Приложение N 2. Правила обработки и обеспечения защиты персональных данных в комитете здравоохранения Волгоградской области. Приказ комитета здравоохранения Волгоградской области от 19.05.2015 N 1603 "О введении в действие документов, регламентирующих мероприятия по защите информации ограниченного доступа, обрабатываемой в комитете здравоохранения Волгоградской области" (с изменениями и дополнениями)

Приложение N 2

к приказу комитета здравоохранения

Волгоградской области

от 19.05.2015 года N 1603

Правила
обработки и обеспечения защиты персональных данных в комитете здравоохранения Волгоградской области

1. Общие положения

1.1. Настоящие правила обработки и обеспечения защиты персональных данных (далее - Правила) комитета здравоохранения Волгоградской области (далее - комитет) разработаны в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных в информационных системах персональных данных.

1.2. Целью настоящего документа является формирование общих правил для обеспечения защиты комитетом персональных данных (далее - ПДн) от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.

1.3. Правила разработаны в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом Российской Федерации от 27.07.2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 01.11.2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и иными нормативными актами, действующими на территории Российской Федерации. В соответствии с Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", настоящие Правила должны быть дополнены положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела.

1.4. В Правилах используются следующие термины:

Безопасность персональных данных - состояние защищенности ПДн, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в информационной системе.

Блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Информационная система персональных данных - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных - обязательное для соблюдения оператором (в данном случае комитетом) или иным лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.

Неавтоматизированная обработка персональных данных - обработка ПДн субъекта без использования средств вычислительной техники.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Оператор (персональных данных) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Трансграничная передача персональных данных - передача ПДн на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе и (или) в результате которых уничтожаются материальные носители ПДн.

2. Область действия

2.1. Правила являются обязательными для исполнения всеми работниками комитета, имеющими доступ к персональным данным.

3. Рекомендации по защите

3.1. Рекомендации содержат описание системы мер и принципов организации защиты ПДн в комитете.

3.2. Рекомендуется устанавливать в технических заданиях на создание (модернизацию) конкретных информационных систем и элементов информационно-телекоммуникационной инфраструктуры такой уровень требований по защите информации, который бы соответствовал или был строже рекомендаций, предложенных в настоящем разделе.

3.3. Работы по защите информации проводятся на основе реализации комплекса организационных и технических мероприятий.

3.4. Не допускается осуществление работниками комитета любых мероприятий и работ с использованием ПДн без принятия необходимых мер по защите информации.

3.5. Организация работ по обработке и защите информации в комитете возлагается на работника, ответственного за организацию обработки и обеспечение безопасности ПДн, назначенного приказом председателя комитета, или на стороннюю организацию (далее - Уполномоченное лицо) по договору.

3.6. Координация работ в области защиты информации и контроль эффективности мер защиты информации возлагаются на работника комитета, ответственного за организацию обработки и обеспечение безопасности ПДн.

3.7. Методическое руководство, подготовка нормативно-распорядительной документации и реализация технических мер по обеспечении безопасности обработки персональных данных возлагаются на работника комитета, ответственного за выполнение вышеуказанных работ, или на сотрудника Уполномоченного лица при условии выполнения требований п. 3.8 настоящих Правил.

3.8. Для обеспечения технической защиты ПДн могут привлекаться организации, имеющие лицензии на указанный вид деятельности, так как деятельность по технической защите конфиденциальной информации является лицензируемым видом деятельности и должна осуществляться на основе лицензий, выданных уполномоченными федеральными органами исполнительной власти.

4. Обработка персональных данных субъектов персональных данных

4.1. Все ПДн субъекта ПДн следует получать работникам комитета, допущенным к обработке ПДн, у него самого. Если ПДн субъекта возможно получить только у третьей стороны, за исключением случаев, предусмотренных законодательством Российской Федерации, субъект должен быть уведомлен об этом заранее в письменном виде по почте работником, ответственным за организацию обработки и обеспечение безопасности ПДн, или другим сотрудником комитета по его поручению. Работник комитета, принимающий ПДн субъекта, должен сообщить субъекту ПДн следующую информацию:

наименование, либо фамилия, имя, отчество и адрес комитета или его представителя;

цель обработки ПДн и ее правовое основание;

предполагаемые пользователи ПДн;

установленные действующим законодательством РФ права субъекта ПДн.

4.2. Работники комитета не имеют права получать и обрабатывать ПДн субъектов, не соответствующие целям их обработки.

4.3. Обработка специальных категорий ПДн субъектов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, возможна только с их согласия либо без их согласия в случаях, установленных законодательством РФ.

4.4. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в письменной форме, если иное не установлено Федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются работником, ответственным за организацию обработки и обеспечение безопасности ПДн или другим сотрудником комитета по его поручению, на основе нотариально заверенных доверенностей либо других документов, подтверждающих полномочия представителей, копии которых должны быть приложены к согласию.

4.5. Передавать ПДн субъектов для обработки третьим лицам можно только после получения комитетом от субъекта ПДн письменного согласия на передачу конкретному лицу (организации), кроме случаев, установленных действующим законодательством РФ. Передача ПДн на материальном носителе информации фиксируется в соответствующих журналах сотрудниками, ответственными за документооборот в комитете. Передача ПДн в электронном виде по защищенным каналам связи фиксируется в электронных журналах средств защиты информации.

4.6. Письменное согласие субъекта ПДн на обработку его ПДн должно включать в себя:

фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты и приложенная нотариальная копия (или оригинал) доверенности или иного надлежащего документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

наименование и адрес комитета;

цель обработки ПДн;

перечень ПДн, на обработку которых дается согласие субъекта ПДн;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению комитета, если обработка будет поручена такому лицу;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых комитетом способов обработки ПДн;

срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено действующим законодательством РФ;

подпись субъекта ПДн.

4.7. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн или в случае достижения целей обработки ПДн, Работник, ответственный за организацию обработки и обеспечение безопасности ПДн либо сотрудник комитета по его поручению, инициирует сбор, блокировку обработки с последующим уничтожением ПДн субъекта, кроме случаев, установленных законодательством РФ.

4.8. Письменные согласия субъектов передаются Работнику, ответственному за организацию обработки и обеспечение безопасности ПДн, и хранятся в специально предназначенном месте.

4.9. При обработке ПДн субъекта, по его запросу могут быть предоставлены следующие данные:

подтверждение факта обработки ПДн в комитете;

правовые основания и цели обработки ПДн;

цели и применяемые в комитете способы обработки ПДн;

наименование и место нахождения комитета, сведения о лицах (за исключением работников комитета), которые имеют доступ к персональным данным или которым могут быть раскрыты ПДн на основании договора с комитетом или на основании Федерального закона;

обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

сроки обработки ПДн, в том числе сроки их хранения;

порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;

ГАРАНТ:

Текст приводится в соответствии с источником

наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению комитета, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом Российской Федерации от 27.07.2006 г. N 152-ФЗ "О персональных данных" или другими Федеральными законами.

4.10. В случае получения запросов от уполномоченного органа по защите прав субъектов ПДн работник, ответственный за организацию обработки и обеспечение безопасности ПДн либо сотрудник комитета по его поручению, обязан представить документы и локальные акты, по обеспечению безопасности обработки ПДн субъектов и (или) иным образом подтвердить принятие необходимых мер в течение тридцати дней с даты получения такого запроса.

4.11. В соответствии с законодательством РФ в целях обеспечения прав и свобод человека и гражданина комитет и его представители при обработке ПДн субъекта должны соблюдать следующие общие требования:

обработка ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов РФ;

при определении объема и содержания, обрабатываемых ПДн комитет должен руководствоваться действующим законодательством РФ и локальными нормативными актами комитета;

при принятии решений, затрагивающих интересы субъекта, комитет не имеет права основываться на ПДн субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения;

защита ПДн субъекта от неправомерного их использования или утраты обеспечивается комитетом в порядке, установленном действующим законодательством РФ;

работники комитета должны быть ознакомлены под роспись с документами комитета, устанавливающими порядок обработки ПДн, а также об их правах и обязанностях в этой области;

доступ Работников комитета к персональным данным субъектов ПДн в информационных системах регламентируется только на основании локальных нормативных актов комитета с указанием перечня допущенных лиц, прав доступа, необходимых для выполнения служебных обязанностей;

обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;

уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление);

уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными;

при хранении материальных носителей ПДн должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним.

4.12. При передаче ПДн субъекта работниками комитета должны соблюдаться следующие требования:

не сообщать персональные данные субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных Федеральным законом;

осуществлять передачу ПДн субъектов в пределах комитета в соответствии с нормативными документами внутреннего документооборота комитета.

4.13. Допускается передача ПДн субъектов сторонним организациям, если данная передача обусловлена Федеральным законом, либо соответствующим соглашением, и не нарушает прав субъекта ПДн.

4.14. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя, либо по запросу субъекта ПДн или его представителя или уполномоченного органа по защите прав субъектов ПДн должно быть осуществлено блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечено их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению комитета) с момента такого обращения или получения указанного запроса на период внутренней проверки в комитете.

4.15. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн, должно быть осуществлено блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечено их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению комитета) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

4.16. В случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, должно быть проведено уточнение ПДн работником, ответственным за организацию обработки и обеспечение безопасности ПДн, либо обеспечено их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению комитета) в течение семи рабочих дней со дня представления таких сведений и снято блокирование ПДн. Уточнение ПДн должно производиться на основании данных, полученных от субъекта ПДн.

4.17. В случае выявления неправомерной обработки ПДн, осуществляемой комитетом или лицом, действующим по поручению комитета, комитет в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению комитета. В случае, если обеспечить правомерность обработки ПДн невозможно, комитет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн комитет обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

4.18. В случае достижения цели обработки ПДн комитет обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению комитета) и уничтожить персональные данные или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению комитета) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено законодательством Российской Федерации либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между комитетом и субъектом ПДн, либо если комитет не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законодательством.

4.19. В случае отзыва субъектом ПДн согласия на обработку его ПДн комитет обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить персональные данные или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между комитетом и субъектом ПДн либо, если комитет не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законодательством.

ГАРАНТ:

По-видимому, в пункте 4.19 раздела 4 настоящего приложения допущена опечатка, вместо "Учреждения" следует читать "комитета"

4.20. В случае невозможности уничтожения ПДн в течение срока, указанного в п. 4.17-4.19, комитет осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению комитета) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен Федеральными законами.

4.21. Работники комитета несут персональную ответственность за сохранность ПДн, к которым они имеют доступ.

4.22. Работники комитета, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, могут быть привлечены к ответственности, предусмотренной действующим законодательством РФ и локальными нормативными актами комитета.

5. Оценка угроз безопасности информации

5.1. Информация, обрабатывающаяся в информационных системах комитета, телекоммуникационных сетях, представляет интерес для конкурентов, коммерческих организаций и криминальных структур.

5.2. Материальными носителями ПДн, применяющимися в технических средствах и системах, являются: бумажные носители, накопители на жестких магнитных дисках, оптические и магнитные диски и ленты, флэш-память.

5.3. Основные виды угроз и источники угроз безопасности представлены в модели угроз безопасности для каждой автоматизированной информационной системы комитета.

6. Организационные мероприятия по защите персональных данных при их обработке и передаче в информационных системах комитета

6.1. В общем случае организационные мероприятия по защите ПДн связаны с формированием системы документов по защите ПДн, их разработкой, официальным оформлением и доведением до исполнителей, а также организацией контроля за соблюдением установленных этими документами правил и требований.

6.2. Мероприятия должны исключить возможность утечки информации, обрабатываемой в информационных системах комитета, и обеспечить запрет передачи ПДн по открытым каналам связи без применения установленных мер по ее защите, а также исключить возможность внесения в контролируемую зону устройств регистрации и накопления информации без соответствующего разрешения.

6.3. Система документов по защите информации включает действующее законодательство РФ и локальные нормативные акты комитета.

6.4. Состав внутренних документов, разрабатываемых на основании действующего законодательства РФ и локальных нормативных актов комитета, определяется на этапе приведения процессов обработки ПДн в комитете в соответствие требованиям законодательства. Состав документов определяется комитетом при возможном привлечении организаций-лицензиатов.

6.5. В подразделении, обслуживающем информационную систему комитета, рекомендуется иметь комплект эксплуатационной и технической документации на информационную систему, в том числе на систему защиты ПДн.

6.6. Обязанность поддерживать комплект документов по защите ПДн в актуальном состоянии возлагается на работника, ответственного за организацию обработки и обеспечение безопасности ПДн.

6.7. Организационные мероприятия по защите ПДн, обрабатываемых на автоматизированных рабочих местах (далее - АРМ), должны быть связаны с обеспечением:

сохранности машинных носителей информации, материалов печати и исключения доступа к ним посторонних лиц;

ограничения физического доступа и контроль доступа к изменению конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.);

исключения возможностей несанкционированного просмотра изображений с монитора АРМ через дверные проемы, окна - в том числе с использованием средств телевизионной, фотографической и визуальной оптической разведки, находящихся за границами контролируемой зоны;

режима блокирования доступа к АРМ во время отсутствия работника комитета;

режима блокирования доступа в помещение с установленным АРМ во внерабочее время и в рабочее время при отсутствии работника комитета.

6.8. Организационные мероприятия по защите ПДн в локальных вычислительных сетях (далее - ЛВС) должны включать:

обеспечение режима запрета на вхождение в сеть под чужой учетной записью;

обеспечение периодической смены паролей работниками комитета;

обеспечение хранения файлов с информацией в групповых каталогах (каталогах, информация в которых является доступной для определенной группы лиц), структура которых однозначно отображает организационную структуру подразделения (управления, отдела, группы и др.) и разрешения доступа к нему только Работников соответствующей структурной единицы;

обеспечение файлового обмена информацией между работниками комитета подразделений через создаваемый каталог общего использования, информация в котором является доступной для имеющих санкционированный доступ в ЛВС работников комитета;

обеспечение создания для каждого работника комитета личного сетевого каталога, предназначенного для хранения пользовательских данных, и предоставление ему всех прав (чтение, запись, создание, удаление, переименование) в отношении информации указанного каталога, за исключением права изменения привилегий доступа;

обеспечение контроля присвоения работника комитета учетных записей и их удаление или блокирование при увольнении работника;

обеспечение резервного копирования электронных информационных ресурсов;

обеспечение режима разграничения и контроля доступа к аппаратным и программным ресурсам локальных вычислительных сетей и АРМ.

7. Технические мероприятия по защите персональных данных

7.1. Технические мероприятия по защите информации разрабатываются по результатам обследования объекта информатизации, предназначенного для обработки ПДн, и оценки возможностей реализации замысла защиты на основе применения организационных мер защиты и активизации встроенных механизмов защиты используемых операционных систем и аппаратного обеспечения. Соответствующие требования излагаются в техническом задании на проектирование системы защиты.

7.2. Требуется осуществлять следующие технические мероприятия:

применение сертифицированных программных и (или) аппаратных средств защиты информации от несанкционированного доступа, контроля целостности, регистрации и учета действий пользователей информационной системы;

применение сертифицированных средств криптографической защиты конфиденциальной информации при ее передаче по открытым каналам связи;

предотвращение несанкционированной записи ПДн на съемные носители информации или вывода ПДн на печать;

регулярный анализ защищенности системы защиты ПДн;

защита ПДн при межсетевом взаимодействии;

применение антивирусной защиты.

8. Контроль состояния системы защиты персональных данных

8.1. В рамках проверок состояния защиты ПДн рекомендуется осуществлять контроль:

наличия в подразделениях нормативных документов по защите информации и доведения их до персонала с фиксацией факта ознакомления с документами;

знания и выполнения работниками требований локальных нормативных актов комитета по защите ПДн при их обработке в информационных системах комитета;

наличия и комплектности эксплуатационной и технической документации на систему защиты ПДн, а так же факта ознакомления работников комитета с инструкциями пользователей и администраторов средств защиты информации с соответствующей отметкой об ознакомлении в инструкциях;

работоспособности системы защиты ПДн;

задания требований по безопасности ПДн при разработке (модернизации) информационных систем комитета.

8.2. Контроль состояния защиты ПДн осуществляется в плановом и внеплановом порядке ответственным за организацию обработки и обеспечение безопасности ПДн Работником (либо комиссией), назначаемым комитетом.

8.3. Результаты проверок оформляются в виде отчетов о проведении проверки.

9. Цели обработки данных в информационных системах

9.1. Цели обработки данных в информационных системах определяются в рамках каждой информационной системы отдельно в соответствующей модели угроз, утверждаемой в установленном порядке, с обязательным указанием нормативных документов, регламентирующих сроки хранения. В области здравоохранения документами, регламентирующими цели обработки и сроки обработки являются: Федеральный закон Российской Федерации от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", Федеральный закон Российской Федерации от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Приказ Министерства здравоохранения Российской Федерации от 21.12.2012 N 1341н "Об утверждении Порядка ведения единого реестра лицензий, в том числе лицензий, выданных органами государственной власти субъектов Российской Федерации в соответствии с переданным полномочием по лицензированию отдельных видов деятельности" и другие.

10. Сроки хранения данных в информационных системах

10.1. Для каждой цели обработки данных определяется срок хранения и порядок уничтожения данных либо материальных носителей информации.

10.2. Сроки хранения отдельных документов

Вид документа	Срок хранения
Сведения, справки о совокупном доходе работников за год и уплате налогов	5 лет
Документы о начисленных и перечисленных суммах налогов, об освобождении от них, о предоставленных льготах, отсрочках по уплате налогов
Лицевые счета работников	75 лет
Личные дела:
- руководителя организации, членов руководящих, исполнительных, контрольных органов организации, а также работников, имеющих государственные и иные звания, премии, награды, ученые степени	Постоянно
- остальных работников	75 лет
Трудовые договоры, трудовые соглашения, не вошедшие в состав личных дел, личные карточки работников (включая временных)
Документы лиц, не принятых на работу	1 год
Перечень лиц, имеющих право подписи первичных документов	До замены новыми
Положения, инструкции о правах и обязанностях должностных лиц (должностные инструкции) типовые	Постоянно
Положения, инструкции о правах и обязанностях должностных лиц (должностные инструкции) индивидуальные	75 лет
Коллективные договоры	Не менее 10 лет (присланные для сведения - до минования надобности)
Табели (графики), журналы учета рабочего времени	5 лет (при тяжелых и опасных условиях труда - 75 лет)
Документы о премировании	5 лет
Штатные расписания и изменения к ним: а) по месту разработки и/или утверждения;	Не менее 10 лет
б) в других организациях	3 года
Личные карточки работников (в том числе временных)	75 лет
Подлинные личные документы (трудовые книжки, дипломы, аттестаты, удостоверения, свидетельства)	До востребования (невостребованные - 75 лет)
Командировочные удостоверения	5 лет после возвращения из командировки
Документы (служебные задания, отчеты, переписка) о командировании работников	5 лет
Документы (отчеты, акты, сведения) об учете трудовых книжек и вкладышей к ним	3 года
Графики предоставления отпусков	1 год
Медицинская карта стационарного больного	25 лет
Медицинская карта прерывания беременности	5 лет
История родов	25 лет
История развития новорожденного	25 лет
Протокол на случай выявления у больного запущенной формы злокачественного новообразования	5 лет
Выписка из медицинской карты стационарного больного злокачественным новообразованием	10 лет
Лист основных показателей состояния больного, находившегося в отделении (палате) реанимации и интенсивной терапии кардиологического отделения	25 лет
Протокол (карта) патологоанатомического исследования	10 лет
Направление на патолого-гистологическое исследование	1 год
Акт констатации биологической смерти	25 лет
Статистическая карта выбывшего из стационара	10 лет
Статистическая карта выбывшего из психиатрического (наркологического) стационара	50 лет

10.3. Если в процессе работы сотрудников комитета выявляется необходимость обработки данных (материальных носителей, содержащих информацию), не включенных в вышеуказанный перечень, необходимо провести уточнение сроков хранения и внести необходимые изменения в п. 10.2 настоящих Правил.

11. План контрольных мероприятий

11.1. С целью выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных, ответственными лицами проводятся контролирующие мероприятия.

Наименование контрольного мероприятия, проводимого в комитете	Периодичность проведения	Исполнитель
Контроль над соблюдением режима обработки ПДн	Ежемесячно	Системный администратор
Контроль над соблюдением режима защиты ПДн	Ежедневно	Руководитель подразделения
Контроль над выполнением антивирусной защиты	Еженедельно	Системный администратор
Контроль над соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена	Еженедельно	Системный администратор
Проведение контрольных проверок на предмет выявления изменений в режиме обработки и защиты ПДн	Ежегодно	Системный администратор
Контроль обновления программного обеспечения	Еженедельно	Системный администратор
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а так же предсказание появления новых, еще неизвестных угроз	Ежегодно	Системный администратор
Поддержание в актуальном состоянии нормативно-организационных документов	Ежеквартально	Системный администратор
Контроль выполнения работниками Учреждения инструкций по защите ПДн.	Еженедельно	Руководитель подразделения
Контроль знания и выполнения Работниками требований локальных нормативных актов комитета по защите ПДн в АРМ и ЛВС путем выборочного опроса работников.	Ежеквартально	Системный администратор

11.2. При возникновении внештатных ситуаций, повлекших несанкционированное уничтожение данных, нарушение целостности и другие несанкционированные изменения информации, проводятся внеплановые контролирующие мероприятия в структурном подразделении комитета, в котором возникла внештатная ситуация.