Юридический портал о недвижимости

Юридический портал о недвижимости

» » Об установлении границ контролируемой зоны информационной системы персональных данных «Сотрудники. Дайте определение понятию «контролируемая зона». Что может быть признано за границу КЗ? Чем отличается защищаемое помещение от выделенного помещения? Образе

Об установлении границ контролируемой зоны информационной системы персональных данных «Сотрудники. Дайте определение понятию «контролируемая зона». Что может быть признано за границу КЗ? Чем отличается защищаемое помещение от выделенного помещения? Образе

Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных, технических и иных материальных средств.

Границей КЗ могут являться:

Периметр охраняемой территории учреждения (предприятия);

Ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.

Таким образом, КЗ может ограничиваться периметром охраняемой территории частично, охраняемой территорией, охватывающей здания и сооружения, в которых проводятся закрытые мероприятия, частью зданий, комнатой, кабинетом, в которых проводятся закрытые мероприятия.

В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры исключающие или существенно затрудняющие возможность ведения перехвата в этой зоне.

Постоянная контролируемая зона - это зона, границы которой устанавливаются на длительный срок.

Временная контролируемая зона - это зона, устанавливаемая для проведения закрытых мероприятий разового характера.

Выделенные помещения – помещения (служебные кабинеты, актовые, конференц-залы и т.д.) специально предназначенные для обработки речевой информации (обсуждения, совещания, и т.д.), содержащей сведения, составляющие государственную тайну.

Защищаемые помещения - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий, в ходе которых обрабатывается речевая информация, содержащая сведения конфиденциального характера.

4. Сколько и какие классы защищенности установлены для автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, отчего они зависят. Каким документом регламентированы требования к обеспечению ЗИ в данных АИС.

Формирование требований к ЗИ в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583), ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и стандартов организации и в том числе включает: принятие решения о необходимости ЗИ в автоматизированной системе управления; классификацию автоматизированной системы управления по требованиям ЗИ; определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты автоматизированной системы управления.



Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости (критичности) информации, обработка которой осуществляется в автоматизированной системе управления. Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс – третий, самый высокий – первый.

Порядок определения класса защищенности АСУ

1. Класс защищенности автоматизированной системы управления (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости (критичности) обрабатываемой в ней информации (УЗ).

2. Уровень значимости (критичности) информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности (неправомерные уничтожение или модифицирование), доступности (неправомерное блокирование) или конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), в результате которого возможно нарушение штатного режима функционирования автоматизированной системы управления или незаконное вмешательство в процессы функционирования автоматизированной системы управления.



УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, степень ущерба)],

где степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом и может быть:

а) высокой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации федерального или межрегионального характера или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;

б) средней, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации регионального или межмуниципального характера* или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;

в) низкой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации муниципального (локального) характера или возможны иные незначительные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности.

В случае, если для информации, обрабатываемой в автоматизированной системе управления, не требуется обеспечение одного из свойств безопасности информации (в частности конфиденциальности) уровень значимости (критичности) определятся для двух других свойств безопасности информации (целостности, доступности). В этом случае:

УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, не применяется)].

Информация, обрабатываемая в автоматизированной системе управления, имеет высокий уровень значимости (критичности) (УЗ 1), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена высокая степень ущерба.

Информация, обрабатываемая в автоматизированной системе управления, имеет средний уровень значимости (критичности) (УЗ 2), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.

Информация, обрабатываемая в автоматизированной системе управления, имеет низкий уровень значимости (критичности) (УЗ 3), если для всех свойств безопасности информации (целостности, доступности, конфиденциальности) определены низкие степени ущерба.

При обработке в автоматизированной системе управления двух и более видов информации (измерительная информация, информация о состоянии процесса) уровень значимости (критичности) информации (УЗ) определяется отдельно для каждого вида информации.

Итоговый уровень значимости (критичности) устанавливается по наивысшим значениям степени возможного ущерба, определенным для целостности, доступности, конфиденциальности каждого вида информации. в соответствии с постановлением Правительства РФ от 21 мая 2007 г. № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства РФ, 2007, № 22, ст. 2640; 2011, № 21, ст. 2971).

3. Класс защищенности автоматизированной системы управления определяется в соответствии с таблицей:

Уровень значимости (критичности)

информации Класс защищенности автоматизированной системы управления

Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии. Результаты классификации автоматизированной системы управления оформляются актом классификации. Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации.

Класс защищенности автоматизированной системы управления (сегмента) подлежит пересмотру только в случае ее модернизации, в результате которой изменился уровень значимости (критичности) информации, обрабатываемой в автоматизированной системе управления (сегменте).

Требования к обеспечению ЗИ в данных автоматизированных системах управления регламентируются приказом ФСТЭК России от 14.03.2014 №31 «Об утверждении Требований к обеспечению ЗИ в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

Приказ Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югры
№ 169 от 28.05.2015
Вложения: 
Скачать документ (формат.pdf) (0.09 MB)
Скачать документ (формат.doc) (1.39 MB)

Об установлении границ контролируемой зоны информационной системы персональных данных «Сотрудники»

г. Ханты-Мансийск

Во исполнение требований Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановления Правительства Российской федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Приказа ФСТЭК России от 11 февраля 2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

ПРИКАЗЫВАЮ:

1. Установить границы контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию и средства защиты информации, а также средства обеспечения функционирования информационной системы персональных данных «Сотрудники» по внешним ограждающим конструкциям помещений № 303, № 307, 312 согласно приложению 1 к настоящему приказу.

2. Нахождение сотрудников Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югры и посетителей в пределах контролируемой зоны, установленной данным приказом, определяется «Инструкцией по обеспечению безопасности бюджетного учреждения ХМАО-Югры «Дирекция по эксплуатации служебных зданий».

3. Контроль за исполнением «Инструкции по обеспечению безопасности бюджетного учреждения ХМАО-Югры «Дирекция по эксплуатации служебных зданий» возлагается на ответственного за обеспечение мер по защите сведений, обрабатываемых в информационной системе персональных данных «Сотрудники» (администратора информационной безопасности) инженера организационного отдела Административного управления Шевцова Юрия Владимировича.

4. Организационному отделу Административного управления ознакомить под роспись заинтересованных сотрудников Департамента общественных и внешних связей Ханты-Мансийского автономного округа-Югры согласно приложению 2 к настоящему приказу.

5. Контроль исполнения настоящего приказа оставляю за собой.

Подписан директором Департамента общественных и внешних связей Югры



Директор Департамента И.А. Верховский


Приложение № 1

и внешних связей Югры

Границы контролируемой зоны информационной системы персональных данных «Сотрудники»

Рисунок 1 – Граница контролируемой зоны, кабинет № 312

Рисунок 2 – Граница контролируемой зоны, кабинет № 303

Рисунок 3 – Граница контролируемой зоны, кабинет № 307

Приложение № 2

к приказу Департамента общественных

и внешних связей Югры

ознакомления сотрудников

с приказом «Об установлении границ контролируемой зоны информационной системы персональных данных «Сотрудники»

С приказом «Об установлении границ контролируемой зоны информационной системы персональных данных «Сотрудники» от «___»________ 2015г. № __________ ознакомлены следующие сотрудники:

Начальник Административного управления ____________ Петрова Е.В. ________

(подпись) (дата) Начальник отдела

Административного управления ____________ Захарова Т.А.____________

(подпись) (дата)

финансово-экономического обеспечения

Административного управления ____________ Тихонова С.А.___________

(подпись) (дата)

Консультант отдела

финансово-экономического обеспечения

Административного управления ____________ Гейзлер И.В.___________

(подпись) (дата)

Главный специалист отдела

финансово-экономического обеспечения

Административного управления ____________ Шишелякина Г.Н._______

(подпись) (дата)

Консультант отдела

правовой и кадровой работы

Административного управления ____________ Кольцова Е.Г.___________

(подпись) (дата)

Главный специалист-эксперт отдела

правовой и кадровой работы

Административного управления ____________ Пластинина Ю.С.________ (подпись) (дата)

Главный специалист-эксперт отдела

правовой и кадровой работы

Административного управления ____________ Киреева И.А.____________ (подпись) (дата)

организационного отдела

Административного управления ____________ Шевцов Ю.В.____________

(подпись) (дата)

Подготовлен:

Начальник организационного отдела

Административного управления И.В. Соколова

Согласовано:

Заместитель директора Департамента О.И. Бурычкин

Зам. начальника

Административного Управления


Министерства здравоохранения
Свердловской области
от 20 октября 2015 г. N 1622-п Образец НАИМЕНОВАНИЕ МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ _________________________________________________________________________ от _____________ N _____________ ПРИКАЗ Об определении границ контролируемой зоны В целях исключения неконтролируемого пребывания посторонних лиц при обработке персональных данных и в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации", утвержденными приказом Гостехкомиссии России от 30.08.2002 за N 282, приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", рекомендациями ФСБ России "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации " (утв. ФСБ РФ 21.02.2008 N 149/54-144) приказываю: 1. Границами контролируемой зоны ___________________________________ (название МО) считать периметр ограждающих конструкций главного лечебного корпуса по адресу _________________________________________________________________. 2. Утвердить порядок доступа работников ____________________________ (название МО) в помещения, в которых ведется обработка персональных данных. 3. Контроль за актуализацией и выполнением настоящего приказа возложить на ___________________________________________________________. (должность, Ф.И.О. сотрудника) Главный врач ______________ (Ф.И.О.)

Порядок доступа работников (название МО) в помещения, в которых ведется обработка персональных данных (утв. приказом _____________________ от ______ N ____) (название МО) 1. Настоящий Порядок доступа работников _________________ (название МО) в помещения, в которых ведется обработка персональных данных (далее - Порядок) разработан в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных". 2. Персональные данные относятся к конфиденциальной информации. Должностные лица, уполномоченные на обработку персональных данных, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 3. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях, исключая возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. 4. При хранении носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. 5. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только должностные лица, уполномоченные на обработку персональных данных приказом ___________________ (название МО). 6. Ответственными за организацию доступа в помещения, в которых ведется обработка персональных данных, являются руководители структурных подразделений ____________________________________________ (название МО). 7. Нахождение лиц, в помещениях (название МО), предназначенных для обработки персональных данных, не являющихся уполномоченными на обработку персональных данных, возможно только в сопровождении сотрудника, уполномоченного на обработку персональных данных на время, обусловленное производственной необходимостью. 8. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, осуществляется ответственным за организацию обработки персональных данных и ответственным за безопасность персональных данных.

1. Настоящее Положение об обработке персональных данных устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (далее – Положение).

Обработка персональных данных в ЛПУ выполняется с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в ЛПУ.

2. ЛПУ в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» является оператором, осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (далее – оператор персональных данных).

3. Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон), гл. 14 Трудового кодекса Российской Федерации от 13.12.2001 № 197-ФЗ.

4. Субъектами персональных данных являются сотрудники ЛПУ, граждане Российской Федерации, информация о которых содержится в информационных системах ЛПУ.

5. Целями Положения являются:

а) обеспечение защиты прав и свобод при обработке персональных данных сотрудников ЛПУ, персональных данных граждан, содержащихся в информационных системах ЛПУ;

б) установление ответственности сотрудников ЛПУ за невыполнение нормативных правовых актов, регулирующих обработку и защиту персональных данных.

6. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

а) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных;

б) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых ЛПУ мер, направленных на обеспечение выполнения обязанностей оператора персональных данных, предусмотренных Федеральным законом;



в) ознакомление сотрудников ЛПУ, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, с требованиями по защите персональных данных.

7. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором персональных данных, оператор персональных данных в срок, не превышающий 3 рабочих дня с даты выявления неправомерной обработки персональных данных, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных.

В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор персональных данных в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении неправомерной обработки персональных данных или об уничтожении персональных данных оператор персональных данных обязан уведомить субъекта персональных данных или его представителя.

8. В случае достижения цели обработки персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных.

9. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий три рабочих дня с даты получения указанного отзыва. Об уничтожении персональных данных оператор персональных данных в течении трех рабочих дней обязан уведомить субъекта персональных данных.



10. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пунктах 7 – 9 Правил, оператор персональных данных осуществляет блокирование таких персональных данных, обеспечивает уничтожение персональных данных в срок до 6 месяцев, если иной срок не установлен действующим законодательством Российской Федерации.

11. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели хранения персональных данных, если срок хранения персональных данных не установлен Федеральным законом.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

12. Обработка персональных данных в информационных системах ЛПУ (далее – информационные системы персональных данных) осуществляется в соответствии с постановлением Правительства Российской Федерации от 01.11. 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

13. Обеспечение безопасности персональных данных в информационных системах персональных данных достигается путем:

а) определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

б) применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

в) применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

г) оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

д) учета машинных носителей персональных данных;

е) обнаружения фактов несанкционированного доступа к персональным данным и принятием мер по прекращению несанкционированного доступа;

ж) восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

з) установления правил доступа (пароль, логин и др.) к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.

14. Сотрудники ЛПУ, имеющие доступ к информационным системам персональных данных, обязаны:

а) принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;

б) вести учет электронных носителей информации, содержащих персональные данные, и осуществлять их хранение в металлических шкафах или сейфах;

в) производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с персональными данными;

г) соблюдать установленный порядок и правила доступа в информационные системы, не допускать передачу персональных кодов и паролей к информационным системам персональных данных;

д) принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационным системам персональных данных;

е) работать с информационными системами персональных данных в объеме своих полномочий, не допускать их превышения;

ж) обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.

15. При работе сотрудников ЛПУ в информационных системах персональных данных запрещается:

а) записывать значения кодов и паролей доступа к информационным системам персональных данных;

б) передавать коды и пароли доступа к информационным системам персональных данных другим лицам;

в) пользоваться в работе кодами и паролями других пользователей доступа к информационным системам персональных данных;

г) производить подбор кодов и паролей доступа к информационным системам персональных данных других пользователей;

д) записывать на электронные носители с персональными данными посторонние программы и данные;

е) копировать информацию с персональными данными на неучтенные электронные носители информации;

ж) выносить электронные носители с персональными данными за пределы территории ЛПУ;

з) покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств блокирования, доступа к персональному компьютеру;

и) приносить, самостоятельно устанавливать и эксплуатировать на персональном компьютере любые программные продукты, не принятые к эксплуатации;

к) открывать, разбирать, ремонтировать персональные компьютеры, вносить изменения в конструкцию, подключать нештатные блоки и устройства;

б) передавать информацию, содержащую персональные данные, подлежащие защите, по открытым каналам связи (факсимильная связь, электронная почта и иное), а также использовать сведения, содержащие персональные данные, подлежащие защите, в открытой переписке и при ведении переговоров по телефону.

16. Сбор, систематизацию, накопление, хранение, обновление, изменение, передачу, уничтожение (далее – обработка) документов работников ЛПУ,

17. Все персональные данные должны быть получены непосредственно от сотрудников ЛПУ.

18. Документы, содержащие персональные данные, уничтожаются путем измельчения в бумагорезательной машине.

19. При смене сотрудника, ответственного за учет документов на бумажном носителе, содержащих персональные данные, составляется акт приема-сдачи этих материалов, который утверждается руководителем соответствующего структурного подразделения ЛПУ.

20. При работе с документами на бумажном носителе, содержащими персональные данные, уполномоченные на обработку персональных данных сотрудники ЛПУ обязаны:

а) ознакомиться только с теми документами, содержащими персональные данные, к которым получен доступ в соответствии со служебной необходимостью;

б) хранить в тайне ставшие известными им сведения, содержащие персональные данные, подлежащие защите, информировать непосредственного руководителя о фактах нарушения порядка работы с персональными данными и о попытках несанкционированного доступа к ним;

в) о допущенных нарушениях установленного порядка работы, учета и хранения документов, содержащих персональные данные, а также о фактах разглашения сведений, содержащих персональные данные, подлежащих защите, представлять непосредственным руководителям письменные объяснения.

21. Сотрудники, виновные в разглашении или утрате информации, содержащей персональные данные, несут ответственность в соответствии с законодательством Российской Федерации.

22. Контроль исполнения сотрудниками ЛПУ требований настоящих Правил возлагается на руководителей структурных подразделений ЛПУи назначенного приказом ЛПУответственного лица за организацию обработки персональных данных.


ПРИКАЗ
Об определении границ контролируемой зоны

В целях исключения неконтролируемого пребывания посторонних лиц при обработке персональных данных и в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации», утвержденными приказом Гостехкомиссии России от 30.08.2002 за № 282, приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», рекомендациями ФСБ России «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. ФСБ РФ 21.02.2008 № 149/54-144)

ПРИКАЗЫВАЮ:

2. Утвердить порядок доступа работников ЛПУ в помещения, в которых ведется обработка персональных данных.

3. Контроль за актуализацией и выполнением настоящего приказа возложить на __________________________________________________________________.

(должность, Ф.И.О сотрудника)


Приложение к приказу