Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства здравоохранения Нижегородской области от 14 апреля 2020 г. N 315-277/20П/од "Об утверждении организационно-распорядительных документов по технической защите персональных данных в Региональном сегменте единой информационной системы в сфере здравоохранения Нижегородской области"
- Приложение N 24. План мероприятий по созданию и эксплуатации системы защиты персональных данных в "Медицинской информационной системе Нижегородской области"
Приложение N 24. План мероприятий по созданию и эксплуатации системы защиты персональных данных в "Медицинской информационной системе Нижегородской области"
Приложение N 24
к приказу министерства здравоохранения
Нижегородской области
от 14.04.2020 N 315-277/20П/од
План
мероприятий по созданию и эксплуатации системы защиты персональных данных в "Медицинской информационной системе Нижегородской области"
Нижний Новгород
2020 г.
1. Общие положения
План мероприятий по обеспечению защиты персональных данных (далее - План) содержит необходимый перечень мероприятий для обеспечения защиты персональных данных в "ИСПДн МИС. Сегмент ЦОД" и "ИСПДн МИС. Сегмент ГБУЗ НО" министерства здравоохранения Нижегородской области.
В План включены следующие категории мероприятий:
- организационные (административные);
- физические;
- технические (аппаратные и программные);
- контролирующие.
План составляется на все информационные системы персональных данных, входящие в состав Медицинской информационной системы Нижегородской области.
План мероприятий по созданию и вводу в эксплуатацию СЗПДн МИС
|
N |
Мероприятие |
Периодичность, срок |
Исполнитель/Ответственный |
|
1. |
Проектные мероприятия |
|
|
|
1.1. |
Инициация работ по созданию системы защиты персональных данных, обрабатываемых в МИС Нижегородской области |
Разовое срок до ____ г. |
Министерство здравоохранения Нижегородской области в рамках конкурса ______ |
|
1.2. |
Определение обрабатываемых ПДн и объектов защиты |
Разовое срок до ____ г. |
Исполнитель (лицензиат ФСТЭК), МИАЦ НО |
|
1.3. |
Определение перечня сегментов ИСПДн МИС |
Разовое срок до ____ г. |
Исполнитель, МИАЦ НО |
|
1.4. |
Классификация сегментов ИСПДн МИС |
Разовое срок до ____ г. |
Исполнитель, МИАЦ НО |
|
1.5. |
Оформление актов классификации сегментов ИСПДн МИС |
Разовое срок до ____ г. |
Разработка форм - Исполнитель Оформление - МИАЦ НО Утверждение - Минздрав НО |
|
1.6. |
Определение круга лиц, участвующих в обработке ПДн |
Разовое срок до ____ г. |
Разработка форм - Исполнитель Оформление - МИАЦ НО, УЗ НО Утверждение - МИАЦ НО, УЗ НО |
|
1.7. |
Разработка моделей угроз сегментов ИСПДн МИС |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
1.8. |
Разработка моделей нарушителя ИСПДн МИС |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
1.9. |
Определение прав разграничения доступа пользователей ИСПДн, необходимых для выполнения должностных обязанностей |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
1.10. |
Разработка проектной документации СЗПДн МИС |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2. |
Разработка и утверждение организационно-распорядительной документации по защите ПДн в МИС |
|
|
|
2.1. |
План мероприятий по созданию СЗПДн в МИС |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2.2. |
Политика информационной безопасности в МИС |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2.3. |
Положение по обработке и защите ПДн в МИС |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
|
Инструкции |
|
|
|
2.4. |
Инструкция администратора безопасности ИСПДн "МИС. Сегмент ЦОД" |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2.5. |
Инструкция администратора системы сегмента |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2.6. |
Инструкция администратора безопасности ИСПДн "МИС" |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2.7. |
Инструкция администратора системы по обеспечению функционирования СЗПДн "МИС. Сегмент ГБУЗ" при ее эксплуатации |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2.8. |
Инструкция пользователя |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2.9. |
Инструкция по действиям в нештатных ситуациях |
Разовое срок до ____ г. |
Разработка - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
|
Журналы |
|
|
|
2.10. |
Оформление журнала учета обращений субъектов ПДн |
Разовое срок до ____ г. |
Разработка форм - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2.11. |
Оформление журнала учета средств защиты информации, а также документации к ним |
Разовое срок до ____ г. |
Разработка форм - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2.12. |
Оформление журнала выдачи персональных идентификаторов |
Разовое срок до ____ г. |
Разработка форм - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2.13. |
Оформление журнала внутренних проверок СЗПДн |
Разовое срок до ____ г. |
Разработка форм - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
2.14. |
Оформление журнала ознакомления с организационно-распорядительными документами |
Разовое срок до ____ г. |
Разработка форм - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
3. |
Организационные мероприятия по реализации СЗПДн МИС |
|
|
|
3.1. |
Назначение лица из состава сотрудников министерства здравоохранения, ответственного за обработку ПДн в МИС |
Разовое срок до ____ г. |
Минздрав НО |
|
3.2. |
Назначение коллегиального органа министерства здравоохранения по вопросам обработки и защиты ПДн в МИС |
Разовое срок до ____ г. |
Минздрав НО |
|
3.3. |
Поручение министерством учреждениям здравоохранения обработки персональных данных в соответствующих сегментах МИС |
Разовое срок до ____ г. |
Минздрав НО |
|
3.4. |
Назначение лиц в учреждениях здравоохранения, ответственных за обработку ПДн в сегментах МИС, исполняющих функции администратора безопасности - администратор ИБ |
Разовое срок до ____ г. |
Минздрав НО |
|
3.5. |
Возложение на одно из структурных подразделений ГБУЗ НО "МИАЦ" функций по обеспечению безопасности ПДн при их обработке в ИСПДн "МИС. Сегмент ЦОД" |
Разовое срок до ____ г. |
Минздрав НО |
|
3.6. |
Информирование сотрудников МИАЦ НО, исполняющих функции администратора безопасности и администратора системы, о введении режима защиты ПДн, ознакомление их под роспись с положениями ОРД по обработке и защите ПДн |
Разовое срок до ____ г. |
Минздрав НО |
|
3.7. |
Назначение сотрудников, ответственных за обеспечение защиты ПДн при их обработке в сегментах учреждений здравоохранения МИС |
Разовое срок до ____ г. |
Главврач УЗ |
|
3.8. |
Утверждение разработанной ОРД |
Разовое срок до ____ г. |
Минздрав НО |
|
3.9. |
Утверждение списка лиц, допущенных к обработке ПДн в сегментах МИС (список пользователей) |
Разовое срок до ____ г. |
Главврач УЗ |
|
3.10. |
Организация информирования сотрудников УЗ о введении режима защиты ПДн, ознакомление сотрудников УЗ с ОРД по обработке и защите ПДн |
Разовое срок до ____ г. Периодически - по факту добавления новых пользователей ИСПДн |
Главврач УЗ, Администратор УЗ, МИАЦ НО |
|
3.11. |
Организация доступа к МИС - выдача парольной информации, идентификаторов пользователей с записью в журнале выдачи |
Разовое срок до _____ г. Периодически - по факту добавления новых пользователей ИСПДн |
Исполнитель Администратор УЗ |
|
4. |
Технические мероприятия по реализации СЗПДн МИС |
|
|
|
4.1. |
Монтаж оборудования защиты информации в ЦОД |
Разовое срок до ____ г. |
|
|
4.2. |
Монтаж, установка и настройка средств защиты информации |
Разовое срок до ____ г. |
|
|
5. |
Аттестационные испытания по защите ПДн МИС |
|
|
|
5.1. |
Разработка и утверждение программы и методик аттестационных испытаний МИС |
Разовое срок до ____ г. Периодически - не реже 1 раза в 3 года |
Разработка, Утверждение - Исполнитель Согласование - МИАЦ НО, минздрав НО |
|
5.2. |
Проведение аттестационных испытаний МИС в соответствии с Программой и методиками |
Разовое срок до Периодически - не реже 1 раза в 3 года |
Работы - Исполнитель, лицензиат ФСТЭК России |
|
5.3. |
Оформление протоколов аттестационных испытаний |
Разовое срок до Периодически - не реже 1 раза в 3 года |
Оформление, утверждение - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
5.4. |
Оформление заключений по результатам аттестационных испытаний |
Разовое срок до Периодически - не реже 1 раза в 3 года |
Оформление, утверждение - Исполнитель Согласование - МИАЦ НО Утверждение - Минздрав НО |
|
5.5. |
Оформление аттестатов соответствия |
Разовое срок до Периодически - не реже 1 раза в 3 года |
Оформление, утверждение - Исполнитель |
|
6. |
Ввод СЗПДн в эксплуатацию |
|
|
|
6.1. |
Оформление приказа о введении режима защиты ПДн |
Разовое срок до |
Минздрав НО |
|
6.2. |
Оформление приказа и акта ввода системы в эксплуатацию |
Разовое срок до |
Минздрав НО |
2. План мероприятий по обеспечению безопасности ПДн при эксплуатации МИС
|
N |
Мероприятие |
Периодичность, срок |
Исполнитель/Ответственный |
|
1. |
Организационные мероприятия (Выполняются ГБУЗ МИАЦ НО) |
|
|
|
1.1. |
Контроль перечня обрабатываемых ПДн и объектов защиты |
Периодически - не реже 1 раза в год |
Комиссия по вопросам обработки ПДн в МИС, МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
1.2. |
Контроль технологии обработки ПДн в МИС |
Периодически - не реже 1 раза в год |
Комиссия по вопросам обработки ПДн в МИС, МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
1.3. |
Анализ изменений в списке сегментов ИСПДн МИС |
Периодически - не реже 1 раза в год |
Комиссия по вопросам обработки ПДн в МИС, МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
1.4. |
Анализ изменений в списке лиц, ответственных за обработку и защиту ПДн при обработке в МИС |
Периодически - не реже 1 раза в год |
Комиссия по вопросам обработки ПДн в МИС, МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
1.5. |
Анализ классов ИСПДн |
Периодически - не реже 1 раза в год |
Комиссия по вопросам обработки ПДн в МИС, МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
1.6. |
Анализ изменений в списке лиц, участвующих в обработке ПДн |
Периодически - не реже 1 раза в год |
Комиссия по вопросам обработки ПДн в МИС, МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
1.7. |
Анализ изменений актуальных угроз сегментов ИСПДн МИС |
Периодически - не реже 1 раза в год |
Комиссия по вопросам обработки ПДн в МИС, МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
1.8. |
Анализ вступления в действие новых нормативных документов по защите информации, а также соответствия мер по защите информации, принимаемых в МИС, данным документам |
Периодически - не реже 1 раз в год |
Комиссия по вопросам обработки ПДн в МИС, МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
1.9. |
Анализ, при необходимости корректировка ОРД по защите ПДн в МИС |
Периодически - не реже 1 раза в год |
Комиссия по вопросам обработки ПДн в МИС, МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
1.10. |
Обработка обращений субъектов ПДн |
По факту поступления запросов |
Минздрав НО |
|
1.11. |
Проверка фактов обращений субъектов ПДн, сроков ответов на обращения, заполнение журнала учета обращений субъектов ПДн |
Периодически - не реже 1 раза в год |
Комиссия по вопросам обработки ПДн в МИС, МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
2. |
Выполнение организационных и технических мероприятий по защите информации в ИСПДн "МИС. Сегмент ГБУЗ" |
|
|
|
2.1. |
Проверка состава оборудования ИСПДн, его работоспособности, размещения |
Периодически - не реже 1 раза в год |
Администратор УЗ, при необходимости - лицензиат ФСТЭК |
|
2.2. |
Проверка настроек средств защиты от НСД в соответствии с правами доступа пользователей ИСПДн, необходимых для выполнения должностных обязанностей |
Периодически - не реже 1 раза в год |
Администратор УЗ, при необходимости - лицензиат ФСТЭК |
|
2.3. |
Проверка выполнения положений парольной политики МИС, обеспечивающей порядок формирования, распределения и применения паролей |
Периодически - не реже 1 раза в год |
Администратор УЗ, при необходимости - лицензиат ФСТЭК |
|
|
Проверка ведения журналов системы |
|
|
|
2.4. |
Проверка ведения журнала учета средств защиты информации, а также документации к ним. При необходимости - корректировка |
Периодически - не реже 1 раза в год |
Администратор УЗ, при необходимости - лицензиат ФСТЭК |
|
2.5. |
Проверка ведения журнала выдачи персональных идентификаторов. При необходимости - корректировка |
Периодически - не реже 1 раза в год |
Администратор УЗ, при необходимости - лицензиат ФСТЭК |
|
2.6. |
Проверка ведения электронных журналов событий безопасности системы |
Периодически - не реже 1 раза в год |
Администратор УЗ, при необходимости - лицензиат ФСТЭК |
|
2.7. |
Внесение записи в журнал внутренних проверок СЗПДн |
Периодически - не реже 1 раза в год |
Администратор УЗ |
|
2.8. |
Актуализация списка лиц, допущенных к обработке ПДн и пользованию СКЗИ в сегменте МИС (список пользователей) |
Периодически - не реже 2 раз в год |
Главврач УЗ, Администратор УЗ |
|
2.9. |
Проведение информирования новых сотрудников УЗ о введении режима защиты ПДн, ознакомление сотрудников УЗ с ОРД по обработке и защите ПДн |
Периодически - по факту добавления новых пользователей ИСПДн. Проверка - не реже 1 раза в год |
Главврач УЗ, Администратор УЗ |
|
2.10. |
Организация доступа пользователей к системе: выдача парольной информации, сертификатов, идентификаторов пользователей с записью в журнале выдачи |
Периодически - по факту добавления новых пользователей ИСПДн |
Администратор УЗ, при необходимости - лицензиат ФСТЭК |
|
2.11. |
Проверка выполнения требований по организации доступа к МИС - выдача парольной информации, сертификатов, идентификаторов пользователей с записью в журнале выдачи |
Периодически - по факту добавления новых пользователей ИСПДн. Проверка - не реже 1 раза в год |
Администратор УЗ, администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3. |
Выполнение организационных и технических мероприятий по защите информации в ИСПДн "МИС. Сегмент ЦОД" |
|
|
|
3.1. |
Проверка полноты состава оборудования защиты информации в ЦОД |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.2. |
Проверка целостности контрольных пломб оборудования ЦОД |
Периодически - не реже 1 раза в год. При необходимости доступа (замены оборудования) - каждый раз перед снятием контрольной пломбы |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК. Администратор ИБ МИАЦ НО |
|
3.3. |
Проверка соответствия помещений с размещенным оборудованием предъявляемым требованиям |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.4. |
Проверка функционирования системы контроля доступа (охраны) в помещения, в которых установлены аппаратные средства ИСПДн |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, подрядная обслуживающая организация, при необходимости - лицензиат ФСТЭК |
|
3.5. |
Администрирование средств защиты в соответствии с правами доступа пользователей ИСПДн |
Периодически |
Администратор ИБ МИАЦ НО, при необходимости - подрядная обслуживающая организация - лицензиат ФСТЭК |
|
3.6. |
Обновление программного обеспечения |
Периодически - при выходе обновлений |
Администратор системы МИАЦ НО, при необходимости - подрядная обслуживающая организация |
|
3.7. |
Выполнение антивирусной проверки |
Периодически - не реже 1 раза в месяц |
Администратор ИБ МИАЦ НО, при необходимости - подрядная обслуживающая организация |
|
3.8. |
Проверка настроек средств защиты от НСД в соответствии с правами доступа пользователей ИСПДн, необходимых для выполнения должностных обязанностей |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.9. |
Проверка выполнения положений парольной политики МИС, обеспечивающей порядок формирования, распределения и применения паролей |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.10. |
Проверка работоспособности системы резервного копирования и восстановления технических средств, ПО, баз данных с подсистем СЗПДн |
Периодически - не реже 1 раза в год |
Администратор системы МИАЦ НО, Администратор ИБ МИАЦ НО, подрядная обслуживающая организация, при необходимости - лицензиат ФСТЭК |
|
3.11. |
Проверка выполнения требований при подключении к сетям общего пользования и (или) международного обмена |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.12. |
Проверка необходимости внесения изменений в состав программного обеспечения элементов ИСПДн |
Периодически - не реже 1 раза в год |
Администратор системы МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.13. |
Контроль за обновлениями программного обеспечения |
Периодически - не реже 2 раз в год |
Администратор системы МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.14. |
Контроль над выполнением антивирусной защиты |
Периодически - не реже 1 раза в месяц |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.15. |
Организация доступа пользователей к системе: выпуск парольной информации, сертификатов, идентификаторов пользователей, создание новых доменных учетных записей |
Периодически - по факту добавления новых пользователей ИСПДн |
Администратор ИБ МИАЦ НО, Администратор системы МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.16. |
Актуализация списка лиц, допущенных к обработке ПДн в сегменте МИС (список пользователей) |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.17. |
Проверка выполнения требований по организации доступа к МИС |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
|
Проверка ведения журналов системы |
|
|
|
3.18. |
Проверка ведения журнала учета средств защиты информации, а также документации к ним. При необходимости - корректировка |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.19. |
Проверка ведения журнала выдачи персональных идентификаторов. При необходимости - корректировка |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.20. |
Проверка ведения электронных журналов событий безопасности системы |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК |
|
3.21. |
Внесение записи в журнал внутренних проверок СЗПДн |
Периодически - не реже 1 раза в год |
Администратор ИБ МИАЦ НО, при необходимости - лицензиат ФСТЭК. УЗ |
Лист ознакомления ответственных лиц
|
N |
ФИО, должность |
Дата ознакомления |
Подпись |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|