСПДн 1
Организационные мероприятия
Первичная внутренняя проверка	Разовое срок до 01.01.2010 г.
Определение перечня ИСПДн	Разовое срок до
Определение обрабатываемых ПДн и объектов защиты	Разовое срок до
Определение круга лиц участвующих в обработке ПДн	Разовое срок до
Определение ответственности лиц участвующих в обработке	Разовое срок до
Определение прав разграничения доступа пользователей ИСПДн, необходимых для выполнения должностных обязанностей	Разовое срок до
Назначение ответственного за безопасность ПДн	Разовое срок до
Введение режима защиты ПДн	Разовое срок до
Утверждение Концепции информационной безопасности	Разовое срок до
Утверждение Политики информационной безопасности	Разовое срок до
Собрание коллегиального органа по классификации ИСПДн	Разовое срок до
Классификация всех выявленных ИСПДн	Разовое срок до
Первичный анализ актуальности УБПДн	Разовое срок до
Установление контролируемой зоны вокруг ИСПДн	Разовое срок до
Выбор помещений для установки аппаратных средств ИСПДн в помещениях, с целью исключения НСД лиц не допущенных к обработке ПДн	Разовое срок до
Организация режима и контроля доступа (охраны) в помещения, в которых установлены аппаратные средства ИСПДн.	Разовое срок до
Организация порядка резервного копирования защищаемой информации на твердые носители	Разовое срок до
Организация порядка восстановления работоспособности технических средств, ПО, баз данных с подсистем СЗПДн	Разовое срок до
Введение в действие инструкции по порядку формирования, распределения и применения паролей	Разовое срок до
Организация информирования и обучения сотрудников о порядке обработки ПДн	Разовое срок до
Организация информирования и обучения сотрудников о введенном режиме защиты ПДн	Разовое срок до
Разработка должностных инструкций о порядке обработки ПДн и обеспечении введенного режима защиты	Разовое срок до
Разработка инструкций о порядке работы при подключении к сетям общего пользования и (или) международного обмена	Разовое срок до
Разработка инструкций о действии в случае возникновения внештатных ситуаций	Разовое срок до
Разработка положения о внесении изменения в штатное программное обеспечение элементов ИСПДн	Разовое срок до
Разработка положения о порядке внесения изменений в программное обеспечение собственной разработки или штатное ПО специально дорабатываемое собственными разработчиками или сторонними организациями. Положение должно включать в себя техническое задание на изменения, технический проект, приемо-сдаточные испытания, акт о введении в эксплуатацию.	Разовое срок до
Организация журнала учета обращений субъектов ПДн	Разовое срок до
Организация перечня по учету технических средств и средств защиты, а так же документации к ним	Разовое срок до
Физические мероприятия
Организация постов охраны для пропуска в контролируемую зону	Разовое срок до
Внедрение технической системы контроля доступа в контролируемую зону и помещения (по электронным пропускам, токену, биометрическим данным и т.п.)	Разовое срок до
Внедрение технической системы контроля доступа к элементам ИСПДн (по электронным пропускам, токену, биометрическим данным и т.п.)	Разовое срок до
Внедрение видеонаблюдения	Разовое срок до
Установка дверей на входе в помещения с аппаратными средствами ИСПДн	Разовое срок до
Установка замков на дверях в помещениях с аппаратными средствами ИСПДн	Разовое с