https://habrahabr.ru/post/280149/Приказ ФСТЭК 21, новая методика моделирования актуальных угроз и постановление правительства о надзоре в области ПДнпостановления Правительства 1119 и 687, 17 приказДа, техпаспорт в любом случае делаем по форме из СТР-К- 15-летней давностиМнение: реальных докуметов из существующих 30+ только 6:0) Положение о ПДн в каком-либо виде1) Модель угроз — реальная, а не этот бред 2008-2015 года, ну или их надо серьезно дополнять2) Инструкция пользователям, подробная включая меры по работе с антивирусом (типа проверять флешки, не запускать почтовые вложения)3) Инструкция по резервному копирования и восстановлению для админов, там же раздел про личные файлы пользователей4) технологический процесс. Подробный что как куда, с указанием портов и расположения оборудования. (технический паспорт в том виде в котором он сейчас представлен нафиг не нужен) В качестве хорошего дополнения существующей схеме СКС и коммутационному журналу.5) Документ — матрица доступаОпционально можно еще добавить документ по Wi-Fi — гостевой рабочий, но можно это включить в 5 пункт.
ФЗ от 27 июля 2006 г. N 152-ФЗ О персональных данных
http://rg.ru/2006/07/29/personaljnye-dannye-dok.html
Мнение http://www.medwork.ru/content/podgotovka-lpu-k-rabote-s-personalnymi-dannymi-po-152-fz о подготовке ЛПУ к обработке персональных данных
1. Уведомление Роскомнадзора об обработке персональных данных (Закон № 152-ФЗ Ст. 22 п. 3)
2. Проведение классификации информационной системы
3. Разработка модели угроз безопасности персональным данным
4. Выбор средств защиты инструмента обработки персональных данных (средства защиты должны быть сертифицированными, либо пройти сертификацию)
— Контроль доступа к сети;
— Средства контроля утечек персональных данных;
— Сертифицированные по РД ФСТЭК межсетевые экраны (Firewalls);
— Сертифицированные ФСТЭК, ФСБ средства антивирусной защиты;
— Сертификация средств защиты:
5. Выбор испытательной лаборатории
6. Проведение испытаний
7. Подготовка организационно-распорядительных документов
— Положение об обработке персональных данных
— Положение о защите персональных данных
— Положение о подразделении по защите информации
— Должностные регламенты лиц, ответственных за защиту персональных данных
— План мероприятий по защите персональных данных
— План внутренних проверок состояния защиты персональных данных
— Приказы о назначении ответственных лиц по защите персональных данных
— Договора с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных, выписки из ЕГРЮЛ и т.д.
— Журнал по учету мероприятий по контролю
— Журнал учёта обращений субъектов персональных данных о выполнении их законных прав
— Копия уведомления РКН с исходящим номером и датой подписания
— Типовая форма и письменные согласия субъекта персональных данных на обработку персональных данных
— Список лиц, обрабатывающих персональные данные, утверждённый оператором или уполномоченным лицом
— Инструкции администраторов безопасности персональных данных
— Инструкции пользователей по работе с персональными данными
— Электронный журнал обращений пользователей информационной системы к персональным данным
— Журналы (книги) учёта персональных данных
— Правила пользования средствами защиты информации
— Наличие заключения экспертизы ФСТЭК и ФСБ об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке
— Эксплуатационная и техническая документация
— Отражение в трудовом договоре (контракте) ответственности работника за разглашение персональных данных
8. Оформление и утверждение документов
9. Аттестация инструмента обработки персональных данных
Еще один перечень мероприятий:
- Провести обследование ИС, определить все ИСПДн в ЛПУ, на основе информации об операторе (или операторах), категории субъектов ПДн, целей обработки, состава и категории ПДн;
- Для каждой ИСПДн и для объекта в целом оформить акт классификации (присвоить класс);
- Зарегистрироваться в качестве оператора ПДн, направив уведомление в Роскомнадзор, указав наивысший класс ИСПДн7;
- Разработать и утвердить частную модель угроз безопасности конфиденциальной информации;
- На основе этой модели угроз разработать проект создания системы обеспечения безопасности информации;
- Разработать комплексный план создания системы защиты информации;
- Организовать получение, учет и хранение письменного согласия пациента на обработку его персональных данных;
- Организовать информирование пациентов по их запросам о способах и сроках обработки их ПДн, лицах, имеющих к ним доступ, обработке ПДн, полученных от третьих лиц;
- Издать необходимые организационно-распорядительные документы (о назначении ответственных за информационную безопасность, допуске персонала к конфиденциальным данным, об утверждении регламента обработки конфиденциальной информации и т.д.);
- Создать систему обеспечения безопасности ПДн и поддерживать ее в надлежащем состоянии.
ЛПУ необходимо принять различные меры, среди которых можно выделить:
- Организационные меры: классификация информационных систем, издание приказов, создание рабочих групп, контроль за исполнением регламентов, выпуск должностных инструкций и пр.;
- Технические меры: внутренняя проверка информационных систем, приведение средств защиты информации к требованиям Закона;
- Физические меры: установка средств физической защиты помещений, постов охраны, защита носителей информации и пр.;
- Правовые меры: регистрация учреждения как Оператора ПДн, , обеспечение прав пациента и пр.
Класс информационной системы определяется:
Приказ ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
Персональные данные относятся к Катогории 1. МИС относится к Классу 1.
План проверок Роскомнадзор http://rkn.gov.ru/plan-and-reports/
Добрый день. скажите необходима ли на сегодняшний момент аттестация ИСПдн аккредитованным органом. или достаточно иметь акты классификации и одели угроз ИСПдн.
Автор: Андрей Мозговой, | 20-11-2015 19:04
Если у Вас ИСПДн (не ГИС/МИС), то, согласно ИС ФСТЭК от 15.07.2013 N 240/22/2637:В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения".