НУЗ "Отделенческая клиническая больница на ст. Волгоград - 1 ОАО "РЖД"

тел.:8-800-234-34-34, Поликлиника № 1: 8(8442)90-31-55, 8-961-062-55-53
Стационар: 8(8442)53-40-00 E-mail: nuz_okb_vlg1@mail.ru


Положение об обработке и обеспечении защиты персональных данных

Пациенту Положение об обработке и обеспечении защиты персональных данных

Приложение №1

к приказу НУЗ «Отделенческая клиническая

больница на ст. Волгоград-1 ОАО «РЖД»

№ 156 от 17 августа 2015 г.

Положение об обработке и обеспечении защиты персональных данных в НУЗ «Отделенческая клиническая больница на ст. Волгоград-1 ОАО „РЖД“

1. Общие положения

1.1.    Настоящее Положение «Об обработке и обеспечению защиты персональных данных» (далее – «Положение») в НУЗ «Отделенческая клиническая больница на ст. Волгоград-1 ОАО „РЖД“ (далее – «Организация») разработано в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных в информационных системах персональных данных (далее – «ИСПДн»).

1.2.    Целью Положения является формирование общих правил для обеспечения защиты Организацией персональных данных (далее – «ПДн») от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (далее – «УБПДн»).

1.3.    Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Федеральным законом Российской Федерации от 25 июля 2011 г. N 261-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“, Постановлением Правительства Российской Федерации  «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 г. № 1119, Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными нормативными актами, действующими на территории Российской Федерации.

1.4.    В Положении используются следующие термины:

-                   Безопасность персональных данных – состояние защищенности ПДн, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн.

-                   Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

-                   Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

-                   Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

-                   Конфиденциальность персональных данных – обязательное для соблю­дения оператором (в данном случае – Организацией) или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.

-                   Неавтоматизированная обработка персональных данных – обработка ПДн без использования средств вычислительной техники.

-                   Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

-                   Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

-                   Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными.

-                   Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

-                   Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

-                   Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

-                   Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, пе­реговорные и телевизионные устройства, средства изготовления, тиражиро­вания документов и другие технические средства обработки речевой, графи­ческой, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

-                   Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

-                   Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.

2. Область действия

2.1.    Положение является обязательным для исполнения всеми работниками Организации, имеющими доступ к персональным данным.

3. Рекомендации по защите ПДн

3.1.    Рекомендации содержат описание системы мер и принципов организации защиты ПДн в Организации.

3.2.    Рекомендуется устанавливать в технических заданиях на создание (модернизацию) конкретных ИСПДн и элементов информационно-телекоммуникационной инфраструктуры такой уровень требований по защите информации, который бы соответствовал или был строже рекомендаций, предложенных в настоящем разделе.

3.3.    Работы по защите информации проводятся на основе реализации комплекса организационных и технических мероприятий.

3.4.    Не допускается осуществление работниками Организации любых мероприятий и работ с использованием ПДн без принятия необходимых мер по защите информации.

3.5.    Организация работ по обработке и защите информации в Организации возлагается на работника, ответственного за организацию обработки и обеспечение безопасности ПДн, назначенного приказом директора, или на стороннюю организацию (далее – «Уполномоченное лицо») по договору.

3.6.    Методическое руководство, координация работ в области защиты информации и контроль эффективности мер защиты информации возлагаются на работника Организации, ответственного за организацию обработки и обеспечение безопасности ПДн.

3.7.    Техническая защита конфиденциальной информации является лицензируемым видом деятельности и должна осуществляться на основе лицензий, выданных уполномоченными федеральными органами исполнительной власти. Для обеспечения технической защиты ПДн должны привлекаться организации, имеющие лицензии на указанный вид деятельности.

4. Обработка персональных данных субъектов персональных данных.

Порядок получения персональных данных.

4.1.    Работникам Организации, допущенным к обработке ПДн, все ПДн субъекта ПДн следует получать у самого субъекта ПДн. Если ПДн субъекта возможно получить только у третьей стороны, за исключением случаев, предусмотренных законодательством Российской Федерации, субъект должен быть уведомлен об этом заранее в письменном виде работником, ответственным за организацию обработки и обеспечение безопасности ПДн, или другим сотрудником Организации по его поручению. Работник Организации, принимающий ПДн субъекта, должен сообщить субъекту ПДн следующую информацию:

-                   наименование либо фамилия, имя, отчество и адрес Организации или его представителя;

-                   цель обработки ПДн и ее правовое основание;

-                   предполагаемые пользователи ПДн;

-                   установленные действующим законодательством РФ права субъекта ПДн.

4.2.    Работники Организации не имеют права получать и обрабатывать ПДн субъектов, не соответствующие целям их обработки.

4.3.    Обработка специальных категорий ПДн субъектов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, возможна только с согласия субъектов либо без их согласия в случаях, установленных законодательством РФ.

4.4.    Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются работником, ответственным за организацию обработки и обеспечение безопасности ПДн, на основе нотариально заверенных доверенностей либо других документов, подтверждающих полномочия представителей, копии которых должны быть приложены к согласию.

4.5.    Передавать ПДн субъектов для обработки третьим лицам разрешается только после получения Организацией от субъекта ПДн письменного согласия на передачу конкретному лицу (организации), кроме случаев, установленных действующим законодательством РФ. Передача ПДн на материальном носителе информации фиксируется в соответствующих журналах сотрудниками, ответственными за документооборот в Организации. Передача ПДн в электронном виде по защищенным каналам связи фиксируется в электронных журналах средств защиты информации.

4.6.    Согласие субъекта ПДн на обработку его ПДн должно включать в себя:

-                   фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

-                   фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты и приложенная нотариальная копия (или оригинал) доверенности или иного надлежащего документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

-                   наименование и адрес Организации, получающего согласие субъекта ПДн;

-                   цель обработки ПДн;

-                   перечень ПДн, на обработку которых дается согласие субъекта ПДн;

-                   наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Организации, если обработка будет поручена такому лицу;

-                   перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Организацией способов обработки ПДн;

-                   срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено действующим законодательством РФ;

-                   подпись субъекта ПДн.

4.7.    Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн или в случае достижения целей обработки ПДн, Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, инициирует сбор, блокировку обработки с последующим уничтожением ПДн субъекта, кроме случаев, установленных законодательством РФ.

4.8.    При обработке ПДн субъекта, по его запросу могут быть предоставлены следующие данные:

-                   подтверждение факта обработки ПДн в Организации;

-                   правовые основания и цели обработки ПДн;

-                   цели и применяемые в Организации способы обработки ПДн;

-                   наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты ПДн на основании договора с Организацией или на основании Федерального закона;

-                   обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

-                   сроки обработки ПДн, в том числе сроки их хранения;

-                   порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;

-                   наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Организации, если обработка поручена или будет поручена такому лицу;

-                   иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими Федеральными законами.

4.9.    В случае получения запросов от уполномоченного органа по защите прав субъектов ПДн работник, ответственный за организацию обработки и обеспечение безопасности ПДн, обязан представить документы и локальные акты, по обеспечению безопасности обработки ПДн субъектов и (или) иным образом подтвердить принятие необходимых мер в течение тридцати дней с даты получения такого запроса.

Порядок обработки, передачи и хранения персональных данных.

4.10. В соответствии с законодательством РФ, в целях обеспечения прав и свобод человека и гражданина, Организация и его представители при обработке ПДн субъекта должны соблюдать следующие общие требования:

-                   обработка ПДн может осуществляться исключительно при условии соблюдения законов и иных нормативных правовых актов РФ;

-                   при определении объема и содержания обрабатываемых ПДн Организация должно руководствоваться действующим законодательством РФ и локальными нормативными актами Организации;

-                   при принятии решений, затрагивающих интересы субъекта, Организация не имеет права основываться на ПДн субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения;

-                   защита ПДн субъекта от неправомерного их использования или утраты обеспечивается Организацией в порядке, установленном действующим законодательством РФ;

-                   работники Организации должны быть ознакомлены под роспись с документами Организации, устанавливающими порядок обработки ПДн, а также об их правах и обязанностях в этой области;

-                   доступ Работников Организации к персональным данным субъектов ПДн в ИСПДн регламентируется только на основании локальных нормативных актов Организации с указанием перечня допущенных лиц, прав доступа, необходимых для выполнения служебных обязанностей;

-                   обработка ПДн без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;

-                   уничтожение или обезличивание части ПДн (если это допускается материальным носителем) может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление);

-                   уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе. Если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в ПДн изменениях либо путем изготовления нового материального носителя с уточненными персональными данными;

-                   при хранении материальных носителей ПДн должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.

4.11. При передаче ПДн субъекта Работниками должны соблюдаться следующие требования:

-                   не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных Федеральным законом;

-                   осуществлять передачу ПДн субъектов в пределах Организации в соответствии с нормами внутреннего документооборота Организации.

4.12. Допускается передача ПДн субъектов сторонним организациям, если указанная передача обусловлена Федеральным законом, либо соответствующим соглашением, и не нарушает прав субъекта ПДн.

Обязанности Организации по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных.

4.13. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя, либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн, должно быть осуществлено блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечено их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) с момента такого обращения или получения указанного запроса на период внутренней проверки в Организации.

4.14. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн, должно быть осуществлено блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечено их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

4.15. В случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, должно быть проведено уточнение ПДн работником, ответственным за организацию обработки и обеспечение безопасности ПДн, либо обеспечено их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) в течение семи рабочих дней со дня представления таких сведений и снято блокирование ПДн. Уточнение ПДн должно производиться на основании данных, полученных от субъекта ПДн.

4.16. В случае выявления неправомерной обработки ПДн, осуществляемой Организацией или лицом, действующим по поручению Организации, Организация в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Организации. В случае, если обеспечить правомерность обработки ПДн невозможно, Организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Организация обязано уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

4.17. В случае достижения цели обработки ПДн Организация обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и уничтожить персональные данные или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Организацией и субъектом ПДн, либо если Организация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законодательством.

4.18. В случае отзыва субъектом ПДн согласия на обработку его ПДн Организация обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить персональные данные или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Организацией и субъектом ПДн либо если Организация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законодательством.

4.19. В случае невозможности уничтожения ПДн в течение срока, указанного в п. 4.16 – 4.18, Организация осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен Федеральными законами.

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

4.20. Работники Организации несут персональную ответственность за сохранность ПДн, к которым они имеют доступ.

4.21. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, могут быть привлечены к ответственности, предусмотренной действующим законодательством РФ и локальными нормативными актами Организации.

5. Оценка угроз безопасности информации

5.1.    Информация, обрабатывающаяся в ИСПДн Организации, телекоммуникационных сетях, представляет интерес для конкурентов, коммерческих организаций и криминальных структур.

5.2.    Основные виды угроз и источники угроз безопасности представлены в «Частной модели угроз безопасности ПДн».

6. Организационные мероприятия по защите персональных данных при их обработке и передаче в информационных системах персональных данных

6.1.    В общем случае организационные мероприятия по защите ПДн связаны с формированием системы документов по защите ПДн, их разработкой, официальным оформлением и доведением до исполнителей, а также организацией контроля соблюдения установленных этими документами правил и требований.

6.2.    Мероприятия должны исключить возможность утечки информации, обрабатываемой в ИСПДн, и обеспечить запрет передачи ПДн по открытым каналам связи без применения установленных мер по ее защите, а также исключить возможность внесения в контролируемую зону устройств регистрации и накопления информации без соответствующего разрешения.

Система документов по защите информации

6.3.    Система документов по защите информации включает действующее законодательство РФ и локальные нормативные акты Организации.

6.4.    Состав внутренних документов, разрабатываемых на основании действующего законодательства РФ и локальных нормативных актов Организации, определяется на этапе приведения процессов обработки ПДн в Организации в соответствие требованиям законодательства. Состав документов определяется Организацией при возможном привлечении организаций-лицензиатов.

6.5.    В подразделении, обслуживающем ИСПДн, рекомендуется иметь комплект эксплуатационной и технической документации на ИСПДн, в том числе на систему защиты ПДн.

6.6.    Обязанность поддерживать комплект документов по защите ПДн в актуальном состоянии возлагается на работника, ответственного за организацию обработки и обеспечение безопасности ПДн.

Организационные мероприятия по защите ПДн, обрабатываемых на автоматизированном рабочем месте (далее «АРМ»)

6.7.    Организационные мероприятия по защите ПДн, обрабатываемых на АРМ, должны быть связаны с обеспечением:

-                   сохранности машинных носителей информации, материалов печати и исключения доступа к ним посторонних лиц;

-                   ограничения физического доступа и контроль доступа к изменению конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.);

-                   исключения возможностей несанкционированного просмотра изображений с монитора АРМ (терминала) через дверные проемы, окна – в том числе с использованием средств телевизионной, фотографической и визуальной оптической разведки, находящихся за границами контролируемой зоны;

-                   режима блокирования доступа к АРМ (терминалу) во время отсутствия пользователя;

-                   режима блокирования доступа в помещение с установленным АРМ (терминалом) во внерабочее время и в рабочее время при отсутствии пользователя.

Организационные мероприятия по защите ПДн в локальных вычислительных сетях (далее «ЛВС»)

6.8.    Указанные мероприятия должны включать:

-                   обеспечение режима запрета на вход в сеть под чужой учетной записью;

-                   обеспечение периодической смены паролей пользователями;

-                   обеспечение хранения файлов с информацией в групповых каталогах (каталогах, информация в которых является доступной для определенной группы лиц), структура которых однозначно отображает организационную структуру подразделения (управления, отдела, группы и др.) и разрешения доступа к нему только Работников соответствующей структурной единицы;

-                   обеспечение файлового обмена информацией между Пользователями подразделений через создаваемый каталог общего использования, информация в котором является доступной для имеющих санкционированный доступ в ЛВС Пользователей;

-                   обеспечение создания для каждого пользователя локальной вычислительной сети личного сетевого каталога, предназначенного для хранения пользовательских данных, и предоставление ему всех прав (чтение, запись, создание, удаление, переименование) в отношении информации указанного каталога, за исключением права изменения привилегий доступа;

-                   обеспечение контроля присвоения пользователям учетных записей и их удаление или блокирование при увольнении работника;

-                   обеспечение резервного копирования электронных информационных ресурсов;

-                   обеспечение режима разграничения и контроля доступа к аппаратным и программным ресурсам локальных вычислительных сетей и АРМ.

7. Технические мероприятия по защите персональных данных

  1. 8.  

8.1.    Технические мероприятия по защите информации разрабатываются по результатам обследования объекта информатизации, предназначенного для обработки ПДн. Требования к системе защиты ПДн излагаются в техническом задании на проектирование системы защиты.

8.2.    Требуется осуществлять следующие технические мероприятия:

-                   применение сертифицированных программных и (или) аппаратных средств защиты информации от несанкционированного доступа, регистрации и учета действий пользователей ИСПДн;

-                   применение сертифицированных средств криптографической защиты конфиденциальной информации при ее передаче по открытым каналам связи;

-                   предотвращение несанкционированной записи ПДн на съемные носители информации или вывода ПДн на печать;

-                   регулярный анализ защищенности системы защиты ПДн;

-                   защита ПДн при межсетевом взаимодействии;

-                   применение антивирусной защиты.

9. Контроль состояния системы защиты персональных данных.

9.1.    В рамках проверок состояния защиты ПДн рекомендуется осуществлять контроль:

-                   наличия в подразделениях нормативных документов по защите информации и доведения их до персонала с фиксацией факта ознакомления с документами;

-                   знания и выполнения работниками требований локальных нормативных актов Организации по защите ПДн при их обработке в ИСПДн Организации;

-                   наличия и комплектности эксплуатационной и технической документации на систему защиты ПДн, а так же факта ознакомления работников Организации с инструкциями пользователей и администраторов средств защиты информации с соответствующей отметкой об ознакомлении в инструкциях;

-                   работоспособности системы защиты ПДн;

-                   задания требований по безопасности ПДн при разработке (модернизации) ИСПДн.

9.2.    Контроль состояния защиты ПДн осуществляется в плановом и внеплановом порядке ответственным за организацию обработки и обеспечение безопасности ПДн работником (либо комиссией), назначаемым Организацией.

9.3.    Результаты проверок оформляются в виде отчетов о проведении проверки.

 

Версия для скачивания

Дата публикации:25.04.2016, 660 просмотров.

Стационар

400120 г. Волгоград
ул. Автотранспортная д. 75

Режим работы: Круглосуточно

Служба администраторов
(8442) 53-40-00 (8:00 — 16:30)


Поликлиника №1

400131 г. Волгоград
ул. Коммунистическая д. 7

Служба администраторов
(8442) 90-31-55
8-961-062-55-53

Режим работы
8:00 — 19:00

Поликлиника №2

400038 г. Волгоград,
ул. Волгоградская д. 15

Служба администраторов
(8442) 40-52-83

Режим работы
8:00 — 19:00

Поликлиника №3

403540 г. Фролово
ул. Фроловская, 3

Регистратура:
(84465)6-22-57

Режим работы:
8:00-17:00

Стоматология

400038 г. Волгоград,
ул. Свирская д. 29

Служба администраторов
(8442) 39-34-10

Режим работы
8:00 — 20:00

      Система управления сайтом HostCMS v. 5
© 2011 - 2017 НУЗ «Отделенческая клиническая больница на ст. Волгоград-1 ОАО «РЖД»
Яндекс.Метрика