Положение об обработке персональных данных

Положение об обработке персональных данных в ГБУЗ МО «Московская областная стоматологическая поликлиника»
 

1.   Общие сведения.
1.1.  Настоящее Положение об обработке персональных данных устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (далее — Положение).
Обработка персональных данных в ГБУЗ МО «Московская областная стоматологическая поликлиника» выполняется с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов,  персональные  данные  которых  обрабатываются  в  ГБУЗ МО «Московская областная стоматологическая поликлиника».

1.2.  ГБУЗ МО «Московская областная стоматологическая поликлиника» в соответствии с Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» является оператором, осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (далее — оператор персональных данных).

1.3. Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон), гл. 14 Трудового кодекса Российской Федерации от 13.12.2001 г. № 197-ФЗ.

1.4. Субъектами персональных данных являются пациенты и сотрудники ГБУЗ МО «Московская областная стоматологическая поликлиника» граждане Российской Федерации, информация о которых содержится в информационных системах ГБУЗ МО «Московская областная стоматологическая поликлиника».

1.5.  Целями Положения являются:
1.5.1. обеспечение защиты прав и свобод при обработке персональных данных сотрудников ГБУЗ МО «Московская областная стоматологическая поликлиника», персональных данных граждан, содержащихся в информационных системах ГБУЗ МО «Московская областная стоматологическая поликлиника»;
1.5.2. установление ответственности сотрудников ГБУЗ МО «Московская областная стоматологическая поликлиника» за невыполнение нормативных правовых актов, регулирующих обработку и защиту персональных данных.

1.6. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
1.6.1. осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных;
1.6.2. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых ГБУЗ МО «Московская областная стоматологическая поликлиника» мер, направленных на обеспечение выполнения обязанностей оператора персональных данных, предусмотренных Федеральным законом;
1.6.3. ознакомление сотрудников ГБУЗ МО «Московская областная стоматологическая поликлиника», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, с требованиями по защите персональных данных.

1.7. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором персональных данных, оператор персональных данных в срок, не превышающий 3 рабочих дня с даты выявления неправомерной обработки персональных данных, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных.
В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор персональных данных в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении неправомерной обработки персональных данных или об уничтожении персональных данных оператор персональных данных обязан уведомить субъекта персональных данных или его представителя.

1.8. В случае достижения цели обработки персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных.

1.9. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий три рабочих дня с даты получения указанного отзыва. Об уничтожении персональных данных оператор персональных данных в течении трех рабочих дней обязан уведомить субъекта персональных данных.

1.10. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пунктах 7 — 9 Правил, оператор персональных данных осуществляет блокирование таких персональных данных, обеспечивает уничтожение персональных данных в срок до 6 месяцев, если иной срок не установлен действующим законодательством Российской Федерации.

1.11. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели хранения персональных данных, если срок хранения персональных данных не установлен Федеральным законом.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки персональных данных или в случае    утраты    необходимости    в    достижении    этих    целей,   если иное не предусмотрено Федеральным законом.

1.12. Обработка персональных данных в информационных системах ГБУЗ МО    «Московская    областная   стоматологическая поликлиника» (далее информационные системы персональных данных) осуществляется в соответствии с постановлением Правительства Российской Федерации от 01.11. 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

1.13. Обеспечение безопасности персональных данных информационных системах персональных данных достигается путем:
1.13.1. определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
1.13.2. применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
1.13.3. применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
1.13.4.  оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
1.13.5.  учета машинных носителей персональных данных;
1.13.6. обнаружения фактов несанкционированного доступа к персональным данным и принятием мер по прекращению несанкционированного доступа;
1.13.7. восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
1.13.8. установления правил доступа (пароль, логин и др.) к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.

1.14.  Сотрудники ГБУЗ МО «Московская областная стоматологическая поликлиника», имеющие доступ к информационным системам персональных данных, обязаны:
1.14.1. принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;
1.14.2. вести учет электронных носителей информации, содержащих персональные данные, и осуществлять их хранение в металлических шкафах или сейфах;
1.14.3. производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с персональными данными;
1.14.4. соблюдать установленный порядок и правила доступа в информационные системы, не допускать передачу персональных кодов и паролей к информационным системам персональных данных;
1.14.5. принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационным системам персональных данных;
1.14.6. работать с информационными системами персональных данных в объеме своих полномочий, не допускать их превышения;
1.14.7. обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.

1.15. При работе сотрудников ГБУЗ МО «Московская областная стоматологическая поликлиника» в информационных системах персональных данных запрещается:
1.15.1. записывать значения кодов и паролей доступа к информационным системам персональных данных;
1.15.2. передавать коды и пароли доступа к информационным системам персональных данных другим лицам;
1.15.3. пользоваться в работе кодами и паролями других пользователей доступа к информационным системам персональных данных;
1.15.4. производить подбор кодов и паролей доступа к информационным системам персональных данных других пользователей;
1.15.5. записывать на электронные носители с персональными данными
посторонние программы и данные;
1.15.6. копировать информацию с персональными данными на неучтенные электронные носители информации;
1.15.7. выносить электронные носители с персональными данными за пределы территории ГБУЗ МО «Московская областная стоматологическая поликлиника»;
1.15.8. покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств блокирования, доступа к персональному компьютеру;
1.15.9. приносить, самостоятельно устанавливать и эксплуатировать на персональном компьютере любые программные продукты, не принятые к эксплуатации;
1.15.10. открывать, разбирать, ремонтировать персональные компьютеры, вносить изменения в конструкцию, подключать нештатные блоки и устройства;
1.15.11. передавать информацию, содержащую персональные данные, подлежащие защите, по открытым каналам связи (факсимильная связь, электронная почта и иное), а также использовать сведения, содержащие персональные данные, подлежащие защите, в открытой переписке и при ведении переговоров по телефону.

1.16. Сбор, систематизацию, накопление, хранение, обновление, изменение, передачу, уничтожение (далее — обработка) документов работников ГБУЗ МО «Московская областная стоматологическая поликлиника», содержащих персональные данные на бумажном носителе, осуществляют сотрудники ГБУЗ МО «Московская областная стоматологическая поликлиника» в соответствии с гл.14 Трудового Кодекса Российской Федерации.

1.17. Все персональные данные должны быть получены непосредственно от сотрудников и пациентов ГБУЗ МО «Московская областная стоматологическая поликлиника».

1.18. Документы, содержащие персональные данные, уничтожаются путем измельчения в бумагорезательной машине.

1.19. При смене сотрудника, ответственного за учет документов на бумажном носителе, содержащих персональные данные, составляется акт приема- сдачи этих материалов, который утверждается руководителем соответствующего структурного подразделения ГБУЗ МО «Московская областная стоматологическая поликлиника».

1.20. При работе с документами на бумажном носителе, содержащими персональные данные, уполномоченные на обработку персональных данных сотрудники ГБУЗ МО «Московская областная стоматологическая поликлиника» обязаны:
1.20.1.  ознакомиться   только   с   теми   документами,  содержащими
персональные данные, к которым получен доступ в соответствии со служебной необходимостью;
1.20.2. хранить в тайне ставшие известными им сведения, содержащие персональные данные, подлежащие защите, информировать непосредственного руководителя о фактах нарушения порядка работы с персональными данными и о попытках несанкционированного доступа к ним;
1.20.3. о допущенных нарушениях установленного порядка работы, учета и хранения документов, содержащих персональные данные, а также о фактах разглашения сведений, содержащих персональные данные, подлежащих защите, представлять непосредственным руководителям письменные объяснения.

1.21. Сотрудники, виновные в разглашении или утрате информации, содержащей персональные данные, несут ответственность в соответствии с законодательством Российской Федерации.

1.22. Контроль за исполнением сотрудниками ГБУЗ МО «Московская областная стоматологическая поликлиника» требований настоящего Положения возлагается   на руководителей   структурных   подразделений   ГБУЗ МО «Московская областная стоматологическая поликлиника» и назначенного приказом ГБУЗ МО «Московская областная стоматологическая поликлиника» ответственного лица за организацию обработки персональных данных.

2. Порядок контроля защиты информации в ИСПДн и приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления. Порядок разбирательства по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации и принятие мер по предотвращению возможных опасных последствий.
2.1. Контроль защиты информации в ИСПДн - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения посторонними лицами охраняемых сведений, выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технические средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности систем информатизации.

2.2. Основными задачами контроля являются:
2.2.1. проверка организации выполнения мероприятий по защите информации в подразделениях ГБУЗ МО «Московская областная стоматологическая поликлиника» учета требований по защите информации в разрабатываемых плановых и распорядительных документах;
2.2.2. выявление демаскирующих признаков объектов ИСПДн;
2.2.3. уточнение зон перехвата обрабатываемой на объектах информации, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
2.2.4. проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;
2.2.5. проверка выполнения требований по защите ИСПДн от несанкционированного доступа;
2.2.6. проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;
2.2.7. проверка знаний работников по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места;
2.2.8. оперативное принятие мер по пресечению нарушений требований (норм) защиты информации в ИСПДн;
2.2.9. разработка предложений по устранению (ослаблению) демаскирующих признаков и технических каналов утечки информации.

2.3. Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей в ИСПДн ГБУЗ МО «Московская областная стоматологическая поликлиника» и осуществляется по объектовому принципу, при котором на объекте одновременно проверяются все вопросы защиты информации. Перечень каналов утечки устанавливается в соответствии с моделью угроз.

2.4.    В ходе контроля проверяются:
2.4.1. соответствие принятых мер по обеспечению безопасности персональных данных (далее — ОБ ПДн) мерам, предписанным законодательством РФ и установленным нормативными документами предприятия;
2.4.2. своевременность и полнота выполнения требований настоящего Положения и других руководящих документов ОБ ПДн;
2.4.3. полнота выявления демаскирующих признаков охраняемых сведений об объектах защиты и возможных технических каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
2.4.4. эффективность проведения организационных и технических мероприятий по защите информации;
2.4.5. устранение ранее выявленных недостатков.

2.5. Основными видами технического контроля являются визуально- оптический контроль, контроль эффективности защиты информации от утечки по техническим каналам, контроль несанкционированного доступа к информации и программно-технических воздействий на информацию.

2.6. Полученные в ходе ведения контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. При обнаружении нарушений норм и требований по защите информации администратор информационной безопасности докладывает руководителю для принятия ими решения о прекращении обработки информации и проведения соответствующих организационных и технических мер по устранению нарушения. Результаты контроля защиты информации оформляются актами либо в соответствующих журналах учета результатов контроля.

2.7. Невыполнение предписанных мероприятий по защите ПДн, считается предпосылкой к утечке информации (далее - предпосылка).
По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований по указанию руководителя или ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн проводится расследование.
Для проведения расследования назначается комиссия с привлечением администратора информационной безопасности. Комиссия обязана установить, имела ли место утечка сведений, и обстоятельства ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению. После окончания расследования руководитель принимает решение о наказании виновных лиц и необходимых мероприятиях по устранению недостатков.

2.8. Ведение контроля защиты информации осуществляется путем проведения периодических, плановых и внезапных проверок объектов защиты. Периодические, плановые и внезапные проверки объектов организации проводятся, как правило, силами администратора информационной безопасности и (или) ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн, в соответствии с утвержденным планом или по согласованию с руководителем.

2.9. Одной из форм контроля защиты информации является обследование объектов ИСПДн. Оно проводится не реже одного раза в год рабочей группой в составе администратора информационной безопасности, ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн информации, администратор ИСПДн. Для обследования ИСПДн может привлекаться организация, имеющая лицензию ФСТЭК России на деятельность по технической защите информации.

2.10. Обследование ИСПДн проводится с целью определения соответствия
помещений, технических и программных средств требованиям по защите информации, установленным в «Аттестате соответствия» (если проводилась аттестация) и (или) требованиям по безопасности персональных данных.

2.11.   B ходе обследования проверяется:
2.11.1. соответствие текущих условий функционирования обследуемого объекта ИСПДн условиям, сложившимся на момент проверки;
2.11.2. соблюдение организационно-технических требований помещений, в которых располагается ИСПДн;
2.11.3. сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;
2.11.4. соответствие выполняемых на объекте ИСПДн мероприятий по защите информации данным, изложенным в настоящем положении;
2.11.5. выполнение требований по защите информационных систем от несанкционированного доступа;
2.11.6. выполнение требований по антивирусной защите.

3. Порядок обучения персонала практике работы в ИСПДн в части обеспечения безопасности персональных данных.
3.1. Перед началом работы в ИСПДн пользователи должны ознакомиться с инструкциями по использованию программных и технических средств, по использованию средств защиты информации под роспись.

3.2. Пользователи должны продемонстрировать администратору информационной безопасности наличие необходимых знаний и умений для выполнения требований настоящего Положения. Администратор информационной безопасности должен вести журнал учета пользователей, допущенных к информационным системам персональных данных.

3.3. Пользователи, демонстрирующие недостаточные знания и умения для обеспечения безопасности персональных данных в соответствии с требованиями настоящего положения, к работе в ИСПДн не допускаются.

3.4. Ответственным за организацию обучения и оказание методической помощи в ГБУЗ МО «Московская областная стоматологическая поликлиника» является администратор информационной безопасности.

3.5. Для проведения занятий, семинаров и совещаний могут привлекаться специалисты по программному и техническому обеспечению, а также специалисты органов по аттестации объектов ИСПДн, организаций-лицензиатов ФСТЭК России и ФСБ России.

3.6. К работе в ИСПДн допускаются только сотрудники, прошедшие первичный инструктаж по обеспечению безопасности в ИСПДн и показавшие твердые теоретические знания и практические навыки, о чём делается соответствующая запись в Журнале учёта допуска к работе в ИСПДн.

3.7. Администратор информационной безопасности должен иметь профильное образование (либо дипломы о повышении квалификации) в области защиты информации. Рекомендуется прохождение администратором специализированных курсов по администрированию средств защиты информации, используемых в ИСПДн.