O zonă controlată (CA) este un spațiu (teritoriu, clădire, parte dintr-o clădire) în care este exclusă prezența necontrolată a persoanelor care nu au acces permanent sau unic, transportul străin, mijloacele tehnice și alte mijloace materiale.
Limita scurtcircuitului poate fi:
Perimetrul teritoriului protejat al instituției (întreprinderii);
Structuri de închidere a unei clădiri protejate sau a unei părți protejate a unei clădiri, dacă aceasta este situată într-o zonă neprotejată.
Astfel, CP poate fi limitat parțial la perimetrul ariei protejate, o zonă protejată care acoperă clădiri și structuri în care se desfășoară evenimente închise, o parte din clădiri, o sală, un birou în care se desfășoară evenimente închise.
În unele cazuri, pentru perioada de prelucrare prin mijloace tehnice informații confidențiale O zonă de protecție pe termen scurt poate fi stabilită temporar mai mare decât teritoriul protejat al întreprinderii. În acest caz, trebuie luate măsuri organizatorice, operaționale și tehnice pentru a exclude sau a complica semnificativ posibilitatea interceptării în această zonă.
O zonă controlată permanent este o zonă ale cărei limite sunt stabilite pentru o perioadă lungă de timp.
O zonă controlată temporar este o zonă stabilită pentru desfășurarea evenimentelor închise cu caracter unic.
Sediu dedicat– spații (birouri, săli de adunări, săli de conferințe etc.) special concepute pentru prelucrarea informațiilor de vorbire (discuții, întâlniri etc.) care conțin informații constituind secrete de stat.
Spații protejate- spații (birouri, săli de adunări, săli de conferințe etc.) special amenajate pentru desfășurarea de evenimente confidențiale în cadrul cărora sunt prelucrate informații de vorbire care conțin informații confidențiale.
4. Câte și ce clase de securitate sunt instalate pentru sistemele automate de control al producției și procese tehnologice la unitățile critice, eventual obiecte periculoase, precum și obiecte reprezentând pericol crescut pentru viața și sănătatea oamenilor și pentru mediu mediu natural de ce depind. Ce document reglementează cerințele pentru furnizarea de informații în datele AIS?
Formarea cerințelor pentru informații într-un sistem de control automat se realizează ținând cont de GOST R 51583 „Protecția informațiilor. Procedura de creare a sistemelor automatizate într-un design sigur. Dispoziții generale„(denumit în continuare GOST R 51583), GOST R 51624 „Protecția informațiilor. Sisteme automate într-un design sigur. Cerințe generale„(denumit în continuare GOST R 51624) și standardele de organizare, inclusiv: luarea unei decizii cu privire la nevoia de informații într-un sistem de control automat; clasificarea unui sistem de control automat conform cerințelor SI; identificarea amenințărilor la adresa securității informațiilor, a căror implementare poate duce la perturbarea funcționării normale a sistemului de control automatizat și dezvoltarea pe baza acestora a unui model de amenințări la adresa securității informației; determinarea cerinţelor pentru sistemul de protecţie a sistemului de control automatizat.
Clasificarea unui sistem de control automatizat se realizează de către client sau operator în funcție de nivelul de semnificație (criticitate) a informațiilor prelucrate în sistemul de control automatizat. Se stabilesc trei clase de securitate ale sistemului de control automatizat, care determină nivelurile de securitate ale sistemului de control automatizat. Clasa cea mai de jos este a treia, cea mai mare este prima.
Procedura pentru determinarea clasei de securitate a unui sistem de control automat
1. Clasa de securitate a unui sistem de control automatizat (clasa I (K1), clasa a II-a (K2), clasa a treia (K3)) se determină în funcție de nivelul de semnificație (criticitate) a informațiilor prelucrate în acesta.
2. Nivelul de semnificație (criticitate) al informațiilor (IS) este determinat de gradul de deteriorare posibilă din cauza unei încălcări a integrității acesteia (distrugerea sau modificarea ilegală), disponibilitatea (blocarea ilegală) sau confidențialitatea (accesul ilegal, copierea, furnizarea sau distribuție), care poate duce la o încălcare a modului de funcționare standard al sistemului de control automat sau o interferență ilegală în funcționarea sistemului de control automat.
KM = [(integritate, grad de deteriorare) (disponibilitate, grad de deteriorare) (confidențialitate, grad de deteriorare)],
în cazul în care gradul de deteriorare posibilă este determinat de client sau operator folosind un expert sau o altă metodă și poate fi:
a) ridicat, dacă ca urmare a încălcării uneia dintre proprietățile de securitate a informațiilor (integritate, disponibilitate, confidențialitate), care are ca rezultat o încălcare a funcționării normale a sistemului de control automat, o situație de urgență de natură federală sau interregională sau pot apărea alte consecințe negative semnificative în domeniul social, politic, economic, militar sau în alte domenii de activitate;
b) mediu, dacă ca urmare a încălcării uneia dintre proprietățile de securitate a informațiilor (integritate, accesibilitate, confidențialitate), care are ca rezultat o încălcare a funcționării normale a sistemului automatizat de control, o urgență de natură regională sau intermunicipală* sau pot apărea alte consecințe negative moderate în domeniul social, politic, economic, militar sau în alte domenii de activitate;
c) scăzut, dacă ca urmare a încălcării uneia dintre proprietățile de securitate a informațiilor (integritate, accesibilitate, confidențialitate), care are ca rezultat o încălcare a funcționării normale a sistemului de control automatizat, o situație de urgență de natură municipală (locală). pot apărea sau alte consecințe negative minore în domeniile sociale, politice, economice, militare sau în alte domenii de activitate.
Dacă informațiile prelucrate într-un sistem de control automatizat nu necesită una dintre proprietățile de securitate a informațiilor (în special confidențialitatea), nivelul de semnificație (criticitate) este determinat pentru celelalte două proprietăți de securitate a informațiilor (integritate, disponibilitate). În acest caz:
KM = [(integritate, grad de deteriorare) (disponibilitate, grad de deteriorare) (confidențialitate, nu este cazul)].
Informațiile procesate într-un sistem de control automat au un nivel ridicat de semnificație (criticitate) (CL 1), dacă se stabilește că cel puțin una dintre proprietățile de securitate a informațiilor (integritate, disponibilitate, confidențialitate) are un grad ridicat de deteriorare.
Informațiile procesate într-un sistem de control automat au un nivel mediu de semnificație (criticitate) (CL 2), dacă pentru cel puțin una dintre proprietățile de securitate a informațiilor (integritate, disponibilitate, confidențialitate) se determină un grad mediu de deteriorare și nu există un un singur bun pentru care se determină un grad înalt grad de deteriorare.
Informațiile procesate într-un sistem de control automat au un nivel scăzut de semnificație (criticitate) (CL 3), dacă se determină grade scăzute de deteriorare pentru toate proprietățile de securitate a informațiilor (integritate, disponibilitate, confidențialitate).
La prelucrarea a două sau mai multe tipuri de informații (informații de măsurare, informații despre starea procesului) într-un sistem de control automatizat, nivelul de semnificație (criticitate) al informațiilor (US) este determinat separat pentru fiecare tip de informație.
Nivelul final de semnificație (criticitate) se stabilește pe baza valorilor cele mai ridicate ale gradului de deteriorare posibilă determinată pentru integritatea, disponibilitatea și confidențialitatea fiecărui tip de informație. în conformitate cu Decretul Guvernului Federației Ruse din 21 mai 2007 nr. 304 „Cu privire la clasificare situatii de urgenta naturale și făcute de om” (Legislația colectată a Federației Ruse, 2007, nr. 22, art. 2640; 2011, nr. 21, art. 2971).
3. Clasa de securitate a sistemului de control automat este determinată în conformitate cu tabelul:
Nivel de semnificație (criticitate)
Informații Clasa de securitate a sistemului de control automat
Clasa de securitate poate fi setată separat pentru fiecare nivel al sistemului de control automat sau alte segmente, dacă există. Rezultatele clasificării sistemului de control automatizat sunt documentate într-un act de clasificare. Cerința pentru clasa de securitate este inclusă în specificațiile tehnice pentru crearea unui sistem de control automat și (sau) specificațiile tehnice (specificații tehnice private) pentru crearea unui sistem de protecție pentru un sistem de control automat, dezvoltate ținând cont de GOST 34,602 " Tehnologia de informație. Un set de standarde pentru sisteme automate. Termeni de referință pentru crearea unui sistem automatizat" (denumit în continuare GOST 34.602), GOST R 51583, GOST R 51624 și standardele de organizare.
Clasa de securitate a unui sistem (segment) de control automatizat este supusă revizuirii numai dacă este modernizată, în urma căreia s-a modificat nivelul de semnificație (criticitate) a informațiilor prelucrate în sistemul (segment) de control automatizat.
Cerințe pentru furnizarea RF în date sisteme automatizate managementul sunt reglementate de ordinul FSTEC al Rusiei din 14 martie 2014 nr. 31 „Cu privire la aprobarea cerințelor pentru furnizarea de informații în sistemele de control automate pentru procesele de producție și tehnologice la unități critice, instalații potențial periculoase, precum și instalații care prezintă un pericol sporit pentru viața și sănătatea oamenilor și pentru mediu mediu natural.”
1. Prezenta declarație de procesare date personale stabilește proceduri menite să identifice și să prevină încălcările legii Federația Rusăîn domeniul datelor cu caracter personal, precum și stabilirea pentru fiecare scop de prelucrare a datelor cu caracter personal a conținutului datelor cu caracter personal prelucrate, a categoriilor de subiecți ale căror date cu caracter personal sunt prelucrate, a termenilor de prelucrare și stocare a acestora, a procedurii de distrugere la realizarea scopurile prelucrării sau la apariția altora temeiuri legale(denumite în continuare Regulamente).
Prelucrarea datelor cu caracter personal în unitățile sanitare se realizează folosind instrumente de automatizare sau fără utilizarea unor astfel de instrumente, inclusiv colectarea, înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), extragerea, utilizarea, transferul (distribuirea, furnizarea). , acces), depersonalizare, blocare, ștergere, distrugere a datelor cu caracter personal ale subiecților ale căror date cu caracter personal sunt prelucrate în unitățile sanitare.
2. Unități de îngrijire a sănătății în conformitate cu Legea federală din 27 iulie 2006 Nr. 152-FZ „Cu privire la Datele cu Caracter Personal” este operatorul care prelucrează datele cu caracter personal, precum și determinarea scopurilor prelucrării datelor cu caracter personal, componența datelor cu caracter personal care urmează a fi prelucrate, acțiunile (operațiunile) efectuate cu datele personale. (denumit în continuare operator de date cu caracter personal).
3. Regulamentele au fost elaborate în conformitate cu Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal” (denumită în continuare Legea federală), cap. 14 Codul Muncii Federația Rusă din 13 decembrie 2001 Nr. 197-FZ.
4. Subiecții datelor cu caracter personal sunt angajați ai unităților de îngrijire a sănătății, cetățeni ai Federației Ruse, informații despre care sunt conținute în sisteme informatice ah unitate de îngrijire a sănătății.
5. Obiectivele regulamentului sunt:
a) asigurarea protecției drepturilor și libertăților la prelucrarea datelor cu caracter personal ale angajaților unităților de sănătate, a datelor personale ale cetățenilor conținute în sistemele informaționale ale unităților de sănătate;
b) stabilirea răspunderii angajaților unității de sănătate pentru nerespectarea reglementărilor care reglementează prelucrarea și protecția datelor cu caracter personal.
6. Proceduri care vizează identificarea și prevenirea încălcărilor legislației Federației Ruse în domeniul datelor cu caracter personal:
a) implementarea controlului intern al conformității prelucrării datelor cu caracter personal cu Legea federală și reglementările adoptate în conformitate cu aceasta acte juridice, cerințe pentru protecția datelor cu caracter personal;
b) evaluarea prejudiciului care poate fi cauzat persoanelor vizate de date cu caracter personal în cazul unei încălcări a Legii federale, a relației dintre acest prejudiciu și măsurile luate de unitățile de asistență medicală menite să asigure îndeplinirea obligațiilor privind datele cu caracter personal operator prevăzut de legea federală;
c) familiarizarea angajaților unităților de îngrijire a sănătății care prelucrează direct date cu caracter personal cu prevederile legislației Federației Ruse privind datele cu caracter personal și cu cerințele de protecție a datelor cu caracter personal.
7. În cazul în care de către operatorul de date cu caracter personal este detectată o prelucrare ilegală a datelor cu caracter personal, operatorul de date cu caracter personal, într-un termen care nu depășește 3 zile lucrătoare de la data constatării prelucrării ilegale a datelor cu caracter personal, este obligat să înceteze prelucrarea ilegală a datelor cu caracter personal. date cu caracter personal sau să asigure încetarea prelucrării ilicite a datelor cu caracter personal.
În cazul în care este imposibil să se asigure legalitatea prelucrării datelor cu caracter personal, operatorul de date cu caracter personal, într-un termen care nu depășește 10 zile lucrătoare de la data detectării prelucrării ilegale a datelor cu caracter personal, este obligat să distrugă aceste date cu caracter personal sau să asigure distrugere. Operatorul de date cu caracter personal este obligat să notifice subiectul datelor cu caracter personal sau reprezentantul acestuia cu privire la eliminarea prelucrării ilegale a datelor cu caracter personal sau la distrugerea datelor cu caracter personal.
8. În cazul în care scopul prelucrării datelor cu caracter personal este atins, operatorul de date cu caracter personal este obligat să înceteze prelucrarea datelor cu caracter personal și să distrugă datele cu caracter personal într-un termen care nu depășește 30 de zile lucrătoare de la data realizării scopului de prelucrare a datelor cu caracter personal.
9. În cazul în care subiectul datelor cu caracter personal își retrage consimțământul pentru prelucrarea datelor cu caracter personal, operatorul de date cu caracter personal este obligat să înceteze prelucrarea datelor cu caracter personal și să distrugă datele cu caracter personal într-un termen care nu depășește trei zile lucrătoare de la data primirii revocării menționate. . Operatorul de date cu caracter personal este obligat să notifice persoana vizată cu privire la distrugerea datelor cu caracter personal în termen de trei zile lucrătoare.
10. În cazul în care nu este posibilă distrugerea datelor cu caracter personal în termenele specificate la alineatele 7 – 9 din Reguli, operatorul de date cu caracter personal blochează aceste date cu caracter personal și asigură distrugerea datelor cu caracter personal în termen de 6 luni, cu excepția cazului în care se stabilește o altă perioadă. legislatia actuala Federația Rusă.
11. Datele cu caracter personal trebuie stocate într-o formă care să permită identificarea subiectului datelor cu caracter personal, nu mai mult decât este cerut de scopurile stocării datelor cu caracter personal, cu excepția cazului în care perioada de stocare a datelor cu caracter personal este stabilită prin Legea federală.
Datele cu caracter personal prelucrate sunt supuse distrugerii sau depersonalizării la atingerea scopurilor de prelucrare a datelor cu caracter personal sau în cazul pierderii necesității de a atinge aceste obiective, cu excepția cazului în care legea federală prevede altfel.
12. Prelucrarea datelor cu caracter personal în sistemele de informații ale unităților de îngrijire a sănătății (denumite în continuare sisteme de informații cu date personale) se realizează în conformitate cu Decretul Guvernului Federației Ruse din 01.11. 2012 Nr. 1119 „Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.”
13. Asigurarea securității datelor cu caracter personal în sistemele de informare cu date cu caracter personal se realizează prin:
a) identificarea amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal;
b) aplicarea unor măsuri organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal;
c) utilizarea mijloacelor de securitate a informațiilor care au trecut procedura de evaluare a conformității în conformitate cu procedura stabilită;
d) evaluarea eficacității măsurilor luate pentru asigurarea securității datelor cu caracter personal înainte de punerea în funcțiune a sistemelor informatice de date cu caracter personal;
e) contabilizarea suporturilor informatice de stocare a datelor cu caracter personal;
f) detectarea faptelor de acces neautorizat la datele cu caracter personal și luarea de măsuri pentru oprirea accesului neautorizat;
g) restaurarea datelor cu caracter personal modificate sau distruse din cauza accesului neautorizat la acestea;
h) stabilirea regulilor de acces (parolă, autentificare etc.) la datele cu caracter personal prelucrate în sistemele de informare cu date cu caracter personal, precum și asigurarea înregistrării și contabilizării tuturor acțiunilor efectuate cu datele cu caracter personal în sistemele informatice de date cu caracter personal.
14. Angajații unităților de îngrijire a sănătății cu acces la sistemele informatice de date cu caracter personal sunt obligați:
a) să ia măsuri pentru prevenirea accesului neautorizat la software-ul și hardware-ul utilizat;
b) păstrează evidența suporturilor electronice de stocare care conțin date cu caracter personal și le stochează în dulapuri metalice sau seifuri;
c) înregistrează datele cu caracter personal (fișiere individuale, baze de date) pe suport electronic numai în cazurile reglementate de procedura de lucru cu datele cu caracter personal;
d) respectă procedura și regulile stabilite pentru accesul la sistemele informaționale, nu permit transferul codurilor personale și parolelor către sistemele informatice de date cu caracter personal;
e) să ia toate măsurile necesare pentru a asigura siguranța sigură a codurilor de acces și a parolelor la sistemele de informații cu date cu caracter personal;
f) lucrează cu sisteme de informare cu date cu caracter personal în sfera competențelor lor și să nu permită depășirea acestora;
g) să aibă abilități de lucru cu programe antivirus în măsura necesară pentru a efectua responsabilități funcționaleși cerințele de protecție a informațiilor.
15. Atunci când angajații instituțiilor medicale lucrează în sisteme informatice de date cu caracter personal, este interzis:
a) înregistrează valorile codurilor de acces și parolelor la sistemele informatice de date cu caracter personal;
b) transfera codurilor de acces și parolelor către sistemele de informare a datelor cu caracter personal către alte persoane;
c) să utilizeze coduri și parole ale altor utilizatori de acces la sistemele informatice de date cu caracter personal;
d) selectează coduri și parole pentru accesul la sistemele informatice de date cu caracter personal ale altor utilizatori;
e) înregistrează programe străine și date pe suporturi electronice cu date personale;
f) copierea informațiilor cu date personale pe suporturi electronice neînregistrate;
g) să preia medii electronice cu date personale în afara teritoriului unității de sănătate;
h) pleca locul de munca cu computerul personal pornit fără utilizarea hardware-ului sau software blocarea accesului la un computer personal;
i) să aducă, să instaleze independent și să opereze pe un computer personal orice produse software, neacceptat pentru exploatare;
j) deschide, dezasambla, repara calculatoarele personale, efectuează modificări ale designului, conectează unități și dispozitive nestandard;
b) să transmită informații care conțin date cu caracter personal supuse protecției prin canale de comunicare deschise (fax, e-mail etc.), precum și să utilizeze informații care conțin date cu caracter personal supuse protecției în corespondența deschisă și în timpul negocierilor telefonice.
16. Colectarea, sistematizarea, acumularea, păstrarea, actualizarea, modificarea, transferul, distrugerea (denumită în continuare prelucrare) documentelor angajaților unităților de sănătate;
17. Toate datele personale trebuie să fie obținute direct de la angajații unității de îngrijire a sănătății.
18. Documentele care conțin date cu caracter personal sunt distruse prin mărunțire într-o mașină de tăiat hârtie.
19. La schimbarea angajatului responsabil cu înregistrarea documentelor, pe hârtie cuprinzând date personale, se întocmește un certificat de acceptare pentru aceste materiale, care este aprobat de șeful unității structurale relevante a unității sanitare.
20. Atunci când lucrează cu documente pe hârtie care conțin date cu caracter personal, angajații unității de sănătate autorizați să prelucreze date cu caracter personal sunt obligați să:
a) să vă familiarizați numai cu acele documente care conțin date cu caracter personal la care a fost obținut accesul în conformitate cu nevoile oficiale;
b) păstrează secrete informațiile care le-au devenit cunoscute, care conțin date cu caracter personal care fac obiectul protecției, informează supraveghetorul imediat despre faptele de încălcare a procedurii de lucru cu datele cu caracter personal și despre încercările de acces neautorizat la acestea;
c) despre abaterile comise ordinea stabilită munca, contabilitatea și stocarea documentelor care conțin date cu caracter personal, precum și faptele de dezvăluire a informațiilor care conțin date cu caracter personal supuse protecției, oferă explicații scrise managerilor imediati.
21. Angajații vinovați de divulgarea sau pierderea informațiilor care conțin date cu caracter personal sunt răspunzători în conformitate cu legislația Federației Ruse.
22. Monitorizarea conformității de către angajații unității de îngrijire a sănătății cu cerințele prezentelor Reguli revine managerilor diviziuni structurale Unitățile sanitare și persoana desemnată prin ordin al unității sanitare responsabilă cu organizarea prelucrării datelor cu caracter personal.
COMANDA
Despre definirea granițelor zona controlata
Pentru a exclude prezența necontrolată a persoanelor neautorizate în timpul prelucrării datelor cu caracter personal și în conformitate cu cerințele Legii federale din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”, „ Cerințe speciale si recomandari pentru protectie tehnica informații confidențiale”, aprobat prin ordin al Comisiei Tehnice de Stat a Rusiei din 30 august 2002 nr. 282, prin ordin al FSTEC din Rusia din 18 februarie 2013 nr. 21 „Cu privire la aprobarea compoziției și conținutului organizatoric și tehnic măsuri pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”, recomandări ale FSB al Rusiei „ Recomandări metodice pentru a asigura securitatea datelor cu caracter personal folosind instrumente cripto atunci când le prelucrează în sistemele informatice de date cu caracter personal folosind instrumente de automatizare” (aprobat de FSB al Federației Ruse la 21 februarie 2008 nr. 149/54-144)
COMAND:
2. Aprobarea procedurii de acces al angajaților unității de sănătate la sediul în care sunt prelucrate datele cu caracter personal.
3. Controlul asupra actualizării și implementării prezentului ordin este atribuit ___________________________________________________________________.
(funcția, numele complet al angajatului)
Anexa la comanda
Ministerul Sănătăţii
Regiunea Sverdlovsk
din 20 octombrie 2015 N 1622-p Eșantion NUMELE ORGANIZĂȚII MEDICALE __________________________________________________________________________ din data de _____________ N _____________ ORDIN La determinarea limitelor zonei controlate Pentru a exclude prezența necontrolată a persoanelor neautorizate în timpul prelucrării datelor cu caracter personal și în conformitate cu cerințele Legii federale din 27 iulie 2006 N 152-FZ „Cu privire la datele cu caracter personal”, „Cerințe speciale și recomandări pentru protecția tehnică a informații confidențiale”, aprobat prin ordin al Comisiei Tehnice de Stat a Rusiei din 30 august 2002 pentru N 282, ordin al FSTEC din Rusia din 18.02.2013 N 21 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru asigurarea securitatea datelor cu caracter personal în timpul prelucrării lor în sistemele informatice de date cu caracter personal”, recomandări ale FSB al Rusiei „Recomandări metodologice pentru asigurarea cu ajutorul mijloacelor de securitate criptografică a datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice a datelor cu caracter personal folosind instrumente de automatizare”( aprobat de FSB al Federației Ruse 21.02.2008 N 149/54-144) Dispun: 1. Limitele zonei controlate ___________________________________ (numele MO) sunt considerate a fi perimetrul structurilor de închidere a clădirii principale a spitalului la _________________________________________________________________.
2. Aprobați procedura pentru ca angajații din ____________________________ (numele MO) să intre în sediul în care sunt prelucrate datele cu caracter personal. 3. Controlul asupra actualizării și implementării prezentului ordin este încredințat ________________________________________________________________. (funcția, numele complet al angajatului) Medic șef ______________ (numele complet) Comanda(numele MO) 1. Această Procedură de acces al angajaților din _________________ (numele MO) la sediul în care sunt prelucrate datele cu caracter personal (denumită în continuare Procedura) a fost elaborată în conformitate cu Legea federală din 27 iulie 2006 N 152-FZ „Cu privire la datele cu caracter personal”, Rezoluția Guvernului Federației Ruse din 21 martie 2012 N 211 „Cu privire la aprobarea listei de măsuri care vizează asigurarea îndeplinirii obligațiilor prevăzute de Legea federală „Cu privire la datele cu caracter personal”. 2. Datele cu caracter personal sunt clasificate drept informații confidențiale Funcționarii autorizați să prelucreze date cu caracter personal sunt obligați să nu dezvăluie terților și să nu distribuie datele cu caracter personal fără acordul subiectului datelor cu caracter personal, cu excepția cazului în care legea federală prevede altfel. datele cu caracter personal sunt prelucrate sunt situate în spații securizate, excluzând posibilitatea intrării și șederii necontrolate a persoanelor neautorizate în aceste spații. 4. La stocarea suporturilor de date cu caracter personal, trebuie respectate condițiile pentru a asigura siguranța datelor cu caracter personal și pentru a preveni accesul neautorizat la acestea. 5. În incinta în care se află mijloace tehnice care permit prelucrarea datelor cu caracter personal, precum și mediile de stocare, sunt permise numai oficiali autorizat să prelucreze date cu caracter personal prin ordin ___________________ (numele MO).
|
<< Приложение. |
6. Responsabili cu organizarea accesului la sediul în care sunt prelucrate datele cu caracter personal sunt șefii diviziilor structurale ____________________________________________ (numele MO).
7. Prezența persoanelor în incinta (denumirea MO) destinate prelucrării datelor cu caracter personal care nu sunt autorizate să prelucreze date cu caracter personal este posibilă numai atunci când sunt însoțite de un angajat autorizat să prelucreze date cu caracter personal pe o perioadă de timp determinată de producție nevoi.
8.
Control intern
respectarea procedurii de acces la sediul în care sunt prelucrate datele cu caracter personal se realizează de către persoana responsabilă cu organizarea prelucrării datelor cu caracter personal și persoana responsabilă cu securitatea datelor cu caracter personal.
Cu privire la stabilirea limitelor zonei controlate a sistemului de informații cu date cu caracter personal „Angajații”
Khanty-Mansiysk
În conformitate cu cerințele Legii federale a Federației Ruse din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”, Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal”, Ordinul FSTEC din Rusia din 18 februarie 2013 nr. 21 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării lor în sistemele de informații cu date cu caracter personal” și Ordinul FSTEC al Rusiei din 11 februarie 2013 nr. 17 „Cu privire la aprobarea cerințelor de protecție a informațiilor care nu constituie secret de stat conținute în sistemele informaționale de stat”
COMAND:
1. Stabilește limitele zonei controlate, în cadrul căreia se află în permanență mijloace tehnice staționare, de prelucrare a informațiilor și mijloace de protecție a informațiilor, precum și mijloace de asigurare a funcționării sistemului informatic de date cu caracter personal „Angajații” pe structurile exterioare de închidere ale incinta nr. 303, nr. 307, 312 conform Anexei 1 la prezentul ordin.
2. Prezența angajaților Departamentului pentru Relații Publice și Externe al Okrugului Autonom Khanty-Mansiysk - Ugra și a vizitatorilor în zona controlată stabilită prin prezentul ordin este determinată de „Instrucțiunile pentru asigurarea securității instituției bugetare a Khanty -Mansiysk Autonomous Okrug - Ugra „Directia pentru Exploatarea Clădirilor de Birouri”.
3. Controlul asupra implementării „Instrucțiunilor pentru asigurarea securității instituției bugetare din regiunea autonomă Khanty-Mansi „Direcția pentru funcționarea clădirilor de birouri” este atribuit inginerului departamentului de organizare al Departamentului administrativ responsabil cu asigurarea măsurilor de protecție a informațiilor prelucrate în sistemul de informații cu date cu caracter personal „Angajații” (administrarea administratorului de securitate a informațiilor Shevtsov Yuri Vladimirovich.
4. Departamentul de organizare al Departamentului administrativ ar trebui să-i familiarizeze pe angajații interesați ai Departamentului de relații publice și externe al Okrug-Ugra autonom Khanty-Mansiysk cu semnătură în conformitate cu apendicele 2 la prezentul ordin.
5. Îmi rezerv controlul asupra executării acestui ordin.
|
Director al Departamentului I.A. Verhovsky
Anexa nr. 1
şi relaţiile externe ale Ugra
Limitele zonei controlate a sistemului de informații cu date cu caracter personal „Angajații”
Figura 1 – Limita zonei controlate, camera nr. 312
Figura 2 – Limita zonei controlate, camera nr. 303
Figura 3 – Limita zonei controlate, camera nr. 307
Anexa nr. 2
la ordinul Departamentului Public
şi relaţiile externe ale Ugra
familiarizarea angajatului
cu ordinul „Cu privire la stabilirea limitelor zonei controlate a sistemului de informații cu date cu caracter personal „Angajații”
Cu ordinul „Cu privire la stabilirea limitelor zonei controlate a sistemului informatic de date cu caracter personal „Angajații” din data de „___”________ 2015. Nu. __________ următorii angajați au fost familiarizați cu:
Şeful Direcţiei Administrative ____________ Petrova E.V. ________
(semnătură) (data) Șef departament
Departamentul administrativ ____________ Zakharova T.A.____________
(semnătura) (data)
sprijin financiar si economic
Departamentul administrativ ____________ Tikhonova S.A.___________
(semnătura) (data)
Consultant departament
sprijin financiar si economic
Departamentul administrativ ____________ Geyzler I.V.___________
(semnătura) (data)
Specialist șef al departamentului
sprijin financiar si economic
Departamentul administrativ ____________ Shishelyakina G.N._______
(semnătura) (data)
Consultant departament
munca juridica si de personal
Departamentul administrativ ____________ Koltsova E.G.___________
(semnătura) (data)
Specialist-expert-șef al departamentului
munca juridica si de personal
Departamentul Administrativ ____________ Plastinina Yu.S.________ (semnătura) (data)
Specialist-expert-șef al departamentului
munca juridica si de personal
Departamentul Administrativ ____________ Kireeva I.A ____________ (semnătură) (data)
departament organizatoric
Departamentul administrativ ____________ Shevtsov Yu.V.____________
(semnătura) (data)
Pregătite de:
Șef departament organizatoric
Departamentul Administrativ I.V. Sokolova
De acord:
Director adjunct al Departamentului O.I. Burychkin
Adjunct sef
Departamentul Administrativ