МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ ТЫВА

ПРИКАЗ

от 10 мая 2018 года N 569

Об утверждении Положения о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации в Министерстве здравоохранения Республики Тыва

(с изменениями на 9 июня 2018 года)

(в ред. Приказа Минздрава РТ от 09.06.2018 N 697)

В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы безопасности от 10 июля 2014 г. N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", Положением о Министерстве здравоохранения Республики Тыва, утвержденным постановлением Правительства Республики Тыва от 18 апреля 2013 г. N 228, в целях обеспечения безопасности персональных данных в Министерстве здравоохранения Республики Тыва приказываю:

(в ред. Приказа Минздрава РТ от 09.06.2018 N 697)

1. Утвердить прилагаемое Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации в Министерстве здравоохранения Республики Тыва.

2. Отделу организационно-правового обеспечения и кадровой политики (Болаа) ознакомить с настоящим приказом государственных гражданских служащих и ответственных работников Министерства здравоохранения Республики Тыва.

Министр
О.Э.ДОНГАК

Утверждено
приказом Минздрава РТ
от 10 мая 2018 г. N 569

ПОЛОЖЕНИЕ О ПОРЯДКЕ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ ТЫВА

(в ред. Приказа Минздрава РТ от 09.06.2018 N 697)

1. Общие положения

1.1. Положение о порядке обеспечения безопасности персональных данных с использованием средств криптографической защиты информации в Министерстве здравоохранения Республики Тыва (далее - Положение) разработано в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", определяет порядок организации и обеспечения функционирования шифровальных (криптографических) средств, предназначенных для защиты персональных данных при их обработке в информационных системах Министерства здравоохранения Республики Тыва (далее - Министерство).

(в ред. Приказа Минздрава РТ от 09.06.2018 N 697)

1.2. Требования Положения обязательны для исполнения работниками Министерства, уполномоченными на работу со средствами криптографической защиты информации (далее - Пользователи криптосредств).

(п. 1.2 в ред. Приказа Минздрава РТ от 09.06.2018 N 697)

1.3. Используемые термины, определения и сокращения:

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

контролируемая зона - это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств;

криптосредство - шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну;

криптографический ключ - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований;

ключевые документы - материальные носители информации, содержащие криптографические ключи;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

(в ред. Приказа Минздрава РТ от 09.06.2018 N 697)

персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

режимные помещения - помещения, где установлены криптосредства или хранятся ключевые документы к ним;

СКЗИ - средство криптографической защиты информации;

ПЭВМ - персональная электронная вычислительная машина.

1.4. Настоящее Положение вступает в силу с момента его утверждения министром здравоохранения Республики Тыва и действует бессрочно до замены его новым Положением.

1.5. Пересмотр Положения производится в следующих случаях:

при изменении процессов и технологий обработки персональных данных в учреждении;

по результатам проверок органа по защите прав субъектов персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности персональных данных;

при изменении требований законодательства РФ к порядку обработки и обеспечению безопасности персональных данных;

в случае выявления существенных нарушений по результатам внутренних проверок системы защиты персональных данных.

1.6. Ответственным за пересмотр данного Положения является сотрудник Министерства, назначенный приказом министра здравоохранения Республики Тыва ответственным за организацию обработки персональных данных в Министерстве.

2. Организация и обеспечение безопасности обработки персональных данных с использованием криптосредств

2.1. Пользователи криптосредств допускаются к работе с ними на основании приказа министра здравоохранения Республики Тыва.

2.2. Обеспечение функционирования и безопасности криптосредств возлагается на ответственного пользователя криптосредств, имеющего необходимый уровень квалификации, назначаемого приказом министра здравоохранения Республики Тыва (далее - Ответственный пользователь криптосредств).

2.3. Допускается возложение функций Ответственного пользователя криптосредств на:

одного из пользователей криптосредств;

структурное подразделение или должностное лицо (работника), ответственных за защиту информации, назначаемых Министерством.

2.4. Пользователи криптосредств обязаны:

соблюдать конфиденциальность при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых криптосредств и ключевых документов к ним;

выполнять требования по обеспечению безопасности персональных данных;

обеспечивать надежное хранение эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей информации ограниченного распространения;

своевременно выявлять попытки посторонних лиц получить сведения о защищаемых персональных данных, об используемых криптосредствах или ключевых документах к ним;

немедленно принимать меры по предупреждению разглашения защищаемых персональных данных, а также возможной их утечки при выявлении фактов утраты или недостачи криптосредств, ключевых документов к ним, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п.;

строго соблюдать правила пользования криптосредств, к эксплуатации которых допущен;

не допускать вывод ключевых документов на дисплей (монитор) ПЭВМ или принтер;

не допускать записи на ключевой носитель посторонней информации.

2.5. Пользователи криптосредств должны быть ознакомлены с настоящим Положением и другими документами, регламентирующими организацию и обеспечение безопасности персональных данных при их обработке в информационных системах, под расписку и несут ответственность за несоблюдение ими требований указанных документов в соответствии с законодательством Российской Федерации.

2.6. На Ответственного пользователя криптосредств возлагаются обязанности по:

текущему контролю за организацией и обеспечением функционирования криптосредств;

проведению разбора конфликтных ситуаций, возникающих при эксплуатации криптосредств;

ведению учета экземпляров криптосредств, эксплуатационной и технической документации к ним, ключевых документов.

3. Порядок обращения с криптосредствами и криптоключами к ним. Мероприятия при компрометации криптоключей

3.1. При необходимости передачи по техническим средствам связи служебных сообщений ограниченного доступа, касающихся организации и обеспечения функционирования криптосредств, указанные сообщения необходимо передавать только с использованием криптосредств. Передача по техническим средствам связи криптоключей не допускается.

3.2. Криптосредства, используемые для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров.

3.3. Используемые или хранимые криптосредства, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету в "Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов" по форме согласно приложению N 1.