Приложение № 1
к приказу МКУЗ «ЦМП»
от 12.08.2019 г. № 16-0
ПОЛОЖЕНИЕ
о порядке обработки персональных данных в
МКУЗ «ЦМП»
1. Общие положения
1.1. Настоящее Положение о порядке обработки персональных данных в МКУЗ «ЦМП» разработано в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон), постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и устанавливает единый порядок обработки персональных в МКУЗ «ЦМП» г.Артема Приморского края (далее – Центр).
1.2. Цель разработки Положения - определение порядка обработки персональных данных; обеспечение защиты прав и свобод работников Центра при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников Центра, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с 12.08.2019 г. и действует бессрочно, до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся приказом по Центру.
1.4. Все работники Центра должны быть ознакомлены с настоящим Положением под роспись.
1.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Центра, если иное не определено законом.
2. Основные понятия и состав персональных данных работников
2.1. Для целей настоящего Положения используются следующие основные понятия:
персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). в том числе его фамилия, имя, отчество, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
- обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
- распространение персональных данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Центра в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
- информация - сведения (сообщения, данные) независимо от формы их представления[2];
- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. В состав персональных данных работников входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.
2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника при его приеме, переводе и увольнении.
2.3.1. Информация, представляемая работником при поступлении на работу в Центр, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
- справку о наличии (отсутствии) судимости и (или) факта уголовного преследования, либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно правовому регулированию в сфере внутренних дел;
- свидетельство о присвоении ИНН (при его наличии у работника)
2.3.2. При оформлении работника заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
- сведения о переводах на другую работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства и контактных телефонах.
2.3.3. В Центре создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
2.3.3.1. Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых администрации Центра, копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
2.3.3.2. Документация по организации работы (положения, должностные инструкции работников, приказы, распоряжения); документы по планированию, учету, анализу и отчетности в части работы с персоналом Центра.
3. Основные условия проведения обработки персональных данных
3.1. Обработка персональных данных осуществляется:
- после получения согласия субъекта персональных данных, согласно его заявлению (Приложение № 1), за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;
- после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;
- после принятия необходимых мер по защите персональных данных.
3.2. В Центре назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных.
3.3. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают соглашение о неразглашении информации, содержащей персональные данные (Приложение № 2).
3.4. Запрещается:
- обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;
- осуществлять ввод персональных данных под диктовку.
4. Сбор, обработка и защита персональных данных
4.1. Порядок получения персональных данных.
4.1.1. Все персональные данные работника Центра следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.1.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
4.1.3. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.
4.1.4. Письменное согласие работника («Заявление о согласии работника на обработку персональных данных» - Приложение 1) на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие;
- порядок его отзыва. (Приложение №3).
4.1.5. Согласие работника не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
- обработка персональных данных осуществляется в целях исполнения трудового договора;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
4.2. Порядок обработки, передачи и хранения персональных данных.
4.2.1. Работник Центра предоставляет достоверные сведения о себе. Администрация Центра проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
4.2.2. В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и гражданина главный врач (Работодатель) и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:
4.2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
4.2.2.2. При определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
4.2.2.3. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4.2.2.4. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.
4.2.2.5. Работники и их представители должны быть ознакомлены под расписку с документами Центра, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
4.2.2.6. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5. Передача и хранение персональных данных
5.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
5.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом (Приложение №4).
5.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия (Приложение №4).
5.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
5.1.4. Осуществлять передачу персональных данных работников в пределах Центра в соответствии с настоящим Положением.
5.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции.
5.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
5.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.
6. Хранение и использование персональных данных работников:
6.1. Персональные данные работников обрабатываются и хранятся у главного бухгалтера.
6.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
6.2.1. Персональные данные работника могут быть получены не от работника, а от третьей стороны, Использование персональных данных, полученных таким способом, возможно только с его письменного согласия..
6.2.2. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
7. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации
7.1. Обработка персональных данных в системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке и информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
7.2. Оператором осуществляется классификация информационных систем персональных данных в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» в зависимости от категории обрабатываемых данных и их количества.
7.3. Мероприятия по обеспечению безопасности персональных данных на стадии проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК России от 05.02.2010 г. № 58 «О методах и способах защиты информации в информационных системах персональных данных».
7.4. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
- утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, организации антивирусной защиты и других нормативных и методических документов;
- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств соответствия с требованиями безопасной информации;
- охраны и организации режима доступа в помещения, предназначенные для обработки персональных данных.
8. Порядок обработки персональных данных без использования средств автоматизации
8.1. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
8.2. При неавтоматизированной обработке различной категории персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
8.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
8.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы). Должны соблюдаться следующие условия:
8.4.1. Типовая форма или связанные с ней документы (инструкция по её заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
8.4.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметке о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;
8.4.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
8.4.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
8.5. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.
8.6. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.
8.7. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных (Приложение № 5). К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.
8.8. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
8.8.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
8.8.2. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
8.9. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
8.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, зафиксированных на материальном носителе (удаление, вымарывание).
9. Ответственность должностных лиц
9.1. Работники Центра, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
9.2. Главный врач Центра за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.
Приложение №1 к Положению
Согласие субъекта
на обработку его персональных данных
В муниципальное казенное учреждение здравоохранения
«Центр медицинской профилактики
Приморский край г.Артем
Ул. Кирова 14
Субъект персональных данных:
фамилия _______________________________
имя ___________________________________
отчество _______________________________
адрес __________________________________
документ, удостоверяющий личность
(наименование, серия, номер, дата выдачи, выдавший орган)
_______________________________________ __________________________________________________________________________
- Цель обработки персональных данных ________________________________
_________________________________________________________________ - Перечень персональных данных, на обработку которых дается согласие
субъекта персональных данных ______________________________________
__________________________________________________________________ - Перечень действий с персональными данными, на совершение которых дается согласие __________________________________________________________
__________________________________________________________________ - Используемые оператором способы обработки персональных данных ______
__________________________________________________________________
__________________________________________________________________ - Срок, в течение которого действует данное согласие _____________________
- Способ отзыва данного согласия: _____________________________________
__________________________________________________________________
«___» __________ 2015 г. Подпись субъекта персональных данных __________
Приложение №2 к Положению
Соглашение о неразглашении
персональных данных субъекта (сотрудника Центра)
Я,________________________________________________________________________,
(фамилия, имя, отчество)
паспорт серия________ номер ___________, выданный ___________________________
____________________________________ «____» _____________ _________ года, понимаю, что получаю доступ к персональным данным работников МКУЗ «ЦМП»
Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных.
Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный.
В связи с этим, даю обязательство, при работе (сбор, обработка и хранение) с персональными данными соблюдать все описанные в «Положении об обработке и защите персональных данных» требования.
Я подтверждаю, что не имею права разглашать сведения:
- анкетные и биографические данные;
- сведения об образовании;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- содержание трудового договора;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке, их аттестации;
- копии отчетов, направляемые в органы статистики.….
Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии со ст. 90 Трудового Кодекса Российской Федерации.
« ___ » __________ 20__ г. ____________________
(подпись)
Приложение №3 к Положению
Отзыв согласия на обработку персональных данных
В муниципальное казенное учреждение здравоохранения
«Центр медицинской профилактики
Приморский край г.Артем
Ул. Кирова 14
_________________________________________________
Ф.И.О. субъекта персональных данных
_________________________________________________
Адрес, где зарегистрирован субъект персональных
данных
_________________________________________________
Номер основного документа, удостоверяющего
его личность
_________________________________________________
Дата выдачи указанного документа
_________________________________________________
Наименование органа, выдавшего документ
Заявление
Прошу Вас прекратить обработку моих персональных данных в связи с
__________________________________________________________________
(указать причину)
«__»__________ 20__ г. ____________ _____________________
(подпись) (расшифровка подписи)
Приложение №4 к Положению
В муниципальное казенное учреждение здравоохранения
«Центр медицинской профилактики
Приморский край г.Артем
Ул. Кирова 14
Заявление-согласие субъекта на передачу его персональных данных третьей стороне.
Я,________________________________________________________________________,
(фамилия, имя, отчество)
паспорт серия________ номер ___________, выданный ___________________________
____________________________________ «____» _____________ _________ года, в соответствии со статьей 86 Трудового Кодекса Российской Федерации_____________________
(согласен / не согласен)
на передачу моих персональных данных, а именно:
- паспортные данные, ИНН;
- данные страхового свидетельства государственного пенсионного страхования;
- данные документов об образовании, квалификации или наличии специальных знаний;
- анкетные данные, (в том числе сведения о семейном положении, перемене фамилии, наличии детей и иждивенцев);
- документы о возрасте малолетних детей и месте их обучения;
- документы о состоянии здоровья детей и других родственников (включая справки об инвалидности, о наличии хронических заболеваний);
- документы о состоянии здоровья (сведения об инвалидности, о беременности и т.п.);
- сведения, содержащиеся в приказах о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;
- документы о прохождении аттестации, повышения квалификации;
- иные документы, содержащие сведения, необходимые для расчета заработной платы, выплаты стимулирующих и компенсационных выплат.
Для обработки в целях обеспечения расчета и начисления заработной платы, уплаты налогов и выполнения иных обязанностей в соответствии с действующим законодательством.
Следующим лицам _________________________________________________________
____________________________________________________________________________________________________________________________________________________
(указать Ф.И.О. физического лица или наименование организации, которым сообщаются данные)
Я также утверждаю, что ознакомлен с возможными последствиями моего отказа дать письменное согласие на их передачу.
« ___ » ____________ 20__ г. ____________________
(подпись)
Приложение №5 к Положению
Начат «____» __________ ______г.
Окончен «___» _________ _____ г.
На ___________ листах.
ЖУРНАЛ
учёта электронных носителей персональных данных
Учётный номер |
Дата постановки на учёт |
Вид электронного носителя, место его хранения (размещения) |
Ответственный за использование и хранение |
||
ФИО |
подпись |
дата |
|||
1 |
2 |
3 |
4 |
5 |
6 |
|
|
|
|
|
|
Приложение № 2
к пр к приказу МКУЗ «ЦМП»
от 12.08.2019 г. № 16-0
казу по школе
от 15.01.2013 г. № 01-14/5
ПОЛОЖЕНИЕ
о разграничении прав доступа
к обрабатываемым персональным данным
в МКУЗ «ЦМП»
1. Общие положения
1.1. Настоящее Положение о разграничении прав доступа к обрабатываемым персональным данным (далее - Положение) в МКУЗ «ЦМП» (далее – Центр) разработано в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Правилами внутреннего трудового распорядка Центра и определяет уровень доступа должностных лиц к персональным данным работников и учащихся.
2. Основные понятия
2.1. Для целей настоящего Положения используются следующие основные понятия:
- персональные данные работника – любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;
- обработка персональных данных – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
- конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия работника (родителей (законных представителей) учащегося) или иного законного основания;
- распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом Центра в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
- уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
- информация - сведения (сообщения, данные) независимо от формы их представления.
3. Разграничение прав доступа при автоматизированной обработке информации
3.1. Разграничение прав осуществляется исходя из характера и режима обработки персональных данных в ИСПДн.
3.2. Список групп должностных лиц ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа в ИСПДн представлен в таблицах № 1 и №2.
Таблица № 1
Список групп должностных лиц
ответственных за обработку персональных данных
Группа |
Уровень доступа к ПДн |
Разрешенные действия |
Главный врач как лицо ответственное за организацию обработки персональных данных |
- - Обладает полной информацией об ИСПДн.
- Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн. |
- сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение |
Главный бухгалтер |
Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн. |
- сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение |
4. Разграничение прав доступа при неавтоматизированной обработке персональных данных
4.1. Разграничение прав осуществляется исходя из характера и режима обработки персональных данных на материальных носителях.
4.2. Список лиц ответственных за неавтоматизированную обработку персональных, а так же их уровень прав доступа к персональным данным представлен в таблице № 2.
Таблица № 2
Список лиц ответственных
за неавтоматизированную обработку персональных данных
Группа |
Уровень доступа к ПДн |
Разрешенные действия |
---|---|---|
Главный врач как лицо ответственное за организацию обработки персональных данных
Главный бухгалтер |
- Обладает полной информацией о персональных данных работников Центра. - Имеет доступ к личным делам работников, информации на материальных носителях, содержащей персональные данные работников Центра.
- Обладает полной информацией о персональных данных работников Центра - Имеет доступ к личным делам работников, информации на материальных носителях, содержащей персональные данные работников Центра. |
- сбор и систематизация - накопление и хранение - уточнение (обновление, изменение) - использование - уничтожение - распространение - блокирование - обезличивание |
* Распространение (передача) информации, содержащей персональные данные, может быть осуществлена только с разрешения администрации Центра в соответствии с Положением о порядке обработки и защиты персональных данных работников учреждения и в установленном действующим законодательством порядке.
Приложение №3
к приказу по лк приказу МКУЗ «ЦМП»
от 12.08.2019 г. № 16-0
е
от 15.01.2013 г. № 01-14/5
Инструкция
по обеспечению безопасности персональных данных
1. Общие положения
1.1. Настоящая Инструкция разработана в соответствии со ст. 19 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных», на основании Федерального закона РФ от 27.07.2007 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства РФ от 17.01.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности РФ (ФСБ России), Министерства информационных технологий и связи РФ (Мининформсвязи России) от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных», Письма Федерального агентства по образованию № ФАО-6748/52/17-02-09/72 «Об обеспечении безопасности персональных данных», Положения о работе с персональными данными работников и учащихся.
1.2. Для обеспечения безопасности персональных данных необходимо исключить несанкционированный, в том числе случайный, доступ к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.
1.3. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров.
1.4. Ответственность за безопасность персональных данных возлагается на лиц, допущенных к их обработке.
2. Обеспечение безопасности перед началом обработки персональных данных
2.1. Перед началом обработки персональных данных необходимо изучить настоящую Инструкцию.
2.2. Перед началом обработки персональных данных необходимо убедиться в том, что:
- средства защиты персональных данных соответствуют классу информационной системы;
- в помещении, в котором ведется работа с персональными данными, отсутствуют посторонние лица;
- носители персональных данных не повреждены;
- к персональным данным не был осуществлен несанкционированный доступ;
- персональные данные не повреждены;
- технические средства автоматизированной обработки и защиты персональных данных находятся в исправном состоянии.
3. Обеспечение безопасности во время обработки персональных данных
3.1. Во время обработки персональных данных необходимо обеспечить:
- недопущения воздействия на технические средства автоматизированной обработки персональных данных, способного нарушить их функционирование;
- недопущение нахождения в помещении, в котором ведется работа с персональными данными, посторонних лиц;
- постоянный контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- недопущение несанкционированного доступа к персональным данным;
- конфиденциальность персональных данных.
4. Обеспечение безопасности в экстремальных ситуациях
4.1. При модификации или уничтожения персональных данных, вследствие несанкционированного доступа к ним необходимо обеспечить возможность их незамедлительного восстановления.
4.2. При нарушении порядка предоставления персональных данных пользователям информационной системы необходимо приостановить их предоставление.
4.3. При обнаружении несанкционированного доступа к персональным данным необходимо немедленно прервать этот доступ.
4.4. В случае несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных необходимо произвести разбирательство и составление заключений по данным фактам, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4.5. Обо всех экстремальных ситуациях необходимо немедленно поставить в известность директора школы и произвести разбирательство.
5. Обеспечение безопасности при завершении обработки персональных данных
5.1. После завершения сеанса обработки персональных данных необходимо обеспечить:
- исключение возможности несанкционированного проникновения или нахождения в помещении, в котором размещены информационные системы и ведется работа с персональными данными;
- работоспособность средств защиты информации, функционирующих при отсутствии лиц, допущенных к обработке персональных данных;
- фиксацию всех случаев нарушения данной инструкции в журнале.
6. Заключительные положения
6.1. Проверка и пересмотр настоящей инструкции осуществляются в следующих случаях:
- при пересмотре межотраслевых и отраслевых требований обеспечения безопасности персональных данных;
- при внедрении новой техники и (или) технологий;
- по результатам анализа материалов расследования нарушений требований законодательства об обеспечении безопасности персональных данных;
- по требованию представителей Федеральной службы безопасности.
Ответственность за своевременную корректировку настоящей инструкции возлагается на главного врача Центра.
Приложение №4
к п рик приказу МКУЗ «ЦМП»
от 12.08.2019 г. № 16-0
казу по школе
от 15.01.2013 г. №
ИНСТРУКЦИЯ
пользователя информационных систем персональных данных (ИСПДн)
в МКУЗ «ЦМП»
1. Общие положения
1.1. Пользователь информационных систем персональных данных (ИСПДн) (далее – Пользователь) осуществляет обработку персональных данных в информационной системе персональных данных.
1.2. Пользователем является сотрудники МКУЗ «ЦМП», участвующие в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.
1.3. Пользователь несет персональную ответственность за свои действия.
1.4. Пользователь в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России и регламентирующими документами МКУЗ «ЦМП».
1.5. Методическое руководство работой пользователя осуществляется ответственным за обеспечение защиты персональных данных.
2. Должностные обязанности
Пользователь обязан:
2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
2.2. Выполнять на автоматизированном рабочем месте (АРМ) только те процедуры, которые определены для него в Положении о разграничении прав доступа к обрабатываемым персональным данным.
2.3. Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а также руководящих и организационно-распорядительных документов.
2.4. Соблюдать требования парольной политики.
2.5. Соблюдать правила при работе в сетях общего доступа и (или) международного обмена – Интернет и других.
2.6. Экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты).
2.7. Обо всех выявленных нарушениях, связанных с информационной безопасностью МКУЗ «ЦМП», а так же для получений консультаций по вопросам информационной безопасности, обращаться к ответственному по защите персональных данных.
2.8. Пользователям запрещается:
- разглашать защищаемую информацию третьим лицам;
- копировать защищаемую информацию на внешние носители без разрешения своего руководителя;
- самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
- несанкционированно открывать общий доступ к папкам на своей рабочей станции;
- запрещено подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства;
- отключать (блокировать) средства защиты информации;
- обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн;
- сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн;
- привлекать посторонних лиц для производства ремонта или настройки АРМ, без согласования с ответственным за обеспечение защиты персональных данных.
2.10. При отсутствии визуального контроля за рабочей станцией доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш <Ctrl><Alt><Del> и выбрать опцию <Блокировка>.
2.11. Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий, в пределах возложенных на него функций.
3. Организация парольной защиты
3.1. Личные пароли доступа к элементам ИСПДн создаются самостоятельно.
3.2. Правила формирования пароля:
- пароль не может содержать имя учетной записи пользователя или какую-либо его часть;
- пароль должен состоять не менее чем из 8 символов;
- запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;
- запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);
- запрещается выбирать пароли, которые уже использовались ранее.
3.3. Правила ввода пароля:
- ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан;
- во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).
3.4. Правила хранение пароля:
- запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах;
- запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
3.5. Лица, использующие паролирование, обязаны:
- четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию;
- своевременно сообщать ответственному по защите персональных данных об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.
4. Правила работы в сетях общего доступа и (или) международного обмена
4.1. Работа в сетях общего доступа и (или) международного обмена (сети Интернет и других) (далее – Сеть) на элементах ИСПДн, должна проводиться при служебной необходимости.
4.2. При работе в Сети запрещается:
- осуществлять работу при отключенных средствах защиты (антивирус и других);
- передавать по Сети защищаемую информацию без использования средств шифрования;
- запрещается скачивать из Сети программное обеспечение и другие файлы;
- запрещается посещение сайтов сомнительной репутации (порно-сайты, сайты, содержащие нелегально распространяемое ПО и другие);
- запрещается нецелевое использование подключения к Сети.
5. Права и ответственность пользователей ИСПДн
5.1. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн.
5.2. Пользователи, виновные в несоблюдении Настоящей инструкции расцениваются как нарушители Федерального закона РФ 27.07.2006 г. N 152-ФЗ "О персональных данных" и несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Приложение №5
к приказу МКУЗ «ЦМП»
от 12.08.2019 г. № 16-0
к приказу по школе
от 15.01.2013 г. № 01-14/5
ИНСТРУКЦИЯ
пользователя ИСПДн по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций
1. Назначение и область действия
1.1. Настоящая инструкция определяет возможные аварийные ситуации, связанные с функционированием ИСПДн МКУЗ»ЦМП», меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн после аварийных ситуаций.
1.2. Целью настоящего документа является превентивная защита элементов ИСПДн от прерывания в случае реализации рассматриваемых угроз.
1.3. Задачей настоящей Инструкции является:
- определение мер защиты от прерывания;
- определение действий восстановления в случае прерывания.
1.4. Действие настоящей Инструкции распростаняется на всех пользователей, имеющих доступ к ресурсам ИСПДн, а также на основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:
- системы жизнеобеспечения;
- системы обеспечения отказоустойчивости;
- системы резервного копирования и хранения данных;
- системы контроля физического доступа.
1.5. Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного раза в два года.
2. Порядок реагирования на аварийную ситуацию
2.1. Действия при возникновении аварийной ситуации
2.1.1. В настоящем документе под аврийной ситуацией понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн. Аварийная ситуации становится возможной в результате реализации одной из угроз, приведенных в таблице «Источники угроз».
Источники угроз
|
Технологические угрозы |
1 |
Пожар в здании |
2 |
Повреждение водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения) |
3 |
Взрыв (бытовой газ, теракт, взрывчатые вещества или приборы, работающие под давлением) |
4 |
Химический выброс в атмосферу |
|
Внешние угрозы |
5 |
Массовые беспорядки |
6 |
Сбои общественного транспорта |
7 |
Эпидемия |
8 |
Массовое отравление персонала |
|
Стихийные бедствия |
9 |
Удар молнии |
10 |
Сильный снегопад |
11 |
Сильные морозы |
12 |
Просадка грунта (подмыв грунтовых вод, подземные работы) с частичным обрушением здания |
13 |
Затопление водой в период паводка |
14 |
Наводнение, вызванное проливным дождем |
15 |
Подтопление здания (воздействие подпочвенных вод, вызванное внезапным и непредвиденным повышением уровня грунтовых вод) |
|
Телекоммуникационные и ИТ угрозы |
16 |
Сбой системы кондиционирования |
17 |
Сбой ИТ – систем |
|
Угроза, связанная с человеческим фактором |
18 |
Ошибка персонала, имеющего доступ к ИС |
19 |
Нарушение конфиденциальности, целостности и доступности конфиденциальной информации |
|
Угрозы, связанные с внешними поставщиками |
20 |
Отключение электроэнергии |
21 |
Сбой в работе Интернет-провайдера |
22 |
Физический разрыв внешних каналов связи |
2.1.2. Все действия в процессе реагирования на аварийные ситуации должны документироваться ответственным сотрудником
2.1.3. В кратчайшие сроки, не превышающие одного рабочего дня, ответственный по защите персональных данных предпринимает меры по восстановлению работоспособности системы. Принимаемые меры по возможности согласуются с вышестоящим руководством. По мере необходимости, иерархия может быть нарушена, с целью получения высококвалифицированной консультации в кратчайшие сроки.
2.2. Уровни реагирования на инцидент
При реагировании на инцидент, важно, чтобы пользователь правильно классифицировал критичность инцидента. Критичность оценивается на основе следующей классификации:
- Уровень 1 – Незначительный инцидент. Незначительный инцидент определяется как локальное событие с ограниченным разрушением, которое не влияет на общую доступность элементов ИСПДн и средств защиты. Эти инциденты решаются ответственными за реагирование сотрудниками.
- Уровень 2 – Авария. Любой инцидент, который приводит или может привести к прерыванию работоспособности отдельных элементов ИСПДн и средств защиты. Эти инциденты выходят за рамки управления ответственными за реагирование сотрудниками.
К авариям относятся следующие инциденты:
1. Отказ элементов ИСПДн и средств защиты из-за:
- повреждения водой (провыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей;
- сбоя системы кондиционирования.
- Уровень 3 – Катастрофа. Любой инцидент, приводящий к полному прерыванию работоспособности всех элементов ИСПДн и средств защиты, а также к угрозе жизни пользователей ИСПДн, классифицируется как катастрофа. Обычно к катастрофам относятся обстоятельства непреодолимой силы (пожар, взрыв), которые могут привести к неработоспособности ИСПДн и средств защиты на сутки и более.
К катастрофам относятся следующие инциденты:
- пожар в здании;
- взрыв;
- просадка грунта с частичным обрушением здания;
- массовые беспорядки в непосредственной близости от объекта.
3. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций
3.1. Технические меры
3.1.1. К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения и возникновения аварийных ситуаций, такие как:
- системы жизнеобеспечения;
- системы обеспечения отказоустойчивости;
- системы резервного копирования и хранения данных;
- системы контроля физического доступа.
Системы жизнеобеспечения ИСПДн включают:
- пожарные сигнализации и системы пожаротушения;
- системы вентиляции и кондиционирования;
- системы резервного питания.
3.1.2. Все критические помещения МКУЗ «ЦМП» (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожаротушения.
3.1.3. Порядок предотвращения потерь информации и организации системы жизнеобеспечения ИСПДн описан в Порядке резервирования и восстановления работоспособности технических систем и программного обеспечения, баз данных и средств защиты информации.
3.2. Организационные меры
3.2.1. Ответственные за реагирование сотрудники ознакомляют всех сотрудников МКУЗ «ЦМП», находящихся в их зоне ответственности, с данной Инструкцией в срок, не превышающий трех рабочих дней с момента выхода нового сотрудника на работу. По окончании ознакомления сотрудник подписывается под Инструкцией.
3.2.2. Должно быть проведено обучение лиц МКУЗ «ЦМП», имеющих доступ к ресурсам ИСПДн, порядку действий при возникновении аварийных ситуаций. Данные лица должны получить базовые знания в следующих областях:
- оказание первой медицинской помощи;
- пожаротушение;
- эвакуация людей;
- защита материальных и информационных ресурсов;
- методы оперативной связи со службами спасения и лицами, ответственными за реагирование на аварийную ситуацию;
- выключение оборудования, электричества, водоснабжения.
3.2.3. Лица имеющие доступ к ИСПДн должны быть дополнительно обучены методам частичного и полного восстановления работоспособности элементов ИСПДн.
Навыки и знания должностных лиц по реагированию на аварийные ситуации должны регулярно проверяться. При необходимости должно проводиться дополнительное обучение должностных лиц порядку действий при возникновении аварийной ситуации.
Приложение №6
к приказу МКУЗ «ЦМП»
от 12.08.2019 г. № 16-0
к прик
к приказу п
ИНСТРУКЦИЯ
по организации антивирусной защиты в
муниципальном
1.Настоящая Инструкция определяет требования к организации защиты по организации антивирусной защиты в МКУЗ «ЦМП» (далее Центр) от разрушающего воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников Центра за их выполнение.
2.К использованию в Центре допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств.
3.Установка средств антивирусного контроля на компьютерах осуществляется уполномоченным сотрудником Центра. Настройка параметров средств антивирусного контроля в соответствии с руководствами по применению конкретных антивирусных средств.
4.Ежедневно в начале работы при загрузке компьютера в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов.
5.Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, CD-ROM и т.п.).
6.Контроль входящей и исходящей информации на защищаемых серверах и персональных компьютерах (далее ПК) осуществляется непрерывно посредством постоянно работающего компонента антивирусного программного обеспечения («монитора»). Полная проверка информации хранящейся на серверах и ПК должна осуществляться не реже одного раза в месяц.
7.Обновление баз вирусов антивирусного программного обеспечения, установленного на ПК и серверах, должно осуществляться еженедельно.
8.Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети), должна быть выполнена антивирусная проверка:
- на защищаемом автоматизированном рабочем месте (АРМ) - ответственным за обеспечение информационной безопасности.
9.При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник Центра самостоятельно или вместе с ответственным за антивирусную защиту Центра должен провести внеочередной антивирусный контроль своего компьютера.
10.В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов сотрудники подразделений обязаны:
- приостановить работу;
- немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя, владельца зараженных файлов, а также сотрудников, использующих эти файлы в работе;
- совместно с владельцем зараженных вирусом файлов провести анализ необ ходимости дальнейшего их использования;
- провести лечение или уничтожение зараженных файлов.
11.Ответственность за организацию антивирусного контроля в Центре, в соответствии с требованиями настоящей Инструкции возлагается на руководителя Центра.
12.Ответственность за проведение мероприятий антивирусного контроля в подразделении и соблюдение требований настоящей Инструкции возлагается на ответственного за антивирусную защиту Центра и всех сотрудников, являющихся пользователями ПК Центра.
13.Периодический контроль за состоянием антивирусной защиты в Центре, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции сотрудниками подразделений Центра осуществляется ответственным за антивирусную защиту Центра.