Приказ Минздрава Саратовской области от 26.06.2015 N 902 "Об утверждении форм документов по обработке персональных данных"
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ САРАТОВСКОЙ ОБЛАСТИ
ПРИКАЗ
от 26 июня 2015 г. № 902
ОБ УТВЕРЖДЕНИИ ФОРМ ДОКУМЕНТОВ
ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить:
Форму согласия субъекта персональных данных на обработку персональных данных (для участников конкурса на формирование кадрового резерва лиц, состоящих в кадровом резерве), в министерстве здравоохранения Саратовской области согласно приложению № 1 к настоящему приказу;
Форму отзыва согласия субъекта на обработку персональных данных в министерстве здравоохранения Саратовской области согласно приложению № 2 к настоящему приказу;
Форму запроса на получение информации, составляющей персональные данные у субъекта персональных данных в министерстве здравоохранения Саратовской области согласно приложению № 3 к настоящему приказу;
Форму уведомления об уничтожении персональных данных субъекта персональных данных в министерстве здравоохранения Саратовской области согласно приложению № 4 к настоящему приказу;
Форму уведомления о блокировании персональных данных субъекта персональных данных в министерстве здравоохранения Саратовской области согласно приложению № 5 к настоящему приказу;
Форму уведомления об уточнении персональных данных субъекта персональных данных в министерстве здравоохранения Саратовской области согласно приложению № 6 к настоящему приказу;
Форму уведомления об обработке персональных данных субъекта персональных данных в министерстве здравоохранения Саратовской области согласно приложению № 7 к настоящему приказу;
Форму журнала регистрации и учета обращений субъектов персональных данных в министерстве здравоохранения Саратовской области согласно приложению № 8 к настоящему приказу;
Регламент учета средств защиты информации, эксплуатационной и технической документации к ним, электронных носителей персональных данных в министерстве здравоохранения Саратовской области согласно приложению № 9 к настоящему приказу;
Разрешительную систему доступа к информационным ресурсам, программным и техническим средствам информационных систем персональных данных министерства здравоохранения Саратовской области согласно приложению № 10 к настоящему приказу;
Образец уведомления об обработке (о намерении осуществлять обработку) персональных данных, рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных в министерстве здравоохранения Саратовской области согласно приложению № 11 к настоящему приказу;
Форму согласия на обработку персональных данных государственных гражданских служащих, иных субъектов персональных данных, в министерстве здравоохранения Саратовской области согласно приложению № 12 к настоящему приказу;
Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных министерства здравоохранения Саратовской области согласно приложению № 13 к настоящему приказу.
2. Настоящий приказ подлежит официальному опубликованию в средствах массовой информации.
3. Контроль за исполнением настоящего приказа возложить на заместителя министра здравоохранения Саратовской области Н.В. Мазину.
Министр
А.Н.ДАНИЛОВ
Приложение № 1
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
Форма согласия
субъекта персональных данных на обработку
персональных данных (для участников конкурса на формирование
кадрового резерва, лиц, состоящих в кадровом резерве)
в министерстве здравоохранения Саратовской области
Я, ____________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
(адрес регистрации)
___________________________________________________________________________
(адрес фактического проживания)
___________________________________________________________________________
(паспорт: серия, номер, дата выдачи, кем выдан)
В соответствии с Конституцией Российской Федерации, Федеральным
законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", Федеральным
законом от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе
Российской Федерации", Указом Президента Российской Федерации от 01.02.2005
№ 112 "О конкурсе на замещение вакантной должности государственной
гражданской службы Российской Федерации", Законом Саратовской области от 2
февраля 2005 г. № 15-ЗСО "О государственной гражданской службе Саратовской
области" даю согласие (далее - Оператор):
На обработку моих персональных данных, а именно:
общие сведения (Ф.И.О., дата и место рождения, пол, гражданство,
образование, профессия, стаж работы (службы), семейное положение,
паспортные данные); сведения о трудовой деятельности, сведения о судимости;
сведения о воинском учете; сведения о повышении квалификации,
профессиональной переподготовке; сведения о наградах (поощрениях), почетных
званиях; сведения о месте регистрации и фактического проживания, контактных
телефонах; сведения о составе семьи; сведения о доходах и имуществе,
принадлежащем мне и членам моей семьи на праве собственности; сведения о
результатах медицинского обследования; сведения, содержащиеся в
свидетельстве о постановке на учет в налоговом органе и страховом
свидетельстве государственного пенсионного страхования; сведения о
пребывании за границей, сведения о наличии заграничного паспорта, сведения
о трудовой деятельности.
На передачу моих персональных данных третьим лицам в целях проверки
достоверности представленных сведений, формирования общего кадрового
резерва Саратовской области в налоговые органы, в правоохранительные
органы; в управление государственной службы и кадров Правительства
Саратовской области.
Обработка моих персональных данных может осуществляться с
использованием средств автоматизации и без использования таких средств
исключительно в целях обеспечения соблюдения законов и иных нормативных
правовых актов, содействия в трудоустройстве, обучении, продвижении по
службе (работе).
Я предоставляю право осуществлять следующие действия (операции) с
моими персональными данными: сбор, систематизацию, накопление, хранение,
уточнение (обновление, изменение), использование, распространение (в том
числе передачу), размещение моей фамилии, имени, отчества, наименование
должности на формирование кадрового резерва на сайте Правительства
Саратовской области, обезличивание, блокирование, уничтожение.
Данное согласие действительно в течение трех лет с момента завершения
конкурса. Согласие может быть отозвано мною на основании моего письменного
заявления.
"__" ________ 20__ г. _____________ ______________________
(подпись) расшифровка подписи
Приложение № 2
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
Форма отзыва
согласия субъекта на обработку персональных данных
в министерстве здравоохранения Саратовской области
Отзыв
согласия на обработку персональных данных
___________________________________________________________________________
наименование (Ф.И.О.) оператора
___________________________________________________________________________
Адрес оператора
___________________________________________________________________________
Адрес, где зарегистрирован субъект персональных данных
___________________________________________________________________________
Номер основного документа, удостоверяющего его личность
___________________________________________________________________________
Дата выдачи указанного документа
Заявление
Прошу Вас прекратить обработку моих персональных данных в связи с их
неправомерным использованием.
"__" ________ 20__ г. _____________ ______________________
(подпись) расшифровка подписи
Приложение № 3
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
Форма запроса
на получение информации, составляющей персональные
данные у субъекта персональных данных в министерстве
здравоохранения Саратовской области
______________________
(Оператор)
Запрос
Уважаемый(ая) _________________________________________________________
(Ф.И.О.)
в связи с __________________________________ У ___________________ возникла
необходимость получения следующей информации, составляющей Ваши
персональные данные _______________________________________________________
(перечислить информацию)
Просим Вас предоставить указанные сведения в течение рабочих дней с
момента получения настоящего запроса.
В случае невозможности предоставить указанные сведения просим в
указанный срок дать письменное согласие на получение нами необходимой
информации из следующих источников ____________________________, следующими
способами ________________________________________________________________.
По результатам обработки указанной информации нами планируется
принятие следующих решений, которые будут доведены до Вашего сведения
Против принятого решения Вы имеете право заявить свои письменные
возражения в ___________________________________ срок.
"__" ________ 20__ г. _____________ ______________________
(подпись) расшифровка подписи
Приложение № 4
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
Форма уведомления
об уничтожении персональных данных субъекта
персональных данных в министерстве здравоохранения
Саратовской области
В __________________________________
____________________________________
от _________________________________
(Ф.И.О. заявителя)
____________________________________
____________________________________
____________________________________
(наименование и реквизиты документа,
удостоверяющего личность заявителя)
Заявление
Прошу уничтожить обрабатываемые Вами мои персональные данные:
___________________________________________________________________________
(указать уничтожаемые персональные данные)
в связи с тем, что ________________________________________________________
(указать причину уничтожения персональных данных)
"__" ________ 20__ г. _____________ ______________________
(подпись) расшифровка подписи
______________________
(Оператор)
Уведомление об уничтожении
Настоящим уведомлением сообщаем Вам, что в связи с ____________________
___________________________________________________________________________
персональные данные ____________________________________________ уничтожены
(указать персональные данные)
"__" ________ 20__ г. _____________ ______________________
(подпись) расшифровка подписи
Приложение № 5
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
Форма уведомления
о блокировании персональных данных субъекта
персональных данных в министерстве здравоохранения
Саратовской области
В __________________________________
____________________________________
от _________________________________
(Ф.И.О. заявителя)
____________________________________
____________________________________
____________________________________
(наименование и реквизиты документа,
удостоверяющего личность заявителя)
Заявление
Прошу заблокировать обрабатываемые Вами мои персональные данные:
___________________________________________________________________________
(указать блокируемые персональные данные)
на срок: ______________________; в связи с тем, что _______________________
___________________________________________________________________________
(указать причину блокирования персональных данных)
"__" ________ 20__ г. _____________ ______________________
(подпись) расшифровка подписи
______________________
(Оператор)
Уведомление о блокировании
Уважаемый(ая) _________________________________________________________
(Ф.И.О.)
в связи с __________________________________________ сообщаем Вам, что Ваши
персональные данные _________________________________________ заблокированы
(указать персональные данные)
на срок ___________________.
(указать срок)
"__" ________ 20__ г. _____________ ______________________
(подпись) расшифровка подписи
Приложение № 6
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
Форма уведомления
об уточнении персональных данных субъекта
персональных данных в министерстве здравоохранения
Саратовской области
В __________________________________
____________________________________
от _________________________________
(Ф.И.О. заявителя)
____________________________________
____________________________________
____________________________________
(наименование и реквизиты документа,
удостоверяющего личность заявителя)
Заявление
Прошу уточнить обрабатываемые Вами мои персональные данные в
соответствии со сведениями: _______________________________________________
__________________________________________________________________________;
(указать уточненные персональные данные заявителя)
в связи с тем, что ________________________________________________________
(указать причину уточнения персональных данных)
"__" ________ 20__ г. _____________ ______________________
(подпись) расшифровка подписи
______________________
(Оператор)
Уведомление об уточнении
Уважаемый(ая) _________________________________________________________
(Ф.И.О.)
в связи с __________________________________________ сообщаем Вам, что Ваши
персональные данные уточнены в соответствии со сведениями _________________
___________________________________________________________________________
"__" ________ 20__ г. _____________ ______________________
(подпись) расшифровка подписи
Приложение № 7
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
Форма уведомления
об обработке персональных данных субъекта
персональных данных в министерстве здравоохранения
Саратовской области
В __________________________________
____________________________________
от _________________________________
(Ф.И.О. заявителя)
____________________________________
____________________________________
____________________________________
(наименование и реквизиты документа,
удостоверяющего личность заявителя)
Заявление
Прошу предоставить мне для ознакомления обрабатываемую Вами
информацию, составляющую мои персональные данные, указать цели, способы и
сроки ее обработки; предоставить сведения о лицах, которые имеют к ней
доступ (которым может быть предоставлен такой доступ); сведения о том,
какие юридические последствия для меня может повлечь ее обработка. В случае
отсутствия такой информации, прошу Вас уведомить меня об этом.
"__" ________ 20__ г. _____________ ______________________
(подпись) расшифровка подписи
Приложение № 8
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
Форма журнала регистрации и учета
обращений субъектов персональных данных в министерстве
здравоохранения Саратовской области
Журнал
учета обращений субъектов персональных данных о выполнении
их законных прав, при обработке персональных данных
в министерстве здравоохранения Саратовской области
N
ФИО
Дата
Цель
Приложение № 9
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
РЕГЛАМЕНТ
УЧЕТА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, ЭКСПЛУАТАЦИОННОЙ
И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, ЭЛЕКТРОННЫХ НОСИТЕЛЕЙ
ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ
САРАТОВСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Регламент учета средств защиты информации (далее - СЗИ), эксплуатационной и технической документации к ним, электронных носителей персональных данных устанавливает:
порядок учета, ввода в эксплуатацию и изъятия из употребления средств, используемых для обеспечения безопасности персональных данных (далее - ПДн) при их обработке в информационной системе персональных данных (далее - ИСПДн);
порядок учета и хранения электронных носителей информации, содержащих ПДн.
1.2. Требования настоящего Регламента распространяются на всех должностных лиц, допущенных к обработке ПДн.
2. Порядок учета и хранения средств защиты информации
2.1. Используемые или хранимые оператором СЗИ, эксплуатационная и техническая документация к ним подлежат поэкземплярному учету в журнале поэкземплярного учета СЗИ, эксплуатационной и технической документации к ним.
2.2. Учет СЗИ, эксплуатационной и технической документации к ним осуществляется ответственным за обеспечение безопасности ПДн, администратором безопасности или иным уполномоченным лицом.
2.3. Программные средства учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные СЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие СЗИ учитываются также совместно с соответствующими аппаратными средствами.
2.4. Все экземпляры СЗИ, эксплуатационная и техническая документация к ним должны выдаваться пользователям СЗИ, несущим персональную ответственность за их сохранность под роспись в соответствующем журнале.
2.5. Эксплуатационная и техническая документация, а также электронные носители с инсталляционными файлами СЗИ должны содержаться в хранилищах (шкафах, ящиках, сейфах и др.), исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Аппаратные средства, с которыми осуществляется штатное функционирование СЗИ, должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) должно быть таким, чтобы его можно было визуально контролировать.
2.6. СЗИ изымаются из употребления по решению ответственного за обеспечение безопасности ПДн, при этом вносятся необходимые изменения в журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним.
СЗИ считаются изъятыми из употребления, если исполнена предусмотренная эксплуатационной и технической документацией процедура удаления программного обеспечения СЗИ, и они полностью отключены от аппаратных средств.
3. Порядок учета электронных носителей персональных данных
3.1. В структурных подразделениях министерства здравоохранения Саратовской области, работающих с ИСПДн, учет носителей ПДн осуществляется специально уполномоченными из числа сотрудников лицами (далее - делопроизводителями).
При смене делопроизводителя, составляется акт приема-сдачи носителей ПДн и всех журналов учета, который утверждается руководителем или начальником подразделения, ответственного за обеспечение безопасности ПДн.
3.2. Делопроизводитель выдает носители ПДн только сотрудникам, имеющим допуск к ПДн.
Перед записью ПДн на носитель, сотрудник передает его делопроизводителю для учета.
При получении носителей ПДн из сторонних организаций они передаются делопроизводителю для учета, после чего могут быть выданы исполнителям для работы.
3.3. На носителях ПДн проставляются следующие реквизиты:
регистрационный номер;
дата и роспись делопроизводителя.
Учет носителей ПДн производится в "Журнале учета электронных носителей персональные данные".
Движение (выдача и возврат) носителей с ПДн должно отражаться в соответствующем "Журнале учета выдачи и возврата электронных носителей персональных данных". Выдача носителей ПДн сотруднику производится под его личную роспись.
3.4. Передача носителей с ПДн другим сотрудникам, имеющим допуск к ПДн, производится только через делопроизводителя с обязательной записью в "Журнале учета выдачи и возврата электронных носителей персональных данных".
Листы журналов нумеруются, прошиваются и опечатываются.
4. Порядок хранения
электронных носителей персональных данных
4.1. Носители информации с ПДн должны храниться в служебных помещениях, в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их физическую сохранность.
Запрещается выносить носители с ПДн из служебных помещений без согласования с делопроизводителем.
4.2. Сотрудники должны после окончания работы запирать полученные носители ПДн в личный сейф, в случае его отсутствия сдавать делопроизводителю.
4.3. Проверка наличия носителей ПДн проводится один раз в год комиссией. В ходе ревизии комиссия определяет перечень носителей ПДн, которые (информацию на которых) можно уничтожить.
Проверка наличия носителей ПДн при необходимости может проводиться ответственным за обеспечение безопасности ПДн или специально уполномоченным лицом.
4.4. Уничтожение носителей ПДн (информации на них), утративших свое практическое значение и не имеющих исторической ценности, производится по акту. В учетных журналах об этом делается отметка со ссылкой на соответствующий акт.
5. Ответственность за выполнение регламента
5.1. На пользователей ИСПДн, ответственных за обеспечение безопасности ПДн, администраторов безопасности, делопроизводителей возлагается персональная ответственность за выполнение всех обязанностей, возложенных на них в настоящем Регламенте.
5.2. За правонарушения, совершенные в процессе своей деятельности, должностные лица несут ответственность в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.
Приложение № 10
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
______________________
(Оператор)
Разрешительная система
доступа к информационным ресурсам, программным
и техническим средствам информационных систем
персональных данных министерства здравоохранения
Саратовской области
1. К работе в информационной системе персональных данных (наименование ИСПДн) допущены:
№ п/п
Ф.И.О.
Отдел
Должность
Группа
1.
2.
2. Перечень ресурсов, программных и технических средств (объектов доступа) входящих в состав ИСПДн (наименование ИСПДн):
№ п/п
Наименование средства (ресурса)
Назначение средства (расположение ресурса)
Носители
Примечание
Информационные ресурсы
1.
2.
Технические средства
3.
4.
Программные средства (установлены на ЖМД (наимен.), сер. № ______)
5.
6.
3. Полномочия доступа пользователей к информационным ресурсам, программным и техническим средствам ИСПДн (наименование ИСПДн):
№ п/п
Наименование ресурса, тип средства
Гриф обрабатываемой информации
Путь доступа
Полномочия доступа групп пользователей
Системные администраторы
Операторы
Другие группы
Информационные ресурсы
1.
2.
"__" ________ 20___ г. ____________ ______________________
(подпись) расшифровка подписи
Приложение № 11
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
Образец уведомления
об обработке (о намерении осуществлять
обработку) персональных данных, рекомендации по заполнению
образца формы уведомления об обработке (о намерении
осуществлять обработку) персональных данных в министерстве
здравоохранения Саратовской области
Руководителю Управления Федеральной
службы по надзору в сфере связи,
информационных технологий и массовых
коммуникаций по Саратовской области
УВЕДОМЛЕНИЕ
об обработке (о намерении осуществлять обработку)
персональных данных
___________________________________________________________________________
(наименование (фамилия, имя, отчество), адрес оператора)
руководствуясь ____________________________________________________________
(правовое основание обработки персональных данных)
с целью ___________________________________________________________________
(цель обработки персональных данных)
осуществляет обработку: ___________________________________________________
___________________________________________________________________________
(категории персональных данных)
принадлежащих: ____________________________________________________________
___________________________________________________________________________
[категории субъектов, персональные данные которых обрабатываются)
Обработка вышеуказанных персональных данных будет осуществляться путем: ___
___________________________________________________________________________
(перечень действий с персональными данными, общее описание используемых
оператором способов обработки персональных данных)
Для обеспечения безопасности персональных данных принимаются следующие
меры: _____________________________________________________________________
(описание мер, предусмотренных ст. 18.1 и 19 Федерального закона
от 27.07.2006 "О персональных данных", в т.ч. сведения о наличии
шифровальных (криптографических)
___________________________________________________________________________
средств и наименования этих средств; фамилия, имя, отчество физического
лица или наименование
___________________________________________________________________________
юридического лица, ответственных за организацию обработки персональных
данных,
___________________________________________________________________________
и номера их контактных телефонов, почтовые адреса и адреса электронной
почты)
Сведения о наличии или об отсутствии трансграничной передачи персональных
данных
___________________________________________________________________________
(при наличии трансграничной передачи персональных данных в процессе их
обработки указывается перечень иностранных государств, на территорию
которых осуществляется трансграничная передача персональных данных)
Сведения об обеспечении безопасности персональных данных
___________________________________________________________________________
(сведения об обеспечении безопасности персональных данных в соответствии с
требованиями
___________________________________________________________________________
к защите персональных данных, установленными Правительством Российской
Федерации)
Дата начала обработки персональных данных: ___________________________.
Срок или условие прекращения обработки персональных данных: __________.
"__" ________ 20___ г. ____________ ______________________
(подпись) расшифровка подписи
Рекомендации
по заполнению образца формы уведомления об обработке
(о намерении осуществлять обработку) ПДн:
1. В поле "наименование (фамилия, имя, отчество), адрес оператора" указывается:
1.1. Для юридических лиц (операторов):
полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (оператора), осуществляющего обработку ПДн;
наименование филиала(ов) (представительства(в) юридического лица (оператора), осуществляющего обработку ПДн (для юридических лиц с филиальной структурой указывается список субъектов Российской Федерации (с указанием кода субъекта - согласно справочнику "Коды регионов", утвержденному приказом ФНС России от 13.10.2006 № САЭ-3-04/706@ "Об утверждении формы сведений о доходах физических лиц" зарегистрированным Министерством юстиции Российской Федерации 17.11.2000, регистрационный номер 8507), на территории которых находятся филиалы (представительства) юридического лица и (или) где оператором производится обработка ПДн. Уведомление направляется юридическим лицом в соответствующее территориальное управление Роскомнадзора по месту своего нахождения с указанием всех имеющихся филиалов (представительств)) <1>;
место нахождения (указывается место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, а также место нахождения филиала(ов) (представительств) юридического лица, контактная информация) <2>;
индивидуальный номер налогоплательщика (ИНН).
1.2. Для государственных, муниципальных органов (операторов):
полное и сокращенное наименование государственного, муниципального органа;
наименование территориального(ых) органа(ов), осуществляющего(их) обработку ПДн;
место нахождения (указывается место нахождения государственного, муниципального органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, контактная информация);
индивидуальный номер налогоплательщика (ИНН).
При указании наименования (фамилия, имя, отчество), адреса оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).
2. В поле "правовое основание обработки персональных данных" указываются: Федеральный закон, Постановление Правительства Российской Федерации, иной нормативно-правовой акт, закрепляющий основание и порядок обработки ПДн <3>.
Номер, дату выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу ПДн третьим лицам без согласия в письменной форме субъекта ПДн <4>.
3. В поле "цель обработки персональных данных" указываются цели обработки ПДн (а также их соответствие полномочиям оператора) <5>.
4. В поле "категории персональных данных" указываются все категории ПДн, подлежащих обработке.
5. В поле "категории субъектов, персональные данные которых обрабатываются" указываются категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), ПДн которых обрабатываются. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.
6. В поле "перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных" указываются действия, совершаемые оператором с ПДн, а также описание используемых оператором способов обработки ПДн:
неавтоматизированная обработка ПДн;
исключительно автоматизированная обработка ПДн с передачей полученной информации по сети или без таковой; смешанная обработка ПДн <6>.
7. В поле "описание мер, которые оператор обязуется осуществлять при обработке ПДн, по обеспечению безопасности ПДн при их обработке", указываются организационные и технические меры, в том числе использование шифровальных (криптографических) средств, используемых для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий при их обработке.
8. В поле "дата начала обработки персональных данных" указывается конкретная дата начала совершения действий с ПДн, включая сбор, систематизацию, накопление, хранение,
9. В поле "срок или условие прекращения обработки персональных данных" указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки ПДн.
--------------------------------
<1> Если для каких-либо операторов (с учетом филиалов (представительств) значения пунктов 2 - 9 отличаются, то для них формируется отдельное уведомление.
<2> Для организаций, учреждений, имеющих филиалы (представительства), указываются юридический и фактический адрес (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка ПДн (все действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн). При этом, необходимо уточнить - обработка ПДн осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).
<3> Указываются не только соответствующие статьи Федерального закона "О персональных данных", но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки ПДн. (Например: ст. 85 - 90 Трудового кодекса РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12 Федерального закона "Об актах гражданского состояния" и др.).
<4> Номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу ПДн (или информации, касающейся физических лиц), отражается только при наличии лицензии и (или) соответствующего пункта лицензионных условий.
<5> Под "целью обработки персональных данных" понимаются как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке ПДн.
<6> При автоматизированной обработке ПДн либо смешанной обработке, необходимо указать, передается ли полученная в ходе обработки ПДн информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации. уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн (фактическая дата начала обработки ПДн).
Приложение № 12
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
Форма согласия
на обработку персональных данных государственных
гражданских служащих, иных субъектов персональных данных
в министерстве здравоохранения Саратовской области
Я _____________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
(должность, структурное подразделение)
___________________________________________________________________________
(адрес регистрации)
___________________________________________________________________________
(адрес фактического проживания)
___________________________________________________________________________
(паспорт: серия, номер, дата выдачи, кем выдан)
даю свое согласие на обработку _______________________ (далее - Оператор),
моих персональных данных в целях заключения и реализации Служебного
контракта (Трудового договора), а также в целях соблюдения требований
действующего законодательства. Для целей настоящего Служебного контракта
(Трудового договора) мои персональные данные включают в себя: фамилию, имя,
отчество, дату рождения, адрес проживания, контактный телефон, паспортные
данные, ИНН и СНИЛС. Я даю согласие на получения моих персональных данных у
третьей стороны, в случае возникновения необходимости.
Оператор вправе осуществлять все необходимые действия с моими
персональными данными, включая сбор, систематизацию, накопление, хранение,
уточнение (обновление, изменение), использование, передачу (УФНС, ПФР, ФСС
и т.д.), обезличивание, блокирование, уничтожение, внесение в
информационную систему, обработку с использованием средств автоматизации
или без использования таких средств.
Передача моих персональных данных иным лицам или их разглашение может
осуществляться только с моего письменного согласия.
Оператор может осуществлять обработку моих персональных данных в
течение действия Служебного контракта (Трудового договора) и в течение 75
(семидесяти пяти) лет после его прекращения.
Я вправе отозвать свое согласие на обработку персональных данных
посредством соответствующего письменного заявления, что влечет дальнейшее
расторжение Служебного контракта (Трудового договора).
"__" ________ 20___ г. ____________ ______________________
(подпись) расшифровка подписи
Приложение № 13
к приказу
министерства здравоохранения Саратовской области
от 26 июня 2015 г. № 902
ПОЛОЖЕНИЕ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ САРАТОВСКОЙ ОБЛАСТИ
1. Назначение документа
1.1. Настоящее Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных министерства здравоохранения Саратовской области (далее - Положение) определяет порядок организации и проведения работ по обеспечению безопасности персональных данных (далее - ПДн) при их обработке в информационной системе персональных данных (далее - ИСПДн) министерства здравоохранения Саратовской области и содержит общие принципы защиты ПДн.
1.2. Положение направлено на достижение следующих целей:
выполнение требований законодательства в области обеспечения безопасности ПДн;
защита прав и свобод граждан РФ при обработке их ПДн в ИСПДн оператора;
защита ПДн, обрабатываемых оператором, от НСД и от других несанкционированных действий.
2. Область действия
2.1. Требования настоящего Положения распространяются на все подразделения министерства здравоохранения Саратовской области (далее - оператор), которые участвуют в обработке ПДн, либо в организации обработки ПДн, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение функционирования ИСПДн.
2.2. Настоящий документ обязаны знать и использовать в работе все сотрудники оператора, а также другие лица, допущенные к работе в ИСПДн.
3. Общие положения
3.1. Настоящее Положение устанавливает требования по защите ПДн, принципы обработки ПДн в ИСПДн оператора.
3.2. Настоящее Положение разработано в соответствии со следующими нормативными актами:
Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
Приказом ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
методическими документами ФСБ России, ФСТЭК России, Роскомнадзора.
3.3. Настоящее Положение является методологической основой для: формирования и проведения единой политики в области обеспечения безопасности ПДн;
принятия управленческих решений и разработки практических мер по воплощению политики безопасности ПДн и выработки комплекса согласованных мер нормативно-правового, технического и организационно-технического характера, направленных на выявление, отражение и уменьшение УБПДн;
координации деятельности при проведении работ по созданию, развитию и эксплуатации ИСПДн с соблюдением требований по обеспечению безопасности ПДн;
разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ПДн в ИСПДн.
3.4. Принципы и требования по обеспечению безопасности ПДн распространяются:
на все возможные формы существования информации, такие как:
физические поля (электрические, акустические, электромагнитные, оптические и т.п.);
носители на бумажной, магнитной, оптической и иной основе;
на все возможные форматы представления ПДн, такие как:
документы, голос, изображения, файлы, почтовые сообщения, базы данных, записи базы данных, другие информационные массивы.
3.5. Предотвращение несанкционированного и нелегитимного доступа к ИСПДн, технологиям и информационным ресурсам результатом которого может стать уничтожение, модификация, искажение, копирование, распространение, блокирование ПДн требует применения комплекса правовых, организационных, организационно-технических мер защиты с использованием сертифицированных СЗИ.
3.6. Настоящее Положение определяет:
роли, полномочия, ответственность за обеспечение безопасности ПДн, подразделений оператора;
порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
мероприятия по обеспечению безопасности ПДн;
требования по управлению процессом обеспечения безопасности ПДн;
требования к составу и содержанию документов оператора, регламентирующих защиту и работу с ПДн.
3.7. Целью создания СЗПДн является исключение неправомерного или случайного доступа к ПДн, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также иных неправомерных действий.
3.8. В общем случае можно выделить следующие основные цели защиты ПДн, это обеспечение:
конфиденциальности ПДн;
целостности ПДн;
доступности ПДн;
неотказуемости.
3.9. Конкретный состав целей защиты ПДн зависит от конкретной ИСПДн и определяется по результатам разработки модели угроз и нарушителя безопасности ПДн.
3.10. К основным задачам в области обеспечения безопасности ПДн относится:
определение новых ИСПДн;
инвентаризация и управление изменениями в составе и структуре ИСПДн;
сбор согласий на обработку ПДн с субъектов ПДн;
разработка и актуализация Перечня сведений конфиденциального характера;
уничтожение ПДн;
управление взаимодействиями с внешними контрагентами по вопросам обработки ПДн;
взаимодействие с субъектами ПДн по вопросам обработки их ПДн;
определение уровня защищенности ИСПДн;
разработка (актуализация) документации на СЗПДн;
выбор и внедрение необходимых и достаточных мер и средств защиты ПДн;
эксплуатация СЗПДн в соответствии с документацией на нее;
контроль уровня защищенности ПДн;
обучение персонала по вопросам защиты ПДн;
учет применяемых СЗИ, эксплуатационной и технической документации к ним, носителей ПДн;
учет лиц, допущенных к обработке ПДн;
взаимодействие с регуляторными органами по вопросам защиты ПДн;
актуализация и подача уведомлений в уполномоченный орган по защите прав субъектов ПДн;
аттестация (декларирование соответствия) по требованиям безопасности информации;
получение лицензий ФСТЭК России и ФСБ России в области защиты ПДн.
3.11. Обработка ПДн должна осуществляться в соответствии со следующими принципами:
законности целей и способов обработки ПДн и добросовестности;
соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям оператора;
соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
недопустимости объединения созданных для несовместимых между собой целей баз данных ИСПДн.
3.12. Оператор должен проводить регулярный анализ соответствия процессов обработки ПДн указанным принципам. Данный анализ проводится в случае:
создания новых ИСПДн;
внесения изменений в технологические процессы существующие в ИСПДн;
изменения нормативной базы затрагивающей принципы и (или) процессы обработки ПДн в ИСПДн оператора;
проведения контрольных и проверочных мероприятий на предмет оценки соответствия процессов обработки ПДн заявленным принципам.
3.13. Отнесение сведений оператором к ПДн, безопасность которых должна обеспечиваться СЗПДн представляет собой процесс обоснованного установления (документального оформления и утверждения) критериев их выделения из всей совокупности сведений, находящихся в обращении.
3.14. В качестве такого критерия у оператора разрабатывается и утверждается Перечень персональных данных, подлежащих защите в (указывается наименование оператора).
4. Организационная структура
системы защиты персональных данных
4.1. СЗПДн является частью общей системы обеспечения информационной безопасности оператора.
4.2. Основу организационной структуры СЗПДн как правило составляют следующие организационные структуры:
руководство;
ответственные за обеспечение безопасности ПДн;
администраторы безопасности ИСПДн;
ответственные за техническое сопровождение ИСПДн;
структурные подразделения, участвующие в процессах обработки ПДн;
сотрудники оператора.
4.3. Руководство осуществляет следующие основные функции в области обеспечения безопасности ПДн:
обеспечивает общую организацию работ по защите ПДн;
издает приказы по вопросам организации СЗПДн;
утверждает Перечень сведений конфиденциального характера;
назначает ответственных за обеспечение безопасности ПДн;
утверждает список лиц, допущенных к обработке ПДн;
рассматривает и утверждает нормативные документы оператора, регламентирующие обработку и защиту ПДн;
заслушивает при необходимости ответственных за обеспечение безопасности ПДн и других должностных лиц о состоянии работ по защите ПДн.
4.4. Ответственные за обеспечение безопасности ПДн осуществляют следующие основные функции:
разрабатывают Перечень сведений конфиденциального характера;
участвуют в проведении определении уровня защищенности ИСПДн;
распределяют ответственность по вопросам обработки и защиты ПДн;
определяют допустимые сроки хранения ПДн по каждой категории ПДн;
организуют подачу уведомлений в уполномоченный орган по защите прав субъектов ПДн;
заслушивают руководителей структурных подразделений о принимаемых мерах по состоянию и совершенствованию СЗПДн;
организуют работы по разработке, изменению и уточнению политик, регламентов, стандартов в части защиты ПДн;
осуществляют организацию плановых и внеплановых проверочных мероприятий;
организуют выполнение требований по защите ПДн у оператора;
проводят разработку и актуализацию локальных нормативных документов, регламентирующих защиту ПДн у оператора;
проводит ознакомление сотрудников с нормативными документами в области защиты ПДн;
проводят оценку эффективности принятых мер и применяемых средств защиты ПДн;
проводят занятия с сотрудниками по изучению организационно-распорядительных документов по всему комплексу вопросов защиты ПДн;
разрабатывают и актуализируют частные модели угроз безопасности ПДн и технические задания на СЗПДн;
определяют необходимость обучения сотрудников по вопросам обеспечения безопасности ПДн, а также определяют формы и программы обучения сотрудников оператора в области защиты ПДн;
контролируют выполнение сотрудниками требований по защите ПДн;
организуют работы по сбору сведений об изменениях в составе и структуре ИСПДн;
осуществляют контроль соответствия изменений в составе и архитектуре ИСПДн требованиям нормативных документов по защите ПДн, а также внутренних организационно-распорядительных документов оператора;
контролируют исполнение требований по уничтожению ПДн;
разрабатывают рекомендации по оптимизации существующих и новых информационных процессов обработки ПДн по критериям соответствия требованиям по защите ПДн и минимизации затрат на создание и эксплуатацию системы защиты ПДн;
контролируют исполнение требований нормативных документов оператора в области обеспечения безопасности ПДн, структурными подразделениями и сотрудниками;
организуют и осуществляют взаимодействие с регуляторами по вопросам защиты ПДн;
участвуют в аттестации (декларировании соответствия) ИСПДн оператора по требованиям безопасности информации;
управляют проектами по внедрению систем и средств защиты ПДн;
контролируют ввод в действие, эксплуатацию СЗПДн;
проводят расследования инцидентов, связанных с нарушением безопасности ПДн, правил обработки ПДн, принимают меры по недопущению повторения нештатных ситуаций.
4.5. Администраторы безопасности ИСПДн осуществляют следующие основные функции:
осуществляют сопровождение средств и систем защиты ПДн;
проводят оперативный контроль функционирования средств и систем защиты ПДн;
проводят резервирование ПДн;
ведут учет носителей ПДн;
осуществляют выявление и регистрацию попыток НСД к компонентам ИСПДн, информационным ресурсам;
контролируют соответствие технических, программных и программно-аппаратных средств ИСПДн требованиям, предъявляемым к ним средствами и СЗПДн;
осуществляют учет применяемых СЗИ, эксплуатационной и технической документации к ним;
контролируют выполнение сотрудниками подразделения требований по защите ПДн;
участвуют в расследованиях причин возникновения нештатных ситуаций;
готовят предложения по совершенствованию СЗПДн;
выполняют комплекс мероприятий по защите информации при проведении ремонтных и регламентных работ;
обеспечивают защиту ПДн при выводе из эксплуатации компонентов ИСПДн. Ответственные за техническое сопровождение ИСПДн осуществляют следующие основные функции:
осуществляют сопровождение технических средств и систем ИСПДн.
4.6. Структурные подразделения, участвующие в процессах обработки ПДн, выполняют следующие основные функции:
осуществляют взаимодействие с субъектами ПДн по вопросам обработки их ПДн;
осуществляют уведомление субъектов ПДн в случаях определенных нормативными актами;
эксплуатируют СЗПДн в соответствии с документацией на нее.
4.7. Сотрудники оператора выполняют следующие основные функции:
соблюдают требования нормативных документов по защите ПДн;
осуществляют обработку ПДн в соответствии с заданием и предоставленными полномочиями.
4.8. Конкретное распределение функций администраторов безопасности, ответственных за техническое сопровождение ИСПДн, сотрудников должно быть приведено в должностных инструкциях.
4.9. Распределение ролей, полномочий осуществляется в соответствии с Разрешительной системой доступа к информационным ресурсам, программным и техническим средствам информационных систем персональных данных.
5. Порядок организации и проведения работ
по обеспечению безопасности персональных данных
5.1. Работы по обеспечению безопасности ПДн при их обработке в ИСПДн являются неотъемлемой частью работ выполняемых в рамках жизненного цикла ИСПДн, на следующих этапах:
инициация проекта ИСПДн;
планирование проекта ИСПДн;
реализация проекта ИСПДн, в составе:
выбор технического решения - концепция реализации;
проектирование ИСПДн;
производство ИСПДн;
приемка ИСПДн;
внедрение ИСПДн;
передача системы в эксплуатацию;
документирование проекта;
эксплуатация ИСПДн;
модернизация ИСПДн;
вывод из эксплуатации.
6. Допуск персонала к обработке персональных данных
6.1. При допуске к ПДн оператор руководствуется утвержденным списком лиц, допущенных к обработке ПДн.
6.2. Перечень лиц, допущенных к обработке ПДн, составляется и корректируется ответственными за обеспечение безопасности ПДн, на основании данных подаваемых руководителями структурных подразделений оператора.
7. Контроль изменений в составе и структуре
информационных систем персональных данных
7.1. Все изменения в составе и структуре ИСПДн должны контролироваться и регламентироваться ответственными за обеспечение безопасности ПДн.
7.2. Контролю подлежат следующие изменения:
внесение новых устройств в состав ИСПДн (АРМ, серверов, сетевого и телекоммуникационного оборудования и т.п.);
изменение мест включения существующих компонент ИСПДн;
удаление устройства из состава ИСПДн;
изменение мест установки устройства из состава ИСПДн;
прокладка новых кабельных линий связи и внешних линий связи или удаление старых кабельных линий связи;
существенное изменение состава и конфигурации системного и прикладного программного обеспечения, участвующего в обработке ПДн;
создание новых и изменение существующих технологических процессов связанных с обработкой ПДн.
7.3. Каждое изменение состава ИСПДн, типов технических средств, топологии ИСПДн должно отслеживаться и анализироваться на предмет соответствия требованиям по защите ИСПДн. При необходимости должна производиться модернизация СЗПДн.
8. Защита от несанкционируемого доступа
к элементам информационных систем персональных данных
8.1. Мероприятия по физическому контролю доступа включают:
мероприятия по контролю доступа на территорию;
мероприятия по контролю доступа в помещения с оборудованием ИСПДн;
мероприятия по контролю доступа к техническим средствам ИСПДн;
мероприятия по контролю перемещений физических компонентов ИСПДн.
8.2. Мероприятия по контролю доступа на территорию должны обеспечить контролируемое нахождение посетителей на территории оператора.
Помещения с серверным, телекоммуникационным и сетевым оборудованием ИСПДн должны иметь прочные входные двери с надежными кодовыми замками или приспособлениями для опечатывания. Двери должны быть постоянно закрыты на замок и открываться только для санкционированного прохода сотрудников.
Двери помещений, в которых размещаются АРМ пользователей ИСПДн, должны быть оборудованы замками, либо в этих помещениях должны обеспечиваться мероприятия по контролю действий находящихся в них посторонних лиц.
Расположение мониторов рабочих станций должно препятствовать их несанкционированному просмотру со стороны других лиц, не допущенными к обработке ПДн.
8.3. Нахождение в помещении лиц, не участвующих в технологических процессах обработки ПДн (обслуживающий персонал, другие сотрудники), должно производиться только в присутствии сотрудников, участвующих в соответствующих технологических процессах.
8.4. При выносе устройств, хранящих ПДн, за пределы КЗ для ремонта, замены и т.п. должно быть обеспечено гарантированное уничтожение информации хранимой на этих устройствах.
9. Резервирование персональных данных
9.1. Резервирование ПДн должно обеспечить возможность восстановления информации при нарушении целостности основных хранилищ данных.
9.2. Резервированию должна подвергаться информация на серверах ИСПДн.
9.3. Резервирование должно осуществляться на различные носители информации с соответствующим уровнем надежности и долговечности.
9.4. Хранение резервных копий должно осуществляться в надежных сейфах (металлических шкафах). Хранение (по возможности) должно осуществляться в месте, территориально удаленном от основного хранилища информации.
9.5. Доступ к резервным копиям должен быть строго регламентирован (допускаются только служащие министерства здравоохранения Саратовской области, указанные в Списке лиц, имеющих доступ к резервируемым программным и аппаратным средствам ИСПДн).
10. Контроль за обеспечением необходимого уровня
защищенности персональных данных
10.1. Для обеспечения эффективности процесса обеспечения безопасности ПДн проводится:
контроль за соблюдением требований по обработке и защите ПДн;
контроль за соблюдением условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;
контроль эффективности средств защиты ПДн.
Контрольные мероприятия могут быть:
текущими;
внеплановые;
плановыми внешними;
плановыми внутренними.
10.2. Ответственность за текущий контроль эффективности обеспечения безопасности ПДн возлагается на администраторов безопасности ИСПДн.
Ответственность за плановый контроль эффективности обеспечения безопасности ПДн возлагается на ответственных за обеспечение безопасности ПДн. Данные проверки должны включаться в план аудитов информационной безопасности на год.
10.3. Для планового контроля эффективности СЗПДн должны использоваться средства выявления уязвимостей информационной безопасности.
Внеплановые проверки эффективности при необходимости могут проводиться специальными группами по решению ответственных за обеспечение безопасности ПДн.
10.4. При проведении контроля эффективности в общем случае должно проверяться:
наличие установленных СЗИ;
корректность настроек СЗИ;
выполнение пользователями и администраторами требований инструктивных материалов по защите ПДн;
исполнение требований к процедурам обработки ПДн (уничтожению ПДн, сбору согласий, допуску персонала к ПДн и т.п.);
правильность организации работы с носителями ПДн;
правильность обращения ключевой информации;
соответствие СЗПДн реальному положению дел у оператора.
11. Реагирование на нештатные ситуации
11.1. Оператор должен проводить расследования инцидентов, связанных с НСД и другими несанкционированными действиями затрагивающими безопасность ПДн.
11.2. В рамках данного процесса должны решаться следующие задачи:
расследование инцидентов, связанных с безопасностью ПДн;
ликвидация последствий инцидентов связанных с безопасностью ПДн;
принятие мер по недопущению возникновения подобных инцидентов в дальнейшем.
------------------------------------------------------------------