Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства здравоохранения Рязанской области от 17 сентября 2014 г. N 1466 "О назначении ответственных лиц по защите персональных данных"
- Приложение N 3. Инструкция по порядку обращения с техническими средствами защиты информации, предназначенными для защиты персональных данных, обрабатываемых в информационных системах персональных данных министерства здравоохранения Рязанской области
Приложение N 3. Инструкция по порядку обращения с техническими средствами защиты информации, предназначенными для защиты персональных данных, обрабатываемых в информационных системах персональных данных министерства здравоохранения Рязанской области
Приложение N 3
к приказу
министерства здравоохранения
Рязанской области
от 17 сентября 2014 г. N 1466
Инструкция
по порядку обращения с техническими средствами защиты информации, предназначенными для защиты персональных данных, обрабатываемых в информационных системах персональных данных министерства здравоохранения Рязанской области
1. Общие положения
1.1. Инструкция по порядку обращения с техническими средствами защиты информации (далее - ТСЗИ), предназначенными для защиты персональных данных, обрабатываемых в информационных системах персональных данных министерства здравоохранения Рязанской области, регламентирует порядок обращения с техническими средствами защиты информации в процессе получения, хранения, доставки, передачи, встраивания в прикладные системы, тестирования в целях защиты персональных данных, обрабатываемых с использованием средств автоматизации.
1.2. Настоящая Инструкция подготовлена в соответствии с требованиями нормативно-методических документов ФСТЭК России и ФСБ России по защите персональных данных, обрабатываемых с использованием средств автоматизации.
1.3. Под техническим средством защиты информации в настоящей Инструкции понимается средство защиты информации, не являющееся криптосредством.
1.4. В настоящей Инструкции используются следующие термины и определения:
1.4.1 Доступ к информации - возможность получения информации и ее использования.
1.4.2 Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
1.4.3 Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4.4 Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
1.4.5 Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.4.6 Персональные данные (далее - ПДн) - любая информация, относящаяся прямо или косвенно определенному или к определяемому физическому лицу (субъекту персональных данных).
1.4.7 Средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
1.5. Для обеспечения безопасности ПДн при их обработке в ИСПДн министерства здравоохранения Рязанской области должны использоваться сертифицированные в системе сертификации ФСТЭК России ТСЗИ (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации).
2. Учет ТСЗИ
2.1. Инсталлирующие ТСЗИ-носители и установленные ТСЗИ подлежат поэкземплярному учету.
2.2. Программные ТСЗИ учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные ТСЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие ТСЗИ учитываются также совместно с соответствующими аппаратными средствами.
2.3. Эксплуатационная и техническая документация к ТСЗИ подлежит поэкземплярному учету.
2.4. ТСЗИ, а также эксплуатационная и техническая документация к ТСЗИ должны быть надежно упакованы, чтобы исключить возможность их физического повреждения и внешнего воздействия.
2.5. Полученные упаковки с ТСЗИ, а также с эксплуатационной и технической документацией к ним вскрываются Ответственным за обработку ПДн и Администратором ИСПДн, с последующей проверкой их содержимого.
2.6. Уничтожение ТСЗИ:
2.6.1 ТСЗИ уничтожаются (утилизируются) по решению руководителя министерства здравоохранения Рязанской области с уведомлением Администратора ИСПДн и Ответственного за организацию обработки ПДн.
2.6.2 Намеченные к уничтожению (утилизации) ТСЗИ изымаются из аппаратных средств, с которыми они функционировали. При этом ТСЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к ТСЗИ процедура удаления программного обеспечения и они полностью отсоединены от аппаратных средств.
2.6.3 Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения используются после уничтожения ТСЗИ без ограничений.
2.7. Эксплуатационная и техническая документация к ТСЗИ уничтожается путем сжигания или с помощью любых бумагорезательных машин.
3. Организация режима помещений с ТСЗИ
3.1. Размещение, специальное оборудование, охрана и организация режима в помещении, где установлены ТСЗИ (далее - режимные помещения), должны обеспечивать сохранность ПДн, ТСЗИ, исключать возможность неконтролируемого проникновения или пребывания в режимном помещении посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
3.2. Режимное помещение выделяется с учетом размеров контролируемых зон. Помещение должно иметь прочные входные двери с замками, гарантирующими надежное закрытие помещения в нерабочее время.
3.3. Режим охраны помещения, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливается Ответственным за организацию обработки ПДн в ИСПДн министерства здравоохранения Рязанской области.
3.4. Во время отсутствия в помещении лиц, имеющих право находиться в помещении, дверь режимного помещения должна быть постоянно закрыта на замок и может открываться только для санкционированного прохода сотрудников и посетителей.
3.5. Для предотвращения просмотра извне режимных помещений их окна должны быть защищены шторами или жалюзи.
4. Эксплуатация хранилищ с ТСЗИ
4.1. Инсталлирующие ТСЗИ-носители, эксплуатационная и техническая документация к ТСЗИ должна храниться в металлических хранилищах (ящиках, шкафах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
5. Контроль безопасности ТСЗИ
5.1. Текущий контроль за организацией и обеспечением функционирования ТСЗИ возлагается на Ответственного за организацию обработки ПДн в пределах его полномочий.
6. Ответственность
6.1. Пользователи ИСПДн несут персональную ответственность за сохранность полученных ТСЗИ, эксплуатационной и технической документации к ТСЗИ, за соблюдение положений настоящей Инструкции.
6.2. Ответственный за организацию обработки ПДн в ИСПДн министерства здравоохранения Рязанской области несет ответственность за соответствие проводимых им мероприятий по организации и обеспечению безопасности обработки ПДн с использованием ТСЗИ лицензионным требованиям и условиям, эксплуатационной и технической документации к ТСЗИ, а также настоящей Инструкции.