1. Общие положения
1.1. Настоящая политика (далее - Политика) разработана в соответствии
со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных
данных" (далее - Закон о ПДн) и является основополагающим внутренним
регулятивным документом Государственного бюджетного учреждения
здравоохранения Пермского края «Пермский краевой центр по профилактике
и борьбе со СПИД и инфекционными заболеваниями» (далее - Учреждение),
определяющим ключевые направления его деятельности в области обработки
и защиты персональных данных (далее - ПДн), оператором которых является
Учреждение.
1.2. Политика разработана в целях реализации требований
законодательства в области обработки и защиты ПДн и направлена на
обеспечение защиты прав и свобод человека и гражданина при обработке его
ПДн в Учреждении, в том числе защиты прав на неприкосновенность
частной жизни, личной и семейной тайн.
1.3. Положения Политики распространяются на отношения по обработке
и защите ПДн, полученных Учреждением как до, так и после утверждения
Политики, за исключением случаев, когда по причинам правового,
организационного и иного характера положения Политики не могут быть
распространены на отношения по обработке и защите ПДн, полученных до ее
утверждения.
1.4. Если в отношениях с Учреждением участвуют наследники
(правопреемники) и (или) представители субъектов ПДн, то Учреждение
становится оператором ПДн лиц, представляющих указанных субъектов.
Положения Политики и другие внутренние регулятивные документы
Учреждения распространяются на случаи обработки и защиты ПДн
наследников (правопреемников) и (или) представителей субъектов ПДн, даже
если эти лица во внутренних регулятивных документах прямо не
упоминаются, но фактически участвуют в правоотношениях с Учреждением.
2. Основания обработки и состав персональных данных,
обрабатываемых в Учреждении
2.1. Обработка ПДн в Учреждении осуществляется в связи с
выполнением законодательно возложенных на Учреждение функций,
определяемых:
1) Федеральным законом от 21.11.2011 № 323-03 «Об основах охраны
здоровья граждан в РФ»;
2) Постановлением Правительства РФ от 11.05.2023 N 736 "Об
утверждении Правил предоставления медицинскими организациями платных
медицинских услуг, внесении изменений в некоторые акты Правительства
Российской Федерации и признании утратившим силу постановления
Правительства Российской Федерации от 4 октября 2012 г. N 1006".
Кроме того, обработка ПДн в Учреждении осуществляется в ходе
трудовых и иных непосредственно связанных с ними отношений, в которых
Учреждение выступает в качестве работодателя (гл. 14 Трудового кодекса
Российской Федерации), в связи с реализацией Учреждением своих прав и
обязанностей как юридического лица.
2.2. В рамках осуществления функции по оказанию медицинских услуг
ПДн обрабатываются Учреждением:
1) в ходе организации оказания медицинской помощи, в целях
установления медицинского диагноза, оказания медицинских и медикосоциальных
услуг при условии, что обработка персональных данных
осуществляется лицом, профессионально занимающимся медицинской
деятельностью и обязанным в соответствии с законодательством Российской
Федерации сохранять врачебную тайну;
2) при рассмотрении обращений граждан;
3) при обработке запросов уполномоченных органов;
При этом обрабатываются ПДн лиц, обратившихся за оказанием
медицинской услуги, а также лиц, имеющих основанное право обратиться в
Учреждение в своих интересах или в интересах пациентов.
2.3. В связи с трудовыми и иными непосредственно связанными с ними
отношениями, в которых Учреждение выступает в качестве работодателя,
обрабатываются ПДн лиц, претендующих на трудоустройство в Учреждение,
работников Учреждения (далее - Работники) и бывших Работников.
2.4. В связи с реализацией своих прав и обязанностей, Учреждением
обрабатываются ПДн физических лиц, являющихся контрагентами
Учреждения по гражданско-правовым договорам, физических лиц, ПДн
которых используются для осуществления пропускного режима в
занимаемых Учреждением помещениях, а также граждан, письменно
обращающихся в Учреждение по вопросам его деятельности (помимо лиц,
указанных в пункте 2.1 Политики).
2.5. ПДн получаются и обрабатываются Учреждением на основании
федеральных законов, а в необходимых случаях - при наличии письменного
согласия субъекта ПДн.
2.6. В целях исполнения возложенных на Учреждение функций
Учреждение в установленном порядке вправе поручить обработку ПДн
третьим лицам.
В договоры с лицами, которым Учреждение поручает обработку ПДн,
включаются условия, обязывающие таких лиц соблюдать предусмотренные
Законом о ПДн и Политикой правила обработки ПДн.
2.7. Учреждение предоставляет обрабатываемые им ПДн
государственным органам и организациям, имеющим, в соответствии с
федеральным законом, право на получение соответствующих ПДн.
2.8. В Учреждении не производится обработка ПДн, несовместимая с
целями их сбора. Если иное не предусмотрено федеральным законом, по
окончании обработки ПДн в Учреждении, в том числе при достижении целей
их обработки или утраты необходимости в достижении этих целей,
обрабатывавшиеся Учреждением ПНд уничтожатся или обезличиваются.
2.9. При обработке ПДн обеспечиваются их точность, достаточность, а
при необходимости - и актуальность по отношению к целям обработки.
Учреждение принимает необходимые меры по удалению или уточнению
неполных или неточных ПДн.
3. Принципы обеспечения безопасности персональных данных
3.1. Основной задачей обеспечения безопасности ПДн при их обработке
в Учреждении является предотвращение несанкционированного доступа к
ним третьих лиц, предупреждение преднамеренных программно-технических
и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или
искажения их в процессе обработки.
3.2. Для обеспечения безопасности ПДн, Учреждение руководствуется
следующими принципами:
1) законность: защита ПДн основывается на положениях нормативных
правовых актов и методических документов уполномоченных
государственных органов в области обработки и защиты ПДн;
2) системность: обработка ПДн в Учреждении осуществляется с учетом
всех взаимосвязанных, взаимодействующих и изменяющихся во времени
элементов, условий и факторов, значимых для понимания и решения
проблемы обеспечения безопасности ПДн;
3) комплексность: защита ПДн строится с использованием
функциональных возможностей информационных технологий,
реализованных в информационных системах Учреждения (далее - ИС) и
других имеющихся в Учреждении систем и средств защиты;
4) непрерывность: защита ПДн обеспечивается на всех этапах их
обработки и во всех режимах функционирования систем обработки ПДн, в
том числе при проведении ремонтных и регламентных работ;
5) своевременность: меры, обеспечивающие надлежащий уровень
безопасности ПДн, принимаются до начала их обработки;
6) персональная ответственность: ответственность за обеспечение
безопасности ПДн возлагается на Работников в пределах их обязанностей,
связанных с обработкой и защитой ПДн;
7) минимизация прав доступа: доступ к ПДн предоставляется
Работникам только в объеме, необходимом для выполнения их должностных
обязанностей;
8) гибкость: обеспечение выполнения функций защиты ПДн при
изменении характеристик функционирования информационных систем
персональных данных Учреждения (далее - ИСПДн), а также объема и
состава обрабатываемых ПДн;
9) открытость алгоритмов и механизмов защиты: структура, технологии
и алгоритмы функционирования системы защиты ПДн Учреждения (далее -
СЗПДн) не дают возможности преодоления имеющихся в Учреждении
систем защиты возможными нарушителями безопасности ПДн;
10) специализация и профессионализм: реализация мер по обеспечению
безопасности ПДн и эксплуатация СЗПДн осуществляются Работниками,
имеющими необходимые для этого квалификацию и опыт;
11) непрерывность контроля и оценки: устанавливаются процедуры
постоянного контроля использования систем обработки и защиты ПДн, а
результаты контроля регулярно анализируются.
4. Доступ к обрабатываемым персональным данным
4.1. Доступ к обрабатываемым в Учреждении ПДн имеют лица,
уполномоченные приказом Учреждения, а также лица, чьи ПДн подлежат
обработке.
4.2. В целях разграничения полномочий при обработке ПДн полномочия
по реализации каждой определенной законодательством функции
Учреждения закрепляются за соответствующими структурными
подразделениями (должностными лицами) Учреждения.
Доступ к ПДн, обрабатываемым в ходе реализации полномочий,
закрепленных за конкретным структурным подразделением Учреждения,
могут иметь только Работники этого структурного подразделения. Работники
допускаются к ПДн, связанным с деятельностью другого структурного
подразделения, только для чтения и подготовки обобщенных материалов в
части вопросов, касающихся структурного подразделения этих Работников.
4.3. Доступ Работников к обрабатываемым ПДн осуществляется в
соответствии с их должностными обязанностями и требованиями внутренних
регулятивных документов Учреждения. Допуск Работников к обработке ПДн
осуществляется согласно перечню типовых полномочий (ролей
пользователей), утверждаемых приказом Учреждения. Соответствующие
полномочия (роль пользователя) вносятся в должностные обязанности
Работников.
Допущенные к обработке ПДн Работники под роспись знакомятся с
документами Учреждения, устанавливающими порядок обработки ПНд,
включая документы, устанавливающие права и обязанности конкретных
Работников.
4.4. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым
Учреждением, осуществляется в соответствии с Законом о ПДн и
определяется внутренними регулятивными документами Учреждения.
5. Реализация Политики
5.1. Учреждение принимает необходимые и достаточные меры для
защиты обрабатываемых ПДн от неправомерного или случайного доступа к
ним, от уничтожения, изменения, блокирования, копирования,
распространения, а также от иных неправомерных действий с ними со
стороны третьих лиц.
5.2. Ответственность за организацию обработки ПДн в Учреждении
несет один из заместителей главного врача Учреждения, определяемый
приказом главного врача Учреждения.
Ответственный за организацию обработки ПДн в Учреждении, в
частности, обязан:
1) осуществлять внутренний контроль за соблюдением в Учреждении
требований нормативных правовых актов и внутренних регулятивных
документов Учреждения в области обработки и защиты ПДн;
2) доводить до сведения Работников положения нормативных правовых
актов и внутренних регулятивных документов Учреждения в области
обработки и защиты ПДн;
3) организовывать прием и обработку обращений и запросов субъектов
ПДн или их представителей и (или) осуществлять контроль за приемом и
обработкой таких обращений и запросов.
5.3. Учреждение осуществляет обработку ПДн без использования
средств автоматизации, а также с использованием таких средств.
5.4. При обработке ПДн без использования средств автоматизации
Учреждение, в соответствии с положениями нормативных правовых актов в
области обработки и защиты ПДн, реализует комплекс организационных и
технических мер, обеспечивающих:
1) обособление ПДн от информации, не содержащей ПДн;
2) раздельную обработку и хранение каждой категории ПДн (фиксация
на отдельных материальных носителях ПДн, цели обработки которых
заведомо несовместимы);
3) соответствие типовых форм документов, характер информации в
которых предполагает или допускает включение в них ПДн, установленным
требованиям;
4) соблюдение установленных требований при ведении журналов
(реестров, книг), содержащих ПДн, необходимые для однократного пропуска
субъекта ПДн в помещения, занимаемые Учреждением, или в иных
аналогичных целях;
5) сохранность материальных носителей ПДн;
6) условия хранения, исключающие несанкционированный доступ к
ПДн, а также смешение ПДн (материальных носителей), обработка которых
осуществляется в различных целях;
7) надлежащее уточнение, уничтожение или обезличивание ПДн.
5.5. В соответствии с требованиями нормативных правовых актов в
области обработки и защиты ПДн обработки ПДн с использованием средств
автоматизации в Учреждении создаются ИСПДн.
Все ИСПДн проходят периодическую классификацию и аттестацию в
соответствии с требованиями нормативных правовых актов в области
обеспечения безопасности ПДн.
Для каждой ИСПДн формируется модель угроз безопасности ПДн и на
ее основе проводятся мероприятия по обеспечению безопасности
информации в соответствии с требованиями, предъявляемыми к
установленному классу ИСПДн.
Пересмотр моделей угроз для каждой ИСПДн осуществляется:
а) в плановом порядке для существующих ИСПДн - ежегодно;
б) в случае существенных изменений в инфраструктуре или порядке
обработки ПДн в ИСПДн - в течение трех месяцев с даты фиксации
изменений;
в) в случае создания новой ИСПДн (выделения части из существующей
ИСПДн) - в течение одного месяца с даты создания (выделения) ИСПДн.
5.6. Обработка ПДн в Учреждении с использованием средств
автоматизации ведется только в ИСПДн. В Учреждении запрещается
обработка ПДн с целями, не соответствующими целям создания ИСПДн,
эксплуатация ИСПДн в составе, отличном от указанного при создании
ИСПДн.
5.7. Ввод в эксплуатацию ИСПДн оформляется актом ввода в
эксплуатацию и сопровождается аттестацией ИСПДн или декларированием
соответствия ИСПДн требованиям по безопасности ПДн.
5.8. В целях обеспечения управления информационной безопасностью
ПДн в Учреждении создается СЗПДн.
Объектами защиты СЗПДн являются информация, обрабатываемая
Учреждением и содержащая ПДн, а также инфраструктура, содержащая и
поддерживающая указанную информацию.
5.9. СЗПДн реализуется комплексом правовых, режимных,
организационных и программно-технических мер, которые включают:
1) подготовку внутренних регулятивных документов Учреждения по
вопросам обработки и защиты ПДн, контроль за исполнением в Учреждении
требований нормативных правовых актов и внутренних регулятивных
документов Учреждения в области обработки и защиты ПДн, а также
внесение соответствующих изменений в имеющиеся внутренние
регулятивные документы;
2) оформление письменных обязательств Работников о неразглашении
ПДн;
3) доведение до сведения Работников информации об установленных
законодательством Российской Федерации санкциях за нарушения,
связанные с обработкой и защитой ПДн;
4) обеспечение наличия в положениях о структурных подразделениях
Учреждения и должностных обязанностях Работников требований по
соблюдению установленного порядка обработки и защиты ПДн;
5) разработку и введение в действие внутренних регулятивных
документов Учреждения по обеспечению информационной безопасности
ИСПДн;
6) регламентацию процедур создания и осуществление
документирования действующих инженерных и информационных систем,
программных комплексов, порядка внесения в них изменений и
своевременной актуализации эксплуатационной документации;
7) ознакомление Работников с положениями нормативных правовых
актов и внутренних регулятивных документов Учреждения в области
обработки и защиты ПДн, а также обучение Работников правилам обработки
и защиты ПДн;
8) проведение мероприятий по регламентации, установлению,
поддержанию и осуществлению контроля за состоянием:
а) физической охраны, контрольно-пропускного режима, перемещением
технических средств и носителей информации;
б) защиты технологических процессов, информационных ресурсов,
информации и поддерживающей их инфраструктуры от угроз техногенного
характера и внешних неинформационных воздействий;
9) регламентацию обработки ПДн, в том числе хранения и передачи
информации как внутри Учреждения, так и при взаимодействии с
контрагентами Учреждения, государственными органами и организациями,
обращения с документами (включая электронные документы) и носителями,
порядка их учета, хранения и уничтожения;
10) установление правил доступа на объекты, в помещения, в ИС,
применению в этих целях систем охраны и управления доступом;
11) формирование участков (выделение в отдельные VLAN
(виртуальные локальные компьютерные сети) технических средств)
администрирования безопасности, мониторинга и аудита, управления
доступом к защищаемым ресурсам;
12) организацию технического оснащения объектов и ИСПДн в
соответствии с существующими требованиями к информационной
безопасности;
13) формирование условий и технологических процессов обработки,
хранения и передачи информации в Учреждении (включая условия хранения
документов в архивах), обеспечивающих реализацию требований
нормативных правовых актов, методических документов уполномоченных
государственных органов и внутренних регулятивных документов
Учреждения в области обработки и защиты ПДн;
14) установление полномочий пользователей и форм представления
информации пользователям ИСПДн;
15) организацию непрерывного процесса контроля (мониторинга)
событий безопасности для своевременного выявления и пресечения попыток
несанкционированного доступа к защищаемой информации;
16) организацию необходимых мероприятий с Работниками, обучение
Работников требованиям информационной безопасности;
17) осуществление контроля эффективности организационных мер
защиты;
18) разработку защитных технических решений:
а) при стратегическом планировании архитектуры ИС;
б) выборе технических средств обработки информации;
в) разработке и (или) приобретении программного обеспечения;
19) применение следующих компонентов программно-технических мер
защиты:
а) защищенных средств (систем) обработки информации, содержащей
ПДн;
б) системы криптографической защиты информации при ее передаче по
каналам связи;
в) межсетевых экранов для логического разделения подсетей и защиты
от несанкционированного доступа из внешних (открытых) информационных
систем;
г) аппаратных и программных средств защиты и контроля, устройств,
технических систем и средств, используемых для обеспечения
информационной безопасности, в том числе для обнаружения и
нейтрализации попыток несанкционированного доступа к информации.
5.10. Для всех критичных в отношении обеспечения целостности и
доступности ПДн функций ИСПДн разрабатываются соответствующие
планы обеспечения непрерывной работы и восстановления при авариях и
стихийных бедствиях, которые не реже одного раза в квартал проходят
актуализацию. Работники проходят обучение необходимым действиям по
обеспечению целостности и доступности ПДн в нештатных ситуациях.
6. Основные мероприятия по обеспечению безопасности
персональных данных
6.1. Мероприятия по защите ПДн реализуются в Учреждении в
следующих направлениях:
1) предотвращение утечки информации, содержащей ПДн, по
техническим каналам связи и иными способами;
2) предотвращение несанкционированного доступа к содержащей ПДн
информации, специальных воздействий на такую информацию (носители
информации) в целях ее добывания, уничтожения, искажения и
блокирования доступа к ней;
3) защита от вредоносных программ;
4) обеспечение безопасного межсетевого взаимодействия;
5) обеспечение безопасного доступа к сетям международного
информационного обмена;
6) анализ защищенности ИСПДн;
7) обеспечение защиты информации с использованием шифровальных
(криптографических) средств при передаче ПДн по каналам связи;
8) обнаружение вторжений и компьютерных атак;
9) осуществления контроля за реализацией системы защиты ПДн.
6.2. Мероприятия по обеспечению безопасности ПДн включают в себя:
1) реализацию разрешительной системы допуска пользователей
(Работников) к информационным ресурсам ИС и связанным с их
использованием работам, документам;
2) разграничение доступа пользователей ИСПДн и обслуживающих
ИСПДн Работников к информационным ресурсам, программным средствам
обработки (передачи) и защиты информации;
3) регистрацию действий пользователей и обслуживающих ИСПДн
Работников, контроль несанкционированного доступа и действий
пользователей и обслуживающих Работников, а также третьих лиц;
4) использование средств защиты информации, прошедших в
установленном порядке процедуру оценки соответствия;
5) предотвращение внедрения в ИС вредоносных программ и
программных закладок, анализ принимаемой по информационнотелекоммуникационным
сетям (сетям связи общего пользования)
информации, в том числе на наличие компьютерных вирусов;
6) ограничение доступа в помещения, где размещены технические
средства, позволяющие осуществлять обработку ПДн, а также хранятся
носители информации, содержащие ПДн;
7) размещение технических средств, позволяющих осуществлять
обработку ПДн, в пределах охраняемой территории;
8) организацию физической защиты помещений и технических средств,
позволяющих осуществлять обработку ПДн;
9) учет и хранение съемных носителей информации и их обращение,
исключающее хищение, подмену и уничтожение;
10) резервирование технических средств, дублирование массивов и
носителей информации;
11) реализацию требований по безопасному межсетевому
взаимодействию ИС;
12) использование защищенных каналов связи, защита информации при
ее передаче по каналам связи;
13) межсетевое экранирование с целью управления доступом,
фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия
структуры ИС;
14) обнаружение вторжений в ИС, нарушающих или создающих
предпосылки к нарушению установленных требований по обеспечению
безопасности ПДн;
15) периодический анализ безопасности установленных межсетевых
экранов на основе имитации внешних атак на ИС;
16) активный аудит безопасности ИС на предмет обнаружения в режиме
реального времени несанкционированной сетевой активности;
17) анализ защищенности ИС с применением специализированных
программных средств (сканеров безопасности);
18) централизованное управление системой защиты ПДн в ИС.
6.3. В целях организации работ по обеспечению информационной
безопасности ПДн в Учреждении определяются структурные подразделения,
на которые возлагаются задачи:
1) по классификации, паспортизации и аттестации ИСПДн;
2) организации разработки модели угроз для каждой ИСПДн;
3) организации разработки технического проекта системы защиты
информации для каждой ИСПДн;
4) закупке, установки, эксплуатации и администрирования средств
защиты информации;
5) организации разрешительной системы допуска к информации,
содержащей ПДн и разработке внутренних регулятивных документов
Учреждения по этому вопросу;
6) организации реагирования на события безопасности;
7) контролю состояния системы защиты информации и планирования
соответствующих мероприятий.
6.4. С целью поддержания состояния защиты ПДн на надлежащем
уровне в Учреждении осуществляется внутренний контроль за
эффективностью системы защиты ПДн и соответствием порядка и условий
обработки и защиты ПДн установленным требованиям.
Внутренний контроль включает:
1) мониторинг состояния технических и программных средств,
входящих в состав СЗПДн;
2) контроль соблюдения требований по обеспечению безопасности ПДн
(требований нормативных правовых актов и внутренних регулятивных
документов в области обработки и защиты ПДн, требований договоров).
6.5. В целях осуществления внутреннего контроля в Учреждении
проводятся периодические проверки условий обработки ПДн. Такие
проверки осуществляются ответственным за организацию обработки ПДн в
Учреждении либо комиссией, образуемой главным врачом Учреждения.
О результатах проведенной проверки и мерах, необходимых для
устранения выявленных нарушений, докладывается главному врачу
Учреждения.