Государственное бюджетное учреждение
здравоохранения Нижегородской области

«Кстовская центральная
районная больница»

Приёмная главного врача: +7 (831) 457-93-49

E-mail: kstovo-crb@yandex.ru

Адрес: 607650, г. Кстово,
ул.Талалушкина, д. 14

Политика безопасности

Приложение № 1

к приказу главного врача ГБУЗ НО

«Кстовская ЦРБ»

от «15» декабря 2020 г. № 833

 

ПОЛИТИКА

по вопросам обработки и обеспечения защиты информации,

содержащей персональные данные в региональном сегменте единой

информационной системы в сфере здравоохранения

  ГБУЗ НО «Кстовская ЦРБ»

 

1.  Общие положения

Настоящая Политика по вопросам обработки и обеспечения защиты информации (далее – Политика), содержащей персональные данные (далее – ПДн), в информационной системе передачи данных МИС. Сегмент ГБУЗ НО «Кстовская ЦРБ» —  является официальным документом.

МИС создана в рамках программы модернизации здравоохранения Нижегородской области в 2011-2012 годах. Разработка МИС выполнена на основании системного проекта «Создание регионального сегмента единой информационной системы в сфере здравоохранения Нижегородской области, с поддержкой процесса управления оказания медицинской помощи населению и повышения информированности населения» (далее – Системный проект), утвержденного министром здравоохранения Нижегородской области.

Обеспечение безопасности ПДн является одной из приоритетных задач функционирования МИС. Целью разработки настоящей Политики являются определение принципов и особенностей обработки и обеспечения безопасности ПДн, обрабатываемых в МИС.

Политика разработана в соответствии с требованиями действующего законодательства РФ по вопросам обработки и защиты ПДн.

В Политике отражается система взглядов ГБУЗ НО «Кстовская ЦРБ», как Оператора по обработке ПДн в МИС, относительно вопросов обеспечения безопасности ПДн в МИС.

Настоящая Политика определяет принципы, порядок и условия обработки ПДн в МИС с целью обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн.

Положения Политики распространяются на ГБУЗ НО «Кстовская ЦРБ», а также все подведомственные ему структурные подразделения и обязательны к исполнению всеми сотрудниками (штатных, временных, работающих по контракту и т.п.), допущенных к обработке ПДн в МИС, а также всем лицам, имеющим доступ к ресурсам МИС, в том числе сотрудников сторонних организаций, оказывающих услуги по обслуживанию программных и технических средств МИС (подрядчики, аудиторы и т.п.).

Настоящая Политика является публичным документом неограниченного доступа, реализуемого путем публикации в открытом источнике или иным образом в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных».

1.1 Порядок ввода в действие, внесения изменений и ознакомления с Политикой.

Политика утверждается и вводится в действие приказом Главного врача ГБУЗ НО «Кстовская ЦРБ».

Изменения в Политику вносятся приказом Главного врача ГБУЗ НО «Кстовская ЦРБ».

Работники ГБУЗ НО «Кстовская ЦРБ», имеющие доступ к обработке ПДн в МИС, должны быть ознакомлены с Политикой под роспись. При заключении договоров со сторонними организациями, оказывающими услуги по обслуживанию программных и технических средств МИС, обязательно должно быть заключено Соглашение о конфиденциальности, содержащее положения Политики, с которым сотрудники подрядной организации должны быть ознакомлены под роспись.

2.  Обработка ПДн в МИС

2.1  Структура МИС

МИС Нижегородской области состоит из центрального сегмента – центра обработки данных (ЦОД), а также территориально удаленных сегментов, располагающихся в ГБУЗ НО:

—    Информационная система персональных данных (далее – ИСПДн) «МИС. Сегмент ЦОД» (1 шт.) Оператор ИС – государственное бюджетное учреждение здравоохранения Нижегородской области «Медицинский информационно-аналитический центр» (далее — ГБУЗ НО МИАЦ);

—    ИСПДн «МИС. Сегмент ГБУЗ НО» (144 шт.) Операторы ИС – ГБУЗ НО.

Перечень ИСПДн МИС утверждается министром здравоохранения Нижегородской области.

Основные вычислительные мощности МИС по обработке и хранению информации представлены в ИСПДн «МИС. Сегмент ЦОД».

ИСПДн «МИС. Сегмент ГБУЗ НО «Кстовская ЦРБ» фактически представляет собой набор рабочих мест пользователей прикладного комплекса МИС, объединенных выделенным сегментом локальной вычислительной сети в пределах одного района, и подключенных к выделенным каналам связи для связи с ЦОД.

2.2.  Состав ПДн

Перечень ПДн, обрабатываемых в МИС и подлежащих защите, формируется в соответствии с Федеральным законом России от 27 июля 2006 г.  № 152-ФЗ «О персональных данных» и Системным Проектом.

Полный состав ПДн, обрабатываемых в МИС, утверждается Министром здравоохранения Нижегородской области.

В МИС обрабатываются ПДн, содержащие информацию о состоянии здоровья граждан, относящуюся к специальным категориям ПДн.

2.3.  Виды обработки ПДн

В МИС производится обработка ПДн с использованием средств автоматизации (автоматизированная обработка), включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

2.4.   Принципы обработки ПДн

Обработка ПДн в МИС должна осуществляться на законной и справедливой основе в соответствии с принципами, определенными в Статье 5 ФЗ РФ от
27 июля 2006 г. № 152-ФЗ «О Персональных данных».

2.5.   Правовые основания обработки ПДн

Обработка ПДн осуществляется на основании:·

 

2.6.   Цели обработки ПДн

Исполнение государственных функций, отнесенных к компетенции министерства здравоохранения Нижегородской области и закрепленных в положении о министерстве здравоохранения Нижегородской области.

2.7.   Обработка ПДн

Заказчиком МИС. Сегмент ГБУЗ  ЦРБ и оператором, организующим обработку информации, содержащую ПДн (далее — Оператор ПДн) в МИС. Сегмент ГБУЗ  ЦРБ является ГБУЗ НО «Кстовская ЦРБ».

ГБУЗ НО «Кстовская ЦРБ», как оператор ПДн МИС,  определяет цели обработки ПДн, сроки, требования по обработке и обеспечению безопасности  ПДн.

В соответствии с положениями Федерального закона «О ПДн» ответственность перед субъектами ПДн (гражданами) и контролирующими органами несет Оператор ПДн.  Лица, обрабатывающие ПДн по поручению Оператора несут  ответственность перед Оператором.

2.7.1.  Операторы информационных систем

Операторами информационных систем, в соответствии с положениями Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ, назначены и являются:

2.7.2.  Поручение обработки ПДн

В соответствии с п.3 ст.6 Федерального закона «О ПДн» Министерство здравоохранения НО поручает каждому Учреждению здравоохранения Нижегородской области проводить обработку ПДн в информационной системе ПДн – сегменте МИС Нижегородской области, оператором которой является ГБУЗ НО «Кстовская ЦРБ».

2.7.3.  Ответственные лица

Приказом Главного врача назначается лицо, ответственное за обработку ПДн в сегменте МИС, а также создается комиссия по вопросам обработки ПДн в сегменте МИС.

Обработка ПДн:

Ответственным лицом за организацию обработки ПДн в ИСПДн «МИС. Сегмент ГБУЗ» — главный врач ГБУЗ НО «Кстовская ЦРБ».

Организация защиты ПДн:

Подразделение, ответственное за  организацию и обеспечение защиты ПДн в «МИС. Сегмент ГБУЗ НО «Кстовская ЦРБ» —  отдел информационных технологий.

Обеспечение защиты ПДн:

ИСПДн «МИС. Сегмент ГБУЗ НО «Кстовская ЦРБ» — сотрудники отдела информационных технологий, исполняющие функции администратора системы и администратора информационной безопасности;

 

2.7.4.  Сроки обработки ПДн

Сроки обработки ПДн в МИС не должны превышать сроки, определенные законодательством РФ об охране здоровья граждан.

2.7.5.  Права и обязанности Оператора ПДн

Оператор ПДн МИС вправе:

организовывать и проводить обработку ПДн в составе и объеме, соответствующим определенным и законным целям;

использовать ПДн Субъекта ПДн без его согласия, в случаях предусмотренных законодательством.

уточнять и получать дополнительные ПДн у Субъекта ПДн и(или) у его законных представителей, необходимые для целей обработки ПДн в МИС;

поручить обработку ПДн третьим другому лицу с согласия Субъекта ПДн либо без такового в случаях, предусмотренных ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О ПДн».

предоставлять ПДн субъектов ПДн третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

отказывать в предоставлении ПДн в случаях предусмотренных законодательством.

Оператор ПДн обязан:

Осуществлять обработку ПДн с соблюдением принципов и правил, предусмотренных ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О ПДн».

Соблюдать требования действующего законодательства по вопросам обработки и защиты ПДн;

Обеспечивать точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Принимать меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

Хранить ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн.

Уведомить уполномоченный орган по защите прав субъектов ПДн об обработке ПДн в МИС в соответствии с положениями ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О ПДн».

2.7.6. Права и обязанности субъекта ПДн

Субъект ПДн имеет право на получение сведений,  касающихся обработки его ПДн в МИС,  требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Если субъект ПДн считает, что оператор осуществляет обработку его ПДн с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Реализация указанных прав субъектов ПДн осуществляется в соответствии с  положениями Федерального закона «О ПДн».

2.8.  Ответственность за нарушение требований по обеспечению безопасности ПДн

В соответствии со ст. 24 Федерального закона «О ПДн» лица, виновные в нарушении требований данного Федерального закона, несут предусмотренную законодательством РФ ответственность.

3.  Система защиты ПДн

Безопасность ПДн, обрабатываемых в МИС, обеспечивается системой защиты ПДн МИС – СЗПДн МИС, включающей проведение организационных и технических мероприятий по обеспечению безопасности ПДн.

СЗПДн МИС реализована в соответствии с требованиями действующего законодательства по защите ПДн, Системного проекта, а также разработанных моделей угроз безопасности ПДн и моделей нарушителей, актов классификации ИСПДн.

Цель создания СЗПДн — минимизация ущерба, который может возникнуть вследствие воздействия угроз информационной безопасности, приводящих к нарушению требуемых свойств безопасности ПДн, обрабатываемых в МИС Нижегородской области.

3.2.  Организационные мероприятия

 

 

 

3.3.  Технические мероприятия

Обеспечен режим физической охраны средств вычислительной техники «МИС. Сегмент ГБУЗ НО «Кстовская ЦРБ»;

Реализовано проектное решение по создании, СЗПДн, нейтрализущее актуальные угрозы безопасности с использованием сертифицированных средств защиты информации.

3.4.  Аттестация

Для подтверждения соответствия ИСПДн «МИС. Сегмент ГБУЗ НО «Кстовская ЦРБ»  требованиям действующего законодательства проводятся аттестационные испытания систем.

Повторная аттестация государственной информационной системы осуществляется в случае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании системы защиты информации информационной системы, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

Ввод в действие и эксплуатация информационной системы производится только при наличии аттестата соответствия.

 

4.  Заключительные положения

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите ПДн.

Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за обеспечение безопасности ПДн в «МИС. Сегмент ГБУЗ НО «Кстовская ЦРБ».

5.  Законодательная, нормативная и методическая база

Федерального закона от 27 июля 2006 г. № 152-ФЗ «О ПДн», а также следующих документов:

Данный документ учитывает требования следующих законодательных актов и нормативно-методических документов:

 

ПОЛИТИКА по вопросам обработки и обеспечения защиты информации, содержащей персональные данные в региональном сегменте единой информационной системы в сфере здравоохранения Нижегородской области

forVK5807