Приложение N 2. Положение о порядке обработки и обеспечения защиты информации, содержащей персональные данные, в региональном сегменте единой информационной системы в сфере здравоохранения Нижегородской области. Приказ Министерства здравоохранения Нижегородской области от 14.04.2020 N 315-277/20П/од "Об утверждении организационно-распорядительных документов по технической защите персональных данных в Региональном сегменте единой информационной системы в сфере здравоохранения Нижегородской области"

Приложение N 2
к приказу министерства здравоохранения
Нижегородской области
от 14.04.2020 N 315-277/20П/од

Положение
о порядке обработки и обеспечения защиты информации, содержащей персональные данные, в региональном сегменте единой информационной системы в сфере здравоохранения Нижегородской области

Определения

В настоящем Положении о порядке обработки и обеспечения защиты информации, содержащей персональные данные, в Медицинской информационной системе Нижегородской области (далее - Положение) применяются следующие термины и определения:

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Граждане (субъекты персональных данных) - физические лица (лица, имеющие право на государственную социальную помощь; дети-инвалиды; дети-сироты; дети, оставшиеся без попечения родителей; лица, прошедшие диспансеризацию; больные сахарным диабетом; медицинские работники учреждений здравоохранения Нижегородской области; умершие, состоящие в гражданско-правовых отношениях с учреждением-оператором, предусмотренных уставом учреждения).

Врачебная тайна - соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении.

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Документы, содержащие персональные данные гражданина, - документы, необходимые для осуществления действий в целях оказания услуг по подготовке и выдаче документов, необходимых для аттестации медицинских работников учреждений здравоохранения Нижегородской области.

Обработка персональных данных гражданина - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных гражданина.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных - операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральным законодательством не распространяется требование соблюдения конфиденциальности.

ИС - информационная система.

МИС - медицинская информационная система.

ПДн - персональные данные.

СЗПДн - система защиты персональных данных.

УЗ НО - учреждение здравоохранения Нижегородской области.

ГБУЗ НО "МИАЦ" - Государственное бюджетное учреждение здравоохранения Нижегородской области "Медицинский информационно-аналитический центр".

1. Общие положения

Настоящее Положение является официальным документом министерства здравоохранения Нижегородской области (далее - министерство).

Настоящее Положение по обеспечению безопасности персональных данных при их обработке в Региональном сегменте единой информационной системы в сфере здравоохранения Нижегородской области (далее - МИС) разработано с целью определения порядка обработки персональных данных в МИС, обеспечения защиты прав и свобод человека и гражданина при обработке их ПДн в МИС, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, порядка обеспечения безопасности обрабатываемых ПДн, а также установления ответственности должностных лиц, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн.

Обеспечение безопасности ПДн является одной из приоритетных задач функционирования МИС и достигается путем выполнения мероприятий по организации и техническому обеспечению безопасности ПДн при их обработке в МИС и обеспечения функционирования системы защиты персональных данных (далее - СЗПДн) МИС.

Настоящее положение разработано в соответствии с требованиями нормативных документов, приведенных в разделе 6 настоящего положения.

Настоящее Положение определяет состав мероприятий по организации и техническому обеспечению безопасности персональных данных при их обработке в МИС, организационную структуру СЗПДн, состав ПДн, порядок обработки ПДн в МИС, перечень ответственных лиц, перечень и содержание организационно-распорядительной документации, а также требования к соблюдению конфиденциальности и ответственность лиц при обработке ПДн в МИС.

Настоящее Положение обязательно к исполнению всеми сотрудниками министерства и всех подведомственных ему организаций (штатными, временными, работающими по контракту и т.п.), допущенными к обработке ПДн в МИС, а также всеми лицами, имеющими право доступа к ресурсам МИС, в том числе сотрудниками сторонних организаций, оказывающими услуги по обслуживанию программных и технических средств МИС (подрядчики, аудиторы и т.п.).

Настоящее Положение не является публичным документом и не подлежит свободному распространению.

1.1. Порядок ввода в действие, внесения изменений и ознакомления с Положением.

Настоящее Положение вступает в силу с даты его утверждения.

Положение утверждается и вводится в действие приказом министерства.

Изменения в Положение вносятся приказом министерства.

Работники министерства и всех ГБУЗ НО, а также все иные лица, которым предоставляется право доступа необходим и имеющие доступ к обработке ПДн в МИС, должны быть ознакомлены с Положением под роспись.

Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

2. Описание МИС Нижегородской области

МИС создан в рамках программы модернизации здравоохранения Нижегородской области в 2011 - 2012 годах на основании системного проекта "Создание регионального сегмента единой информационной системы в сфере здравоохранения Нижегородской области, с поддержкой процесса управления оказания медицинской помощи населению и повышения информированности населения", утвержденного министром здравоохранения Нижегородской области.

Основные задачи создания МИС - поддержка процесса управления оказанием медицинской помощи населению, повышения информированности населения и повышения качества медицинского обслуживания за счет эффективного использования имеющихся ресурсов здравоохранения посредством внедрения современных информационных технологий.

В соответствии с п. 1 ст. 13 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" МИС является государственной (региональной) информационной системой, обрабатывающей персональные данные.

В МИС обрабатываются персональные данные граждан, следовательно, МИС является информационной системой персональных данных (далее - ИСПДн) МИС Нижегородской области (далее - ИСПДн МИС).

2.1. Структура МИС.

МИС состоит из:

- центрального сегмента - Центра обработки данных (далее - сегмент ЦОД);

- территориально удаленных сегментов, располагающихся в ГБУЗ НО (далее - сегмент ГБУЗ НО).

Перечень ИСПДн МИС утверждается Министром здравоохранения Нижегородской области и представлен в Приложении N 1 к настоящему Положению.

Основные вычислительные мощности МИС по обработке и хранению информации представлены в ИСПДн "МИС Сегмент ЦОД".

ИСПДн "МИС Сегмент ГБУЗ НО" фактически представляет собой набор рабочих мест пользователей прикладного комплекса МИС, объединенных выделенным сегментом локальной вычислительной сети в пределах одного ГБУЗ НО и подключенных к выделенным каналам связи для связи с ЦОД.

Состав средств вычислительной техники и программного обеспечения каждой ИСПДн приведен в технических паспортах.

2.2. Состав ПДн.

В МИС обрабатываются ПДн, содержащие информацию о состоянии здоровья граждан, относящуюся к специальным категориям персональных данных.

Состав ПДн, обрабатываемых в МИС, утверждается Министром здравоохранения Нижегородской области и приведен в приложении N 2 к настоящему Положению.

2.3. Виды обработки ПДн.

В соответствии с положениями Федерального закона "О персональных данных" в МИС производятся следующие виды обработки ПДн:

ИСПДн "МИС Сегмент ЦОД"	ИСПДн "МИС Сегмент ГБУЗ"
В ИСПДн производятся следующие виды обработки ПДн с использованием средств автоматизации: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение	В ИСПДн производятся следующие виды обработки ПДн с использованием средств автоматизации: сбор, ввод (запись), уточнение (обновление, изменение), извлечение (вывод на печатные носители), использование, удаление персональных данных

2.4. Принципы обработки ПДн.

При обработке ПДн в МИС должны соблюдаться следующие принципы, определенные Статьей 5 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных":

1. Обработка персональных данных должна осуществляться на законной и справедливой основе. Все персональные данные гражданина следует получать у него самого или у его полномочного представителя. Если персональные данные гражданина возможно получить только у третьей стороны, то гражданин должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие, за исключением случаев, предусмотренных законодательством.

2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только ПДн, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше чем этого требуют цели обработки ПДн, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

8. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Операторы сегментов при обработке персональных данных обязаны соблюдать следующие общие требования:

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

3) При определении объема и содержания обрабатываемых персональных данных гражданина учреждение-оператор должно руководствоваться Конституцией Российской Федерации, Федеральным законом от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", законодательством РФ в сфере защиты персональных данных и обработки информации, уставом учреждения-оператора и иными локальными нормативными актами в области защиты персональных данных;

4) Учреждение-оператор не имеет права получать и обрабатывать персональные данные гражданина, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

5) Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении гражданина или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ.

2.5. Правовые основания обработки ПДн.

Обработка персональных данных в МИС осуществляется на основании:

- Федерального закона Российской Федерации от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

- Федерального закона от 29 ноября 2010 г. N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";

- Федерального закона от 17 июля 1999 г. N 178-ФЗ "О государственной социальной помощи";

- Федерального закона от 16 июля 1999 г. N 165-ФЗ "Об основах обязательного социального страхования";

- Положения о министерстве здравоохранения Нижегородской области, утвержденного Постановлением Правительства Нижегородской области от 23 ноября 2007 г. N 435 (в ред. постановлений Правительства Нижегородской области от 20 июня 2008 N 245, от 07 августа 2008 г. N 330, от 19 ноября 2008 г. N 550);

- обязанностей по предоставлению государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" для обеспечения предоставления такой услуги;

- согласия субъекта персональных данных на обработку его персональных данных;

- необходимости обработки персональных данных для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- в случаях, когда обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

2.6. Цели обработки ПДн в МИС.

Обработка ПДн в МИС осуществляется с целью исполнения государственных функций по соблюдению прав и свобод человека и гражданина в области охраны здоровья, отнесенных к компетенции министерства и закрепленных в Положении о министерстве, государственных учреждений здравоохранения Нижегородской области.

2.7. Оператор ПДн и операторы ИС.

Заказчиком МИС и оператором, организующим обработку информации, содержащей персональные данные (далее - Оператор ПДн), в МИС, является министерство.

Министерство как оператор по обработке ПДн в МИС определяет цели обработки ПДн, сроки, требования по обработке и обеспечению безопасности ПДн.

В соответствии с положениями Федерального закона "О персональных данных" ответственность перед субъектами ПДн (гражданами) и контролирующими органами несет Оператор ПДн. Лица, обрабатывающие ПДн по поручению Оператора, несут ответственность перед Оператором.

2.7.1. Операторы информационных систем.

Министерство своим приказом возлагает на УЗ НО и ГБУЗ НО "МИАЦ" функции операторов информационных систем, являющихся сегментами МИС, в соответствии с положениями Федерального закона "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г. N 149-ФЗ и Федерального закона "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 N 152-ФЗ.

2.7.2. Поручение обработки ПДн.

Министерство поручает УЗ НО (оператору) проводить обработку ПДн в соответствующих сегментах МИС.

2.7.3. Ответственные лица.

Министерство назначает лицо, ответственное за обработку ПДн в МИС.

Также создается координирующий орган (комиссия) по вопросам обработки ПДн в МИС (приказ "О назначении комиссии по вопросам обработки ПДн в МИС"). Порядок формирования комиссии и исполнения ее функций определяется утвержденным положением о комиссии.

Государственные бюджетные учреждения здравоохранения Нижегородской области из числа своих сотрудников назначают ответственных лиц:

- сотрудника(ов), исполняющего функции администратора системы ИСПДн "МИС Сегмент ГБУЗ";

- пользователей ИСПДн "МИС Сегмент ГБУЗ".

Функциональные (должностные) обязанности системных администраторов и администраторов безопасности отражаются в соответствующих инструкциях, с которыми указанные сотрудники должны быть ознакомлены под роспись.

2.8. Сроки обработки ПДн.

Сроки обработки ПДн в МИС не должны превышать сроков, необходимых для достижения целей обработки ПДн, а также сроков хранения ПДн, определенных действующим законодательством РФ.

2.9. Права и обязанности Оператора ПДн МИС.

Оператор персональных данных МИС вправе:

- организовывать и проводить обработку ПДн в составе и объеме, соответствующих определенным законным целям;

- использовать персональные данные Субъекта ПДн без его согласия в случаях, предусмотренных законодательством;

- уточнять и получать дополнительные персональные данные у Субъекта ПДн и (или) у его законных представителей, необходимые для целей обработки ПДн в МИС;

- поручить обработку ПДн третьим лицам с согласия Субъекта ПДн либо без такового в случаях, предусмотренных ФЗ РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- предоставлять персональные данные субъектов ПДн третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.

Оператор ПДн обязан:

- осуществлять обработку ПДн с соблюдением принципов и правил, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- соблюдать требования действующего законодательства по вопросам обработки и защиты ПДн, а также контролировать исполнение требований по защите информации от операторов информационных систем - сегментов МИС;

- обеспечивать точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Принимать меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

- хранить ПДн в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных;

- уведомить уполномоченный орган по защите прав субъектов ПДн об обработке ПДн в МИС в соответствии с положениями Федерального закона "О персональных данных".

2.10. Соблюдение прав и обязанностей субъекта ПДн.

Субъект персональных данных имеет право на получение сведений, касающихся обработки его персональных данных в МИС, требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.

2.10.1. Порядок реализации прав субъектов ПДн.

Реализация указанных прав субъектов персональных данных осуществляется в соответствии с положениями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

Для реализации своих прав субъект персональных данных обращается с письменным запросом в адрес Оператора по обработке ПДн в МИС Нижегородской области - министерство.

Обращение субъекта ПДн должно быть зарегистрировано сотрудником подразделения министерства, осуществляющего ведение документооборота, в журнале учета обращений субъектов ПДн и ответов на них. Лицом, ответственным за обработку ПДн в МИС, назначается ответственный за обработку полученного обращения субъекта ПДн и ответа на него. В отдельных случаях для рассмотрения обращения может быть инициировано внеплановое заседание комиссии по вопросам обработки ПДн в МИС для обработки обращения.

Ответ субъекту ПДн на его запрос должен быть представлен в сроки, определенные положениями Федерального закона "О персональных данных". Факт отправки ответа должен быть зафиксирован в журнале учета обращений субъектов ПДн и ответов на них.

3. Порядок организации обработки ПДн в МИС Нижегородской области

Обработка ПДн в МИС производится пользователями прикладных и системных сервисов МИС, которыми являются:

- сотрудники министерства;

- сотрудники ГБУЗ "МИАЦ" НО, являющегося оператором сегмента ЦОД МИС;

- сотрудники УЗ НО, являющегося оператором сегмента ГБУЗ НО МИС.

Обработка и защита ПДн в МИС организуется назначенными ответственными сотрудниками организаций - операторов информационных систем, являющихся сегментами МИС.

3.1. Условия возможности обработки ПДн в сегментах ГБУЗ.

Обработка пользователями ПДн в сегментах УЗ НО может производиться при условии выполнения следующих условий:

- УЗ НО приказом министерства назначено оператором сегмента ГБУЗ НО МИС, и поручена обработка персональных данных в сегменте МИС;

- в ГБУЗ НО назначены ответственные лица по вопросам обработки и защиты ПДн, утверждены сотрудники, исполняющие функции администратора системы и администратора безопасности. Указанные сотрудники ознакомлены под роспись с положениями организационно-распорядительной документации по защите ПДн;

- в сегменте МИС выполнены мероприятия по созданию системы защиты персональных данных в соответствии с проектным решением СЗПДн МИС НО;

- приказом руководителя ГБУЗ НО назначены сотрудники ГБУЗ НО, допущенные к работе с прикладными сервисами МИС (далее - пользователи МИС). Указанные сотрудники ознакомлены под роспись с положениями организационно-распорядительной документации по защите ПДн;

- сотрудники, исполняющие функции администратора системы и администратора безопасности. Указанные сотрудники ознакомлены под роспись с положениями организационно-распорядительной документации по защите ПДн;

- проведены аттестационные испытания типового сегмента информационной системы МИС, и на него выдан аттестат соответствия требованиям по защите информации. Подтверждено соответствие сегмента МИС аттестованному типовому сегменту МИС в части технологии обработки информации, а также принимаемым мерам по защите информации. Информация о сегменте МИС включена в Аттестат соответствия.

3.1.1. Условия допуска пользователей к прикладным сервисам МИС.

К работе с прикладными сервисами МИС допускаются сотрудники структурных подразделений министерства при выполнении следующих условий:

- сотрудник является медицинским работником, имеющим достаточную квалификацию и допущенным к работе с информацией, составляющей медицинскую тайну;

- сотрудник прошел инструктаж по вопросам обработки ПДн в МИС и соблюдения режима информационной безопасности;

- сотрудник ознакомлен под роспись с положениями организационно-распорядительной документации по защите ПДн;

- соответствующий сотрудник включен в перечень сотрудников (пользователей), допущенных к обработке ПДн в МИС, утвержденный приказом министерства (руководителя УЗ НО).

Перечень сотрудников (пользователей), допущенных к обработке ПДн, оформляется и утверждается приказом министерства, руководителем соответствующего УЗ НО. При изменении состава сотрудников организации перечень допущенных к обработке ПДн в МИС должен быть переоформлен. Переоформление перечня пользователей производится администратором системы сегмента МИС при проведении плановых мероприятий, при необходимости - внепланово.

3.1.2. Порядок допуска пользователей к прикладным сервисам МИС.

С целью организации доступа пользователей к прикладным сервисам в МИС реализовано несколько рубежей аутентификации. Механизмы аутентификации реализуются программными и программно-аппаратными средствами сегмента ЦОД и сегментов ГБУЗ НО.

Организация доступа пользователей к прикладным сервисам МИС НО осуществляется по следующей схеме:

- ответственные сотрудники, исполняющие функции администраторов системы, администраторов безопасности сегмента ЦОД, администраторов сегментов ГБУЗ НО, либо сотрудники технической поддержки создают необходимые учетные записи для пользователей сегментов ГБУЗ (согласно своим полномочиям), производят настройки учетных данных по допускам к различным модулям системы;

- ответственные сотрудники сегментов ГБУЗ, исполняющие функции администраторов системы, организуют функционирование и администрирование средств вычислительной техники и средств защиты информации сегмента МИС в соответствии с их должностными и функциональными обязанностями, проводят инструктаж пользователей по работе с сервисами МИС, а также организуют выдачу регистрационной информации (имя, логин, аппаратный ключ) пользователям под роспись с внесением соответствующих записей в журналы. Учетные данные пользователей для доступа к прикладному комплексу МИС автоматически высылаются пользователю на терминальную локальную электронную почту, указанную при регистрации.

3.2. Порядок обработки ПДн в сегментах МИС.

Обработка ПДн сотрудниками медицинских учреждений (пользователями) в МИС должна производиться в соответствии с их должностными и функциональными обязанностями, положениями организационно-распорядительных документов по обработке и защите информации в МИС НО.

Обработка ПДн пользователями производится с применением:

- прикладных интерфейсов программного комплекса МИС, функционирующего в ЦОД и на терминальных станциях пользователей;

- интерфейсов системного программного обеспечения виртуального рабочего стола пользователя, функционирующего в ЦОД и на терминальных станциях пользователей;

- учтенных (разрешенных) съемных носителей информации;

- средств печати, подключенных к терминальной станции;

- средств считывания информации с электронных медицинских полисов и универсальных электронных карт, подключенных к терминальной станции.

Порядок работы с ресурсами прикладного комплекса МИС осуществляется в соответствии с программной документацией прикладного ПО и средств защиты информации, порядок соблюдения безопасности при работе с системой осуществляется в соответствии с Инструкцией пользователя МИС по обеспечению безопасности.

Состав средств вычислительной техники и программного обеспечения рабочих мест пользователей отражается в Технических паспортах ИСПДн. Пользователям запрещается использовать сторонние технические и программные средства, не входящие в состав системы.

3.2.1. Порядок сбора и обработки персональных данных.

Сбор (ввод) ПДн граждан для обработки в МИС осуществляется сотрудниками УЗ НО, являющихся пользователями МИС, либо посредством защищенного взаимодействия с информационными системами сторонних организаций.

Субъект обязан предоставлять пользователю МИС достоверные сведения о себе и сообщать ему об изменении своих персональных данных. Пользователь МИС имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные субъектом, с имеющимися в МИС сведениями.

3.2.2. Порядок использования и хранения персональных данных.

Обработка персональных данных граждан в МИС осуществляется пользователями МИС автоматизированным способом с применением средств вычислительной техники.

Неавтоматизированная обработка информации, содержащей ПДн граждан, при ее наличии, должна производиться в соответствии с организационно-распорядительной документацией УЗ НО.

Персональные данные граждан хранятся в МИС в электронном виде. С целью выдачи информации (выписок) гражданину или формирования отчетной документации возможен вывод информации из МИС путем печати на бумажных носителях.

Распечатанные документы, содержащие персональные данные граждан, должны быть выданы гражданину или его законному представителю лично, либо переданы в другую организацию в соответствии с законодательством или утвержденным регламентом, либо отправлены для дальнейшей обработки или на хранение во внутренние подразделения учреждения-оператора сегмента МИС. Ответственным за организацию хранения таких документов является лицо, ответственное за обработку ПДн в сегменте МИС.

Хранение документов в организации-операторе сегмента МИС, содержащих персональные данные граждан, должно осуществляться не дольше чем этого требуют цели их обработки, по достижении целей обработки или в случае утраты необходимости в их достижении они подлежат уничтожению.

Учреждение-оператор сегмента МИС обеспечивает ограничение и контроль доступа к документам, содержащим персональные данные граждан.

Доступ к обработке персональных данных граждан имеют сотрудники учреждения-оператора сегмента МИС, допущенные к работе с персональными данными граждан приказом руководителя УЗ НО. В должностные инструкции данных сотрудников включается пункт об обязанности сохранения информации, являющейся конфиденциальной.

Учреждение-оператор при обработке персональных данных граждан обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Должны быть утверждены приказом руководителя учреждения-оператора сегмента МИС места размещения АРМ пользователей и информационных киосков.

3.2.3. Порядок уничтожения и восстановления персональных данных.

Уничтожение документов, содержащих ПДн, производится по достижении целей их обработки согласно номенклатуре дел и документов; по достижении окончания срока хранения ПДн, оговоренного в соответствующем соглашении заинтересованных сторон; в том числе если они не подлежат архивному хранению.

Уничтожение документов, содержащих персональные данные, производится в случае выявления неправомерной обработки персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных.

Уничтожение информации с ПДн, хранящейся в электронном виде на материальных носителях, производится путем выполнения процедуры специальной подготовки материальных носителей (многократное форматирование разделов, выделенных под хранение данных).

Уничтожение материальных носителей с ПДн осуществляется механическим либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков и т.п.).

Уничтожение производится по мере необходимости, в зависимости от объемов накопленных для уничтожения документов.

Уничтожение рабочих копий бумажных документов производится сотрудниками учреждения-оператора, уничтожение физических носителей и электронных хранилищ производится администратором системы сегмента ЦОД при непосредственном присутствии администратора безопасности сегмента ЦОД. Уничтожение носителей осуществляется по акту.

3.2.4. Порядок резервного копирования и восстановления.

С целью обеспечения целостности информации, содержащей персональные данные, в МИС проводится резервное копирование информации. Копирование производится администратором системы сегмента ЦОД.

Восстановление информации из резервных копий производится администратором системы сегмента ЦОД с уведомлением администратора безопасности сегмента ЦОД.

3.2.5. Порядок передачи персональных данных.

В порядке, предусмотренном законодательством, либо при наличии письменного согласия гражданина может осуществляться передача информации, обрабатываемой в МИС, содержащей персональные данные граждан, третьим лицам.

Согласие субъекта ПДн на передачу не требуется, если:

1) по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законом об оперативно-розыскной деятельности;

2) при наличии оснований, позволяющих полагать, что права и интересы гражданина могут быть нарушены противоправными действиями других лиц;

3) в иных случаях, прямо предусмотренных федеральным законодательством.

Лица, которым в установленном Федеральным законом "О персональных данных" порядке переданы сведения, составляющие персональные данные гражданина, несут дисциплинарную, административную или уголовную ответственность за разглашение в соответствии с законодательством Российской Федерации.

Передача информации, содержащей персональные данные гражданина, третьим лицам осуществляется министерством только на основании надлежащим образом оформленного официального запроса третьего лица с разрешающей визой министра здравоохранения Нижегородской области или официального лица министерства, ответственного за обработку и обеспечение защиты персональных данных при их обработке в МИС.

В случае, если лицо, обратившееся с запросом, не уполномочено федеральным законодательством на получение персональных данных гражданина либо отсутствует письменное согласие гражданина на передачу его персональных данных, министерство обязано отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится в министерстве.

Запрос третьего лица, а также факт ответа на него или отказа фиксируется в Журнале запросов субъектов ПДн и ответов на них.

В порядке, определенном законодательством, и при наличии регламента может осуществляться защищенное взаимодействие МИС с информационными системами сторонних организаций для организации передачи информации, содержащей ПДн, по каналам связи. Порядок такого взаимодействия определен в п. 4.5 настоящего Положения.

В случае необходимости документы, содержащие персональные данные субъекта, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.

4. Организация работ по обеспечению безопасности ПДн в МИС

Безопасность персональных данных, обрабатываемых в МИС, обеспечивается системой защиты персональных данных МИС - СЗПДн МИС, включающей проведение организационных и технических мероприятий по обеспечению безопасности ПДн.

СЗПДн МИС должна соответствовать требованиям действующего законодательства по защите персональных данных.

СЗПДн МИС функционирует с целью минимизации ущерба, который может возникнуть вследствие воздействия угроз информационной безопасности, приводящих к нарушению требуемых свойств безопасности персональных данных, обрабатываемых в МИС Нижегородской области.

Порядок и сроки проведения мероприятий по контролю выполнения мер защиты определяются планом мероприятий по созданию и эксплуатации системы защиты персональных данных в МИС.

4.1. Этапы работ.

Организационные и технические меры защиты информации, реализованные в рамках системы защиты персональных данных МИС, направлены на исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации), неправомерных уничтожения или модифицирования информации (обеспечение целостности информации), а также неправомерного блокирования информации (обеспечение доступности информации).

Организация работ по защите ПДн включает в себя проведение следующих этапов работ:

- разработка и создание системы защиты ПДн;

- формирование требований к защите ПДн, содержащихся в МИС;

- разработка (проектирование) системы защиты ПДн МИС;

- внедрение системы защиты ПДн МИС;

- аттестация ИСПДн МИС и ввод ее в эксплуатацию;

- обеспечение защиты ПДн в ходе эксплуатации аттестованной информационной системы;

- обеспечение защиты ПДн при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Разработка, создание и внедрение системы защиты ПДн проводятся в соответствии с требованиями действующего законодательства по защите персональных данных, с привлечением организации-лицензиата, обладающей действующей лицензией ФСТЭК России на деятельность и оказание услуг по технической защите конфиденциальной информации.

Аттестация ИСПДн МИС на соответствие требованиям по защите конфиденциальной информации (персональных данных) проводится после выполнения внедрения и опытной эксплуатации системы защиты ПДн в сегментах МИС, переаттестация ИСПДн МИС проводится не реже 1 раза в 3 года при эксплуатации аттестованной системы. Аттестация проводится организацией-лицензиатом, обладающей действующей лицензией ФСТЭК России на деятельность и оказание услуг по технической защите конфиденциальной информации.

В случае изменений условий и технологии обработки ПДн лица, ответственные за эксплуатацию ИСПДн, обязаны известить об этом ответственного за организацию и обеспечение защиты информации при обработке в ИСПДн МИС, который принимает решение о необходимости проведения дополнительной проверки эффективности (аттестации) системы защиты ИСПДн или ее сегмента.

Обеспечение защиты ПДн в ходе эксплуатации аттестованной информационной системы организуется ответственными лицами, исполняющими функции администраторов систем и администраторов безопасности, в соответствии с их функциональными обязанностями, проектным решением по системе защиты ПДн, организационно-распорядительной, эксплуатационной документацией и действующим законодательством по защите информации.

Мероприятия и работы по защите ПДн в МИС Нижегородской области осуществляются в соответствии с Планом основных мероприятий по защите информации в МИС Нижегородской области.

Порядок обеспечения защиты ПДн при выводе из эксплуатации аттестованной ИСПДн или после принятия решения об окончании обработки информации в ИСПДн разрабатывается ответственным лицом, исполняющим функции администратора безопасности, с привлечением организации-лицензиата, обладающей действующей лицензией ФСТЭК России на деятельность и оказание услуг по технической защите конфиденциальной информации. Разработанный порядок согласовывается с лицом, ответственным за обработку и обеспечение безопасности информации, содержащей ПДн, при ее обработке в МИС.

4.2. Порядок использования средств защиты информации.

Технические и программные средства защиты информации, используемые в МИС Нижегородской области, должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации.

Для обеспечения безопасности ПДн при их обработке в МИС должны использоваться сертифицированные программные и технические средства защиты информации, в том числе средства криптографической защиты информации, необходимые для нейтрализации актуальных угроз безопасности информации.

Перечень сертифицированных средств защиты информации, используемых в МИС, ведется ответственным сотрудником, исполняющим функции администратора безопасности, утверждается руководителем организации - оператора ИСПДн.

Средства защиты информации должны использоваться в соответствии с документацией разработчика, проектной и эксплуатационной документацией МИС. Контроль за актуальностью сертификатов средств защиты осуществляется лицами, исполняющими обязанности администраторов безопасности МИС.

4.3. Пакет организационно-распорядительных документов по защите ПДн в МИС.

Организационно-распорядительные документы по системе защиты персональных данных МИС НО утверждаются Министром здравоохранения Нижегородской области, а также руководителями УЗ НО - операторов сегментов МИС.

4.4. Порядок обеспечения физической защиты СВТ МИС.

4.4.1. Сегмент ГБУЗ.

Места размещения АРМ пользователей и информационных киосков должны быть утверждены приказом руководителя Учреждения - оператора сегмента МИС. Двери рабочих помещений (кабинетов) сегментов ГБУЗ, в которых осуществляется размещение АРМ пользователей сегментов МИС, а также хранение документов, содержащих персональные данные граждан, должны быть оборудованы входными замками, а также системами охранной и пожарной сигнализаций.

Размещение информационных киосков допускается в общедоступных местах (коридорах) учреждений здравоохранения.

При отсутствии в рабочем кабинете сотрудников УЗ они должны запираться на ключ.

В нерабочее время рабочие помещения УЗ должны сдаваться под охрану.

Размещение мониторов АРМ пользователей сегментов МИС должно осуществляться таким образом, чтобы полностью исключить возможность визуального просмотра посторонними лицами информации с монитора - мониторы должны быть отвернуты от окон помещений либо должны использоваться жалюзи или плотные занавески, а также от окон приема граждан.

Проведение работ по техническому обслуживанию и модификации программных и аппаратных средств МИС производится в соответствии с утвержденным Регламентом по модификации ПО и ТС.

4.4.2. Сегмент ЦОД.

Вход в серверное помещение должен быть оснащен металлическими дверьми с системой контроля доступа, исключающими возможность неконтролируемого доступа в ЦОД.

Доступ в серверное помещение имеет ограниченный круг лиц. Доступ сотрудников сторонних организаций, оказывающих услуги по обслуживанию инфраструктуры МИС, организуется только с предварительным оформлением разового пропуска, а также обязательно в сопровождении ответственного сотрудника учреждения - оператора сегмента ЦОД МИС.

Рабочая зона серверного помещения должна быть оснащена системой видеонаблюдения с обязательным хранением видеозаписей.

Рабочая зона серверного помещения должна быть оснащена системой охранно-пожарной сигнализации с возможностью оперативного обнаружения и тушения возгораний.

Серверное помещение не должно иметь окон, а также стен, смежных с внешними стенами здания.

Проведение уборки или техническое обслуживание (ремонт) оборудования в серверном помещении должно производиться в присутствии ответственных лиц.

Средства вычислительной техники и другое оборудование МИС должны располагаться в ЦОДе в запираемых опечатываемых коммутационных шкафах. Ключи от шкафов должны храниться у ответственных лиц Учреждения - Оператора сегмента ЦОД МИС либо обслуживающей организации.

Средства вычислительной техники и другое оборудование МИС должны быть учтены и промаркированы с присвоением им инвентарных номеров. Номера указанных СВТ и оборудования указываются в техническом паспорте на сегмент МИС.

Все средства защиты, а также все носители информации, содержащей ПДн, должны быть оснащены защитными контрольными метками (пломбами, наклейками), исключающими неконтролируемое извлечение их из мест размещения в коммутационных шкафах. Контроль за учетом защитных контрольных меток осуществляет лицо, исполняющее функции администратора безопасности системы. Учет защитных пломб ведется в Журнале учета вскрытия контрольных пломб. Вскрытие (нарушение) целостности контрольных меток должно осуществляться либо непосредственно лицом, исполняющим функции администратора безопасности сегмента ЦОД, либо с его разрешения лицом, осуществляющим функции администратора системы сегмента ЦОД.

4.5. Порядок организации межсетевого взаимодействия при передаче ИСПДн с использованием сетей информационного обмена.

При взаимодействии МИС с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) по внешним каналам связи наряду с основными методами и способами защиты информации от несанкционированного доступа используются:

- использование сертифицированных средств межсетевого экранирования с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы и контроля информационных потоков МИС;

- использование в информационной системе сертифицированных средств обнаружения вторжений, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;

- проведение периодического анализа защищенности ресурсов МИС, предполагающего применение специализированных сертифицированных программных средств (сканеров безопасности);

- защита информации при ее передаче по каналам связи с использованием сертифицированных средств криптографической защиты информации;

- использование сертифицированных токенов, смарт-карт и других носителей информации для надежной идентификации и аутентификации пользователей и хранения сертификатов ключей;

- использование сертифицированных средств антивирусной защиты.

4.6. Порядок организации работ с привлечением специализированных организаций.

Для обеспечения функционирования ИСПДн МИС возможно привлечение специализированных организаций, в функции которых входят:

- обслуживание и ремонт компьютерной техники;

- монтаж или модернизация локальных сетей;

- настройка программного обеспечения, используемого в МИС;

- модернизация и инсталляция обновленных версий программного обеспечения, используемого в МИС;

- проведение аттестационных испытаний МИС.

Соглашение о конфиденциальности с вышеуказанными организациями должно предусматривать обеспечение конфиденциальности ПДн, ставших известными им в процессе оказания услуг. При необходимости организации удаленного доступа необходимо применение сертифицированных средств защиты в соответствии с проектным решением либо по согласованию с организацией, проводившей аттестационные испытания системы.

Все вышеуказанные работы по обслуживанию компонентов МИС производятся в присутствии ответственных лиц учреждения - оператора МИС.

4.7. Контроль состояния (мониторинг) по обеспечению безопасности ПДн.

Контроль состояния системы защиты ПДн в МИС осуществляется с целью своевременного выявления уязвимостей системы и предотвращения утечки информации, содержащей ПДн.

На аттестованных по требованиям безопасности информации объектах информатизации должен проводиться периодический (ежегодный) контроль с оформлением необходимых документов по результатам контрольной проверки.

Контроль может осуществляться ответственным сотрудником учреждения - оператора МИС либо с привлечением представителей организации - лицензиата ФСТЭК России.

Контроль состояния системы защиты ПДн в МИС осуществляется в соответствии с планом мероприятий по защите информации на текущий год или может носить внеплановый (внезапный) характер.

Переаттестация системы или ее сегментов производится не реже одного раза в три года с привлечением представителей организации - лицензиата ФСТЭК России.

5. Ответственность

В соответствии со ст. 24 Федерального закона "О персональных данных" лица, виновные в нарушении требований данного Федерального закона, несут предусмотренную законодательством РФ ответственность.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

Персональная ответственность является одним из главных требований к организации функционирования системы защиты персональных данных и обязательным условием обеспечения эффективности функционирования данной системы.

6. Нормативные документы

1) Конституция Российской Федерации от 12 декабря 1993 г. (ст. 2, 1724, 41);

2) Гражданский кодекс Российской Федерации (части 1 и 2, часть 4);

3) Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

4) Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года N 149-ФЗ;

5) Федеральный закон от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании";

6) Указ Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении перечня сведений конфиденциального характера";

7) Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119;

8) Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами операторами, являющимися государственными или муниципальными органами";

9) Постановление Правительства Российской Федерации от 08 сентября 2010 г. N 697 "О единой системе межведомственного электронного взаимодействия";

10) ГОСТ РО 0043-003-2012, ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний";

11) ГОСТ Р 51583-2000 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении";

12) ГОСТ Р 51624-2000 "Защита информации. Автоматизированные системы в защищенном исполнении";

13) ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования";

14) ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения";

15) ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения";

16) ГОСТ 34.201-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем";

17) ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания";

18) ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы";

19) ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем";

20) РД 50-34.680-88 "Методические указания. Автоматизированные системы. Общие положения";

21) ГОСТ 2.601-2006 "Межгосударственный стандарт. Единая система конструкторской документации. Эксплуатационные документы";

22) Приказ Гостехкомиссии России от 30 августа 2002 г. N 282 "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)";

23) Совместный приказ Федеральной службы безопасности России и Федеральной службы по техническому и экспортному контролю Российской Федерации от 31.08.2010 N 416/489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования";

24) Требования по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17;

25) Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных", утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21;

26) "Базовая модель угроз безопасности ПДн при их обработке в ИСПДн", утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.;

27) Руководящий документ Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей", 1999;

28) "Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн", утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.;

29) Информационное сообщение по вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 июля 2013 г. N 240/22/2637;

30) Методический документ ФСТЭК России от 11 февраля 2014 г. "Меры защиты информации в государственных информационных системах";

31) Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Москва. Государственная техническая комиссия при Президенте Российской Федерации. 1992 г.;

32) Руководящий документ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Москва. Государственная техническая комиссия при Президенте Российской Федерации. 1997 г.;

33) Руководящий документ "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники". Москва. Государственная техническая комиссия при Президенте Российской Федерации. 1992 г.;

34) РД 50-34.698-90 Руководящий документ по стандартизации "Автоматизированные системы. Требования к содержанию документов";

35) Приказ Федеральной службы по техническому и экспортному контролю Российской Федерации от 20.03.2012 N 28 "Об утверждении требований к средствам антивирусной защиты";

36) Приказ Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

37) "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г. N 149/5-144;

38) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г. N 149/6/6-622;

39) Приказ Министерства связи и массовых коммуникаций Российской Федерации от 27.12.2010 N 190 "Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия".