Разработка Методических рекомендаций была осуществлена в соответствии со следующими нормативными документами:
1 Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»
2 Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
3 Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы О защите физических лиц при автоматической обработке персональных данных»
4 Федеральный закон от 10 января 202 года № 1-ФЗ «Об электронной цифровой подписи»
5 Указ Президента Российской Федерации от 12 мая 2009 года № 537 “О стратегии национальной безопасности Российской Федерации до 2020 года”.
6 Доктрина информационной безопасности Российской Федерации. Утверждена Президентом Российской Федерации 9 сентября 2000 года № Пр-1895
7 Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
8 Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»
9 Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»
10 Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 «О лицензировании деятельности по разработке и / или производству средств защиты конфиденциальной информации»
11 Постановление Правительства Российской Федерации от 26 июня 1995 года № 608 «О сертификации средств защиты информации»
12 Постановление Правительства Российской Федерации от 28 февраля 1996 года № 226 «О государственном учете и регистрации баз и банков данных»
13 Постановление Правительства Российской Федерации от 3 ноября 1994 года № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»
14 Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
15 Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25 ноября 1994г.
16 Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
17 Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
18 Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утвержден Председателем Гостехкомиссии России 25 июля 1997 г.
19 Руководящий документ. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. № 114
20 Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Утвержден приказом Гостехкомиссии России от 19 июня 2002 г. № 187 (часть 1, часть 2, часть 3)
21 Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20
22 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
23 Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены Заместителем директора ФСТЭК России 15 февраля 2008 г.
24 Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждены Заместителем директора ФСТЭК России 15 февраля 2008 г.
25 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/5-144.
26 Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622
Приложение 1 Шаблоны документов и инструкции по их заполнению
Учреждениям Минздравсоцразвития России в обязательном порядке необходимо самостоятельно или с привлечением лицензиатов ФСТЭК России разработать и утвердить следующие внутренние нормативные документы по защите персональных данных:
1) Положение о защите персональных данных.
2) Положение о подразделении по защите информации.
3) Приказ о назначении ответственных лиц за обработку ПДн.
4) Перечень персональных данных, подлежащих защите.
5) Приказ о проведении внутренней проверки.
6) Отчет о результатах проведения внутренней проверки.
7) Акт классификации информационной системы персональных данных угроз для конкретной ИСПДн.
8) Положение о разграничении прав доступа к обрабатываемым персональным данным.
9) Модель угроз безопасности персональных данных угроз для конкретной ИСПДн.
10) План мероприятий по обеспечению защиты ПДн.
11) Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.
12) Должностные инструкции сотрудников, обрабатывающих ПДн:
- Должностная инструкция администратора ИСПДн.
- Инструкция пользователя ИСПДн.
- Должностная инструкция администратора безопасности ИСПДн.
- Инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.
13) План внутренних проверок.
14) Журнал по учету мероприятий по контролю состояния защиты ПДн.
15) Журнал учета обращений субъектов ПДн о выполнении их законных прав.
16) Положение об Электронном журнале обращений пользователей информационной системы к ПДн.
17) Копия уведомления Роскомнадзора с исходящим номером и датой подписания
Для правильного выполнения технических мероприятий желательно иметь следующие документы:
1) Концепция информационной безопасности ИСПДн учреждения.
2) Политика информационной безопасности ИСПДн учреждения.
3) Техническое задание на разработку системы обеспечения безопасности ИСПДн.
4) Эскизный проект на создание системы обеспечения безопасности ИСПДн.
Настоящие методические рекомендации содержат шаблоны перечисленных выше основных требуемых внутренних нормативных документов по защите персональных данных. После учета специфики учреждения эти документы необходимо ввести в действие приказом по учреждению.