Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства здравоохранения Иркутской области от 6 ноября 2015 г. N 120-МПР "Об утверждении инструкций и положения при работе в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области" (с изменениями и дополнениями)
- Приложение 9. Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области
- Глава 5. Обеспечение безопасности ПДн субъектов (п.п. 24-30)
Глава 5. Обеспечение безопасности ПДн субъектов (п.п. 24-30)
Глава 5. Обеспечение безопасности ПДн субъектов
24. Министерство при обработке ПДн субъектов, обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для организации безопасности ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
25. Обеспечение безопасности ПДн субъектов достигается, в частности:
а) определением угроз безопасности ПДн при их обработке в информационных системах ПДн;
б) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к организации безопасности ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности;
в) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
г) для передачи информации по линиям связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные линии связи, в том числе волоконно-оптические линии связи, оборудованные средствами защиты информации, либо предназначенные для этого средства криптографической защиты информации;
д) средства защиты информации от несанкционированного доступа и средства антивирусной защиты должны использоваться во всех узлах локальной вычислительной сети, независимо от наличия (отсутствия) ПДн в данном узле локальной вычислительной сети, и должен обеспечиваться постоянный квалифицированный контроль настроек ответственным лицом;
е) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
ж) накопители и носители информации на бумажной, магнитной (магнитно-оптической) и иной основе должны учитываться и храниться в установленном порядке
з) обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
и) восстановлением защищаемых данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
к) установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;
л) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.
26. Для обеспечения безопасности ПДн субъектов при неавтоматизированной обработке предпринимаются следующие меры:
Определяются места хранения ПДн, которые оснащаются средствами защиты:
а) В кабинетах, где осуществляется хранение документов, содержащих ПДн субъектов, имеются сейфы, шкафы, стеллажи, тумбы.
б) Дополнительно кабинеты, где осуществляется хранение документов, оборудованы замками и системами охранной и пожарной сигнализаций.
в) Министерство использует услуги вневедомственной охраны.
27. Все действия по обработке ПДн субъектов осуществляются только должностными лицами, согласно "Списка должностей", допущенных к работе с ПДн, утвержденного распоряжением Министерства, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
28. При обработке ПДн на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
а) при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) только копия;
б) при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
в) уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
г) ПДн субъектов, содержащиеся на материальных носителях уничтожаются по Акту об уничтожении ПДн.
Эти правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе ПДн и информации не подлежащей защите.
а) Уточнение ПДн при осуществлении их обработки без использования средств автоматизации, производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными защищаемыми данными.
б) Обработка ПДн осуществляется с соблюдением порядка, предусмотренного об особенностях обработки Постановлением Правительства от 15 сентября 2008 года N 687 "Об утверждении Положения персональных данных, осуществляемой без использования средств автоматизации".
29. Для обеспечения безопасности ПДн субъекта при автоматизированной обработке предпринимаются следующие меры:
а) Все действия при автоматизированной обработке ПДн субъектов осуществляются только должностными лицами, согласно "Списка должностей", допущенных к работе с ПДн, утвержденного распоряжением Министерства, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
б) Персональные компьютеры, имеющие доступ к базам хранения ПДн субъектов, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности Министерства и сообщаются индивидуально работнику, допущенному к работе с ПДн и осуществляющему обработку ПДн субъектов ПДн на данном персональном компьютере.
в) Обработка ПДн осуществляется с соблюдением приказа Федеральной службы по техническому и экспортному контролю России от 14 мая 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
ГАРАНТ:
По-видимому, в предыдущем абзаце допущена опечатка. Дату "14 мая 2013 г." следует читать как "18 февраля 2013 г."
30. Режим конфиденциальности ПДн снимается по истечению срока их хранения, в соответствии с приказами по архивному делу, или продлевается на основании заключения экспертной комиссии Министерства, если иное не определено законодательством Российской Федерации.