«УТВЕРЖДАЮ»
Главный врач ООО «Стоматология для Вас»
_____________ И.И. Саргсян
«05» января 2025 года
ПОЛОЖЕНИЕ
по организации и проведению работ по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных
ООО «Стоматология для Вас»
I. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящее Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Стоматология для Вас» (далее — Положение) разработано в соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Целью разработки настоящего Положения является установление порядка организации и проведения работ по обеспечению безопасности персональных данных (далее — ПДн) в информационных системах персональных данных (далее — ИСПДн) ООО «Стоматология для Вас» (далее — Оператор) на протяжении всего жизненного цикла ИСПДн.
Настоящее Положение определяет:
- порядок организации работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
- основные обязанности и ответственность участников работ по обеспечению безопасности ПДн;
- состав и содержание организационных и технических мер по обеспечению безопасности ПДн;
- порядок контроля и отчётности по выполнению мероприятий в области защиты ПДн.
Положение распространяется на все информационные системы персональных данных, функционирующие в ООО «Стоматология для Вас».
Работы по обеспечению безопасности персональных данных выполняются в целях предотвращения угроз безопасности ПДн, обеспечения конфиденциальности, целостности и доступности ПДн при их обработке.
Настоящее Положение является обязательным для исполнения всеми работниками ООО «Стоматология для Вас», участвующими в обработке персональных данных.
Организационные и технические меры по обеспечению безопасности ПДн применяются с учётом актуальных угроз безопасности персональных данных и уровня защищённости информационных систем персональных данных, определённых в соответствии с требованиями законодательства Российской Федерации.
II. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В настоящем Положении используются термины и определения в соответствии с законодательством Российской Федерации, а также специальные понятия, применяемые в области обеспечения безопасности персональных данных.
Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Безопасность персональных данных — состояние защищённости персональных данных, характеризующееся способностью системы обеспечивать их конфиденциальность, целостность и доступность при обработке.
Несанкционированный доступ (НСД) — действия, направленные на получение, модификацию, уничтожение или распространение персональных данных без соответствующих прав.
Конфиденциальность персональных данных — обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
Уровень защищённости персональных данных — совокупность требований к системе защиты персональных данных, обеспечивающих нейтрализацию актуальных угроз безопасности.
Целостность информации — сохранение неизменности информации при хранении, обработке и передаче.
Угрозы безопасности персональных данных — совокупность условий и факторов, создающих возможность несанкционированного доступа, уничтожения, модификации, блокирования, копирования, предоставления, распространения персональных данных.
Средства защиты информации (СЗИ) — программные, программно-аппаратные или технические средства, предназначенные для предотвращения утечек и несанкционированного доступа к информации.
Система защиты персональных данных (СЗПДн) — совокупность организационных и технических мер, реализуемых в рамках ИСПДн с целью обеспечения безопасности персональных данных.
III. ПОРЯДОК ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ
Обеспечение безопасности персональных данных осуществляется в рамках комплекса организационных и технических мероприятий, выполняемых в составе системы защиты персональных данных (СЗПДн). Работы по обеспечению безопасности ПДн включают следующие этапы:
- Этап 1. Предпроектное обследование ИСПДн и разработка технического задания на создание СЗПДн;
- Этап 2. Проектирование, установка и настройка средств защиты информации;
- Этап 3. Ввод ИСПДн в эксплуатацию, контроль соответствия требованиям защиты ПДн и дальнейшее сопровождение системы.
Этап 1. Предпроектное обследование ИСПДн.
На данном этапе выполняются работы по сбору исходных данных, необходимых для определения состава и содержания организационно-технических мер, включая:
- назначение ответственных лиц за организацию обработки ПДн и обеспечение их безопасности;
- определение целей обработки и состава персональных данных, подлежащих защите;
- определение сроков хранения и уничтожения ПДн;
- перечень используемых информационных технологий, программных средств, оборудования и помещений;
- анализ существующих угроз безопасности и определение уровня защищённости;
- разработка технического задания на создание системы защиты персональных данных.
Этап 2. Проектирование СЗПДн.
На данном этапе осуществляется проектирование, приобретение, установка и настройка средств защиты информации, а также разработка эксплуатационной документации и корректировка локальных актов по защите персональных данных.
Этап 3. Ввод ИСПДн в эксплуатацию.
Ввод осуществляется после проведения приёмо-сдаточных испытаний, документального подтверждения выполнения требований по защите ПДн и обучения ответственных сотрудников.
Контроль эффективности мер защиты ПДн проводится не реже одного раза в три года.
ПРИЛОЖЕНИЕ №1
План мероприятий по защите персональных данных
| № п/п | Наименование мероприятия | Срок | Примечание |
|---|---|---|---|
| 1 | Документальное регламентирование работы с ПДн | При необходимости | Разработка/актуализация ОРД |
| 2 | Получение согласий субъектов ПДн | Постоянно | Допускается ЭП |
| 3 | Пересмотр договоров с третьими лицами | При необходимости | Включение условий конфиденциальности |
| 4 | Разграничение доступа сотрудников к ПДн | При необходимости | Назначение ролей и прав в ИСПДн |
| 5 | Взаимодействие с субъектами ПДн | Постоянно | Журналы учёта, уведомления |
| 6 | Учёт отчуждаемых носителей и СЗИ | Постоянно | - |
| 7 | Повышение квалификации сотрудников | Постоянно | Ответственные — раз в 3 года |
| 8 | Инвентаризация информационных ресурсов | Раз в полгода | Наличие ПДн |
| 9 | Сроки обработки и уничтожение ПДн | При необходимости | Фиксировать в ОРД |
| 10 | Уничтожение носителей | При необходимости | Акты на уничтожение |
| 11 | Определение уровня защищённости ПДн | При необходимости | При изменениях |
| 12 | Модели угроз и нарушителя | При необходимости | При создании СЗПДн |
| 13 | Аттестация ИСПДн | При необходимости | С участием лицензиатов ФСТЭК |
| 14 | Эксплуатация и контроль безопасности ПДн | Постоянно | Системный мониторинг |
| 15 | Сегментирование/автономизация ИСПДн | При необходимости | Отключение от сетей общего пользования |
ПРИЛОЖЕНИЕ №2
План внутренних проверок
| № | Мероприятие | Периодичность | Дата, подпись исполнителя |
|---|---|---|---|
| 1 | Внутренний контроль/аудит соответствия ФЗ-152 и НПА | Раз в полгода | |
| 2 | Ознакомление сотрудников с требованиями по ПДн | Раз в полгода | |
| 3 | Наличие согласий субъектов ПДн (при необходимости) | Раз в полгода | |
| 4 | Подписанные формы и обязательства работников | Раз в полгода | |
| 5 | Уничтожение носителей с актами | Ежегодно | |
| 6 | Журналы обращений и передач ПДн | Раз в полгода | |
| 7 | Изменения в правилах обработки/защиты ПДн | Ежегодно | |
| 8 | Условия хранения материальных носителей | Раз в полгода | |
| 9 | Актуальность уведомлений об обработке ПДн | Раз в полгода | |
| 10 | Актуализация ОРД по обработке ПДн | Раз в полгода | |
| 11 | Анализ и пересмотр угроз безопасности ПДн | Ежегодно | |
| 12 | Оценка вреда субъектам ПДн при нарушениях | Ежегодно | |
| 13 | Применение сертифицированных средств защиты информации | Раз в полгода | |
| 14 | Эффективность мер до ввода ИСПДн | При необходимости | |
| 15 | Учёт машинных носителей ПДн | Раз в полгода | |
| 16 | Контроль уровня защищённости ИСПДн и мер | Раз в полгода | |
| 17 | Контроль паролей, учётных записей, прав доступа | Ежеквартально | |
| 18 | Изменения структурно-функциональных характеристик ИСПДн | Ежеквартально | |
| 19 | Проверка корректности настроек средств защиты информации | Раз в полгода | |
| 20 | Резервное копирование и восстановление данных | Ежеквартально | |
| 21 | Актуализация ОРД по защите персональных данных | Раз в полгода |
ПРИЛОЖЕНИЕ №3
Отчёт о внутренней проверке
1. Основание: Положение по обеспечению безопасности ПДн от «____» __________ 20__ г.
2. Дата и место проведения: «___» __________ 20__ г., адрес ________________________________
3. Проведённые мероприятия:
_________________________________________
_________________________________________
_________________________________________
4. Результаты проверки:
_________________________________________
_________________________________________
_________________________________________
5. Рекомендуемые мероприятия:
_________________________________________
_________________________________________
_________________________________________
ООО «Стоматология для Вас» · 2025 г.
📄 Скачать PDF