Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»


ДЕПАРТАМЕНТ ЗДРАВООХРАНЕНИЯ КУРГАНСКОЙ ОБЛАСТИ

ПРИКАЗ

от 30 мая 2018 года N 632


Об утверждении Перечня угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Департаменте здравоохранения Курганской области и подведомственных ему учреждениях, организациях



В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" приказываю:


1. Утвердить Перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Департаменте здравоохранения Курганской области и подведомственных ему учреждениях, организациях, согласно приложению к настоящему Приказу.


2. Опубликовать настоящий Приказ в установленном порядке.


3. Контроль за выполнением настоящего Приказа возложить заместителя директора Департамента здравоохранения Курганской области - начальника Управления финансового и материально-технического обеспечения Департамента здравоохранения Курганской области.



Директор
Департамента здравоохранения
Курганской области
Л.И.КОКОРИНА



Приложение
к Приказу
Департамента здравоохранения
Курганской области
от 30 мая 2018 г. N 632
"Об утверждении Перечня угроз
безопасности персональных данных,
актуальных при обработке
персональных данных в информационных
системах персональных данных в
Департаменте здравоохранения
Курганской области и подведомственных
ему учреждениях, организациях"



ПЕРЕЧЕНЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ В ДЕПАРТАМЕНТЕ ЗДРАВООХРАНЕНИЯ КУРГАНСКОЙ ОБЛАСТИ И ПОДВЕДОМСТВЕННЫХ ЕМУ УЧРЕЖДЕНИЯХ, ОРГАНИЗАЦИЯХ



1. Общие положения


1.1. Перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных (далее - ИСПДн) в Департаменте здравоохранения Курганской области (далее соответственно - Департамент, Перечень актуальных угроз безопасности персональных данных) и подведомственных ему учреждениях, организациях, разработан в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").


Перечень актуальных угроз безопасности персональных данных необходимо учитывать при разработке частной модели угроз безопасности персональных данных (далее соответственно - частная модель угроз, ПДн) и других документов Департамента и подведомственных ему учреждений, организаций.


1.2. В частной модели угроз указываются:


описание ИСПДн и их структурно-функциональных характеристик;


описание угроз безопасности информации, включающее описание возможностей нарушителя (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.


Типовая форма частной модели угроз для Департамента разрабатывается специалистом по защите информации с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года N 17.


1.3. Актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн, содержащиеся в Перечне актуальных угроз безопасности персональных данных, уточняются и дополняются по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности персональных данных в ИСПДн. Указанные изменения согласовываются с Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК России) и Федеральной службой безопасности Российской Федерации (далее - ФСБ) в установленном порядке.


1.4. В Департаменте создаются и эксплуатируются однотипные и разноплановые информационные системы (далее - ИС), в которых могут обрабатываться ПДн. В зависимости от предназначения ИСПДн подразделяются на:


1.4.1. ИСПДн обеспечения типовой деятельности Департамента, предназначенные для автоматизации обеспечивающей деятельности Департамента в рамках исполнения им типовых полномочий, предусмотренных нормативными правовыми актами.


К ИСПДн обеспечения типовой деятельности Департамента относятся:


- ИСПДн управления персоналом (учет кадров);


- ИСПДн управления финансами (расчет заработной платы).


1.4.2. ИСПДн обеспечения специальной деятельности Департамента, предназначенные для автоматизации или информационной поддержки предоставления услуг, предусмотренных правовыми актами в Департаменте в качестве полномочий конкретного органа исполнительной власти.


К ИСПДн обеспечения специальной деятельности относятся:


- "Системы мониторинга реализации государственного задания по оказанию высокотехнологичной медицинской помощи за счет средств федерального бюджета";


- "Подсистемы мониторинга проведения диспансеризации детей-сирот, находящихся в трудной жизненной ситуации";


- "Подсистемы мониторинга санаторно-курортного лечения";


- ИСПДн по направлениям Департамента, предназначенные для предоставления государственных услуг, исполнения государственных функций (например: для оказания высокотехнологичной медицинской помощи, а также информирование о порядке и условиях оказания высокотехнологичной медицинской помощи).



2. ИСПДн обеспечения типовой деятельности Департамента


2.1. ИСПДн обеспечения типовой деятельности Департамента характеризуются тем, что в качестве объектов информатизации выступают локальные автоматизированные рабочие места (далее - АРМ) или АРМ, подключенные к локальным вычислительным сетям, объединенные в объектовые ИСПДн, имеющие или не имеющие подключения к сетям общего пользования и (или) сетям международного информационного обмена. Ввод ПДн в ИСПДн осуществляется с бумажных носителей. ПДн могут выводиться из ИСПДн в электронном виде или на бумажных носителях.


2.2. Операторами ИСПДн обеспечения типовой деятельности Департамента являются подведомственные ему учреждения, организации. Количество субъектов ПДн не превышает 100 тысяч. ПДн хранятся на учтенных машинных носителях информации (далее - МНИ), в качестве которых используются средства электронно-вычислительной техники.


2.3. ИСПДн управления персоналом в Департаменте предназначены для кадрового учета служащих и работников, управления кадровым резервом и других функций, связанных с управлением персоналом в Департаменте. В ИСПДн управления персоналом обрабатываются ПДн сотрудников Департамента, претендентов на замещение должности государственной гражданской службы Курганской области по конкурсу или включение в кадровый резерв Департамента, претендентов на замещение должности руководителя подведомственного Департаменту учреждения, организации.


2.4. ИСПДн управления финансами в Департаменте предназначены для обработки ПДн, необходимых для бухгалтерского и финансового учета, представления информации в пенсионные фонды, налоговые органы, фонды обязательного социального страхования. В ИСПДн управления финансами в Департаменте обрабатываются следующие ПДн сотрудников Департамента; фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес места жительства; номер телефона, идентификационный номер налогоплательщика, страховой номер индивидуального лицевого счета, табельный номер, наименование должности, номер приказа и дата приема на работу (увольнения), номер лицевого счета для перечисления денежного содержания и иных выплат работнику.


2.5. В ИСПДн обеспечения типовой деятельности Департамента применяются следующие меры по защите ПДн и средств криптографической защиты информации (далее - СКЗИ):


- утверждение правил доступа в помещения, где располагаются АРМ, на которых осуществляется обработка ПДн, СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;


- утверждение перечня лиц, имеющих право доступа в помещения, где располагаются АРМ, СКЗИ;


- обеспечение доступа в контролируемую зону (далее - КЗ), где располагается АРМ, СКЗИ, в соответствии с контрольно-пропускным режимом;


- при работе в помещениях, где расположены АРМ, СКЗИ, нахождение в этих помещениях представителей технических, обслуживающих и других вспомогательных служб, а также сотрудников, не являющихся пользователями СКЗИ, только в присутствии уполномоченных сотрудников Департамента;


- информирование сотрудников, являющихся пользователями ИСПДн, но не являющихся пользователями СКЗИ, о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;


- информирование пользователей СКЗИ о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;


- оснащение помещений, в которых располагаются СКЗИ, входными дверьми с замками, обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;


- осуществление разграничения и контроля доступа пользователей к защищаемым ресурсам;


- осуществление регистрации и учета действий пользователей с ПДн;


- осуществление контроля целостности средств защиты;


- использование на АРМ и серверах, на которых установлены сертифицированные СКЗИ, сертифицированных средств защиты информации от несанкционированного доступа, сертифицированных средств антивирусной защиты.


2.6. ИСПДн управления персоналом в Департаменте могут взаимодействовать с ИСПДн управления финансами в Департаменте.



3. ИСПДн обеспечения специальной деятельности


3.1. ИСПДн обеспечения специальной деятельности Департамента характеризуются тем, что в качестве объектов информатизации выступают локальные или распределенные ИС регионального масштаба, подключенные к сетям общего пользования и (или) сетям международного информационного обмена. Ввод ПДн в ИСПДн осуществляется с бумажных носителей или с электронных носителей информации. ПДн субъектов ПДн обрабатываются с целью предоставления государственных услуг, исполнения функций Департамента и могут выводиться из ИСПДн в электронном виде или на бумажных носителях.


3.2. Операторами ИСПДн обеспечения специальной деятельности Департамента являются подведомственные Департаменту учреждения, организации. Количество субъектов ПДн не превышает 100 тысяч. ПДн хранятся на учтенных МНИ, в качестве которых используются средства электронно-вычислительной техники.


3.3. В ИСПДн обеспечения специальной деятельности Департамента обрабатываются ПДн, представляемые заявителями при обращении за получением государственных услуг, сведения, получаемые из ИС Департамента, используемые для подготовки ответов на запросы в соответствии с административными регламентами предоставления государственных услуг, утвержденными нормативными правовыми актами Департамента и Правительства Курганской области.


3.4. ИСПДн по направлениям деятельности Департамента предназначены для обеспечения деятельности Департамента и исполнения функций, не отраженных в пункте 3.3 настоящего Перечня актуальных угроз. В ИСПДн обрабатываются ПДн субъектов ПДн, необходимые для исполнения функций, определенных в правовых актах Департамента.


3.5. ИСПДн электронного документооборота предназначены для автоматизации делопроизводства, служебной переписки, архивной деятельности, учета корреспонденции, обращений граждан, обеспечения доступа работников Департамента к электронным документам в ИСПДн. В ИСПДн обрабатываются: фамилия, имя, отчество, наименование должности работников, информация о ПДн граждан, имеющаяся в документах.