МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ ЗДРАВООХРАНЕНИЯ
ПРИКАЗ
от 22 апреля 2014 г. N 2947
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБЕСПЕЧЕНИИ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АИС РОСЗДРАВНАДЗОРА
И ПОЛОЖЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ТЕРРИТОРИАЛЬНОМ СЕГМЕНТЕ АИС РОСЗДРАВНАДЗОРА
В соответствии с " Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденным приказом ФСТЭК России от 18.02.2013 N 21, "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации" (Гостехкомиссия России, 2002 г.) и в целях обеспечения информационной безопасности АИС Росздравнадзора приказываю:
1. Утвердить Положение об обеспечении безопасности персональных данных в АИС Росздравнадзора согласно Приложению 1 к настоящему приказу.
2. Утвердить Положение об обеспечении безопасности персональных данных в территориальном сегменте АИС Росздравнадзора согласно Приложению 2 к настоящему приказу.
3. Контроль за исполнением настоящего приказа оставляю за собой.
Врио руководителя
М.А.МУРАШКО
Приложение 1
к приказу Федеральной
службы по надзору
в сфере здравоохранения
от 22 апреля 2014 г. N 2947
ПОЛОЖЕНИЕ
ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АИС РОСЗДРАВНАДЗОРА
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в АИС Росздравнадзора.
1.2. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства, средства защиты информации, применяемые в информационных системах.
2. ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В АИС РОСЗДРАВНАДЗОРА
2.1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
2.2. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
2.3. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.
2.4. Средства защиты информации, применяемые в информационных системах, в обязательном порядке проходят процедуру оценки соответствия в установленном законом порядке.
2.5. Уровень защищенности персональных данных при их обработке в информационных системах персональных данных устанавливается на основании " Требований к защите персональных данных при обработке в информационных системах персональных данных", утвержденных постановлением Правительства Российской Федерации от 01.11.2012 N 1119 (далее - Требования).
2.6. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер, а также применения технических и (или) программных средств.
2.7. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
2.8. Безопасность персональных данных при их обработке в АИС Росздравнадзора обеспечивает специалист, ответственный за обеспечение безопасности информационных систем персональных данных (администратор безопасности АИС Росздравнадзора).
3. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
3.1. При обработке персональных данных в информационной системе должно быть обеспечено:
3.1.1. проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
3.1.2. своевременное обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
3.1.3. недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
3.1.4. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
3.1.5. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3.2. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
3.2.1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
3.2.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения Требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3.2.3. проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
3.2.4. установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
3.2.5. оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
3.2.6. учет машинных носителей персональных данных;
3.2.7. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
3.2.8. обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
3.2.9. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
3.2.10. учет лиц, допущенных к работе с персональными данными в информационной системе;
3.2.11. контроль по соблюдению условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
3.2.12. разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
3.2.13. описание системы защиты персональных данных.
3.3. Осуществление мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе уполномоченным лицом возлагается на администратора информационной безопасности АИС Росздравнадзора.
3.4. Список лиц, имеющих доступ к персональным данным, уполномоченных на обработку этих данных и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты персональных данных, утверждается приказом Руководителя Росздравнадзора.
3.5. Специалисты Росздравнадзора, которым доступ к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими должностных (трудовых) обязанностей (далее - пользователи), для получения доступа к информационной системе направляют письменный запрос на имя ответственного за обеспечение безопасности персональных данных.
3.6. При обнаружении нарушений порядка предоставления персональных данных уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
3.7. Иные требования по обеспечению безопасности информации и средств защиты информации выполняются в соответствии с требованиями федеральных органов исполнительной власти и органов исполнительной власти.
Приложение 2
к приказу Федеральной
службы по надзору
в сфере здравоохранения
от 22 апреля 2014 г. N 2947
ПОЛОЖЕНИЕ
ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ТЕРРИТОРИАЛЬНОМ СЕГМЕНТЕ АИС РОСЗДРАВНАДЗОРА
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в территориальном сегменте АИС Росздравнадзора.
1.2. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства, средства защиты информации, применяемые в информационных системах.
2. ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ТЕРРИТОРИАЛЬНОМ
СЕГМЕНТЕ АИС РОСЗДРАВНАДЗОРА
2.1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
2.2. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
2.3. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.
2.4. Средства защиты информации, применяемые в информационных системах, в обязательном порядке проходят процедуру оценки соответствия в установленном законом порядке.
2.5. Уровень защищенности персональных данных при их обработке в информационных системах персональных данных устанавливается на основании " Требований к защите персональных данных при обработке в информационных системах персональных данных", утвержденных постановлением Правительства Российской Федерации от 01.11.2012 N 1119 (далее - Требования).
2.6. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер, а также применения технических и (или) программных средств.
2.7. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
2.8. Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает администратор безопасности территориального сегмента АИС Росздравнадзора.
3. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
3.1. При обработке персональных данных в информационной системе должно быть обеспечено:
3.1.1. проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
3.1.2. своевременное обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
3.1.3. недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
3.1.4. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
3.1.5. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3.2. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
3.2.1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
3.2.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения Требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3.2.3. проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
3.2.4. установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
3.2.5. оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
3.2.6. учет машинных носителей персональных данных;
3.2.7. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
3.2.8. обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
3.2.9. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
3.2.10. учет лиц, допущенных к работе с персональными данными в информационной системе;
3.2.11. контроль по соблюдению условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
3.2.12. разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
3.2.13. описание системы защиты персональных данных.
3.3. Осуществление мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе уполномоченным лицом возлагается на администратора безопасности территориального сегмента АИС Росздравнадзора.
3.4. Список лиц, имеющих доступ к персональным данным, уполномоченных на обработку этих данных и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты персональных данных, утверждается приказом Руководителем ТО.
3.5. Специалисты ТО, которым доступ к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими должностных (трудовых) обязанностей (далее - пользователи), для получения доступа к информационной системе направляют письменный запрос на имя ответственного за обеспечение безопасности персональных данных.
3.6. При обнаружении нарушений порядка предоставления персональных данных уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
3.7. Иные требования по обеспечению безопасности информации и средств защиты информации в ТО выполняются в соответствии с требованиями федеральных органов исполнительной власти и органов исполнительной власти.