स्वास्थ्य मंत्रालय
स्वेर्दलोवस्क क्षेत्र
दिनांक 20 अक्टूबर 2015 एन 1622-पी नमूना चिकित्सा संगठन का नाम नियंत्रित क्षेत्र की सीमा निर्धारित करने परप्रसंस्करण के दौरान अनधिकृत व्यक्तियों की अनियंत्रित उपस्थिति को बाहर करने के लिए व्यक्तिगत डेटाऔर 27 जुलाई, 2006 के संघीय कानून की आवश्यकताओं के अनुसार एन 152-एफजेड "व्यक्तिगत डेटा पर", "तकनीकी सुरक्षा के लिए विशेष आवश्यकताएं और सिफारिशें" गोपनीय जानकारी", रूस के राज्य तकनीकी आयोग के आदेश द्वारा 30 अगस्त, 2002 को एन 282 के लिए अनुमोदित, रूस के एफएसटीईसी के आदेश द्वारा 18 फरवरी, 2013 एन 21 "संगठनात्मक और तकनीकी उपायों की संरचना और सामग्री के अनुमोदन पर उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करें जानकारी के सिस्टमआह व्यक्तिगत डेटा", रूस के एफएसबी की सिफारिशें "क्रिप्टोग्राफिक उपकरणों का उपयोग करके व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए पद्धति संबंधी सिफारिशें जब उन्हें स्वचालन उपकरणों का उपयोग करके व्यक्तिगत डेटा की सूचना प्रणालियों में संसाधित किया जाता है" (21 फरवरी को रूसी संघ के एफएसबी द्वारा अनुमोदित) , 2008 एन 149 / 54-144) मैं आदेश देता हूं: 1 नियंत्रित क्षेत्र की सीमाएं _______________________________________ (मास्को क्षेत्र का नाम) ______________________________________________________________________ पर मुख्य चिकित्सा भवन की संलग्न संरचनाओं की परिधि हैं। कर्मचारी का नाम) मुख्य चिकित्सक ______________ (पूरा नाम)
आदेश परिसर में श्रमिकों की पहुंच (एमओ का नाम) जिसमें व्यक्तिगत डेटा संसाधित किया जा रहा है (आदेश ___________ दिनांक ______ N ____ द्वारा अनुमोदित)(एमओ का नाम) 1. वर्तमान आदेशकर्मचारियों की पहुंच _________ (मॉस्को क्षेत्र का नाम) उस परिसर में जहां व्यक्तिगत डेटा संसाधित किया जाता है (बाद में प्रक्रिया के रूप में संदर्भित) 27 जुलाई, 2006 के संघीय कानून एन 152-एफजेड "व्यक्तिगत डेटा पर" के अनुसार विकसित किया गया था, सरकारी फरमान रूसी संघदिनांक 21 मार्च 2012 एन 211 "निर्धारित दायित्वों की पूर्ति सुनिश्चित करने के उद्देश्य से उपायों की सूची के अनुमोदन पर संघीय कानून"व्यक्तिगत डेटा के बारे में"। 2. व्यक्तिगत डेटा को गोपनीय जानकारी के रूप में वर्गीकृत किया जाता है। व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत अधिकारी तीसरे पक्ष को खुलासा नहीं करने और व्यक्तिगत डेटा के विषय की सहमति के बिना व्यक्तिगत डेटा वितरित नहीं करने के लिए बाध्य हैं, जब तक कि अन्यथा संघीय कानून द्वारा प्रदान नहीं किया जाता है। 3. अनधिकृत व्यक्तियों द्वारा इन परिसरों में अनियंत्रित प्रवेश और ठहरने की संभावना को छोड़कर, सूचना प्रणालियों की नियुक्ति जिसमें व्यक्तिगत डेटा संसाधित किया जाता है, सुरक्षित परिसर में किया जाता है। 4. व्यक्तिगत डेटा वाहकों को संग्रहीत करते समय, व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने और उन तक अनधिकृत पहुंच को बाहर करने के लिए शर्तों का पालन किया जाना चाहिए। 5. जिस परिसर में उन्हें रखा गया है तकनीकी साधन, केवल व्यक्तिगत डेटा के प्रसंस्करण की अनुमति देने के साथ-साथ सूचना मीडिया के भंडारण की अनुमति है अधिकारियों ___________ (मास्को क्षेत्र का नाम) के आदेश द्वारा व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत। 6. उस परिसर तक पहुंच को व्यवस्थित करने के लिए जिम्मेदार जिसमें व्यक्तिगत डेटा का प्रसंस्करण किया जाता है, संरचनात्मक प्रभागों के प्रमुख हैं ________________________________________________ (मास्को क्षेत्र का नाम)। 7. व्यक्तिगत डेटा के प्रसंस्करण के लिए परिसर (मास्को क्षेत्र का नाम) में व्यक्तियों की उपस्थिति, जो व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत नहीं हैं, केवल तभी संभव है जब व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत कर्मचारी के साथ कुछ समय के लिए उत्पादन की जरूरतों के लिए। आठ। आंतरिक नियंत्रणव्यक्तिगत डेटा के प्रसंस्करण के आयोजन के लिए जिम्मेदार व्यक्ति और व्यक्तिगत डेटा की सुरक्षा के लिए जिम्मेदार व्यक्ति द्वारा व्यक्तिगत डेटा संसाधित किए जाने वाले परिसर तक पहुंच के लिए प्रक्रिया का अनुपालन।
|
<< Приложение. |
एक नियंत्रित क्षेत्र (केजेड) एक स्थान (क्षेत्र, भवन, एक इमारत का हिस्सा) है जिसमें ऐसे व्यक्तियों का अनियंत्रित प्रवास, जिनके पास स्थायी या एकमुश्त परमिट नहीं है, और बाहरी वाहन, तकनीकी और अन्य भौतिक साधनों को बाहर रखा गया है।
शॉर्ट सर्किट की सीमा हो सकती है:
संस्था (उद्यम) के संरक्षित क्षेत्र की परिधि;
किसी संरक्षित भवन या भवन के संरक्षित भाग की संरचनाओं को संलग्न करना, यदि वह किसी असुरक्षित क्षेत्र में स्थित है।
इस प्रकार, केजेड संरक्षित क्षेत्र की परिधि तक सीमित हो सकता है, संरक्षित क्षेत्र, इमारतों और संरचनाओं को कवर करता है जिसमें बंद कार्यक्रम आयोजित किए जाते हैं, इमारतों का हिस्सा, एक कमरा, एक कार्यालय जिसमें बंद कार्यक्रम आयोजित किए जाते हैं।
कुछ मामलों में, तकनीकी साधनों द्वारा गोपनीय जानकारी को संसाधित करने की अवधि के लिए, शॉर्ट सर्किट को अस्थायी रूप से उद्यम के संरक्षित क्षेत्र से बड़ा सेट किया जा सकता है। उसी समय, इस क्षेत्र में अवरोधन की संभावना को बाहर करने या महत्वपूर्ण रूप से बाधित करने के लिए संगठनात्मक, शासन और तकनीकी उपाय किए जाने चाहिए।
एक स्थायी नियंत्रित क्षेत्र एक ऐसा क्षेत्र है जिसकी सीमाएँ लंबे समय तक स्थापित होती हैं।
अस्थायी नियंत्रित क्षेत्र एक बार की प्रकृति की बंद घटनाओं को आयोजित करने के लिए स्थापित एक क्षेत्र है।
आवंटित परिसर- परिसर (कार्यालय, सभा, सम्मेलन कक्ष, आदि) विशेष रूप से भाषण सूचना (चर्चा, बैठक, आदि) को संसाधित करने के लिए डिज़ाइन किया गया है जिसमें एक राज्य रहस्य बनाने वाली जानकारी है।
संरक्षित परिसर- परिसर (कार्यालय कक्ष, सभा कक्ष, सम्मेलन कक्ष, आदि) विशेष रूप से गोपनीय घटनाओं को आयोजित करने के लिए डिज़ाइन किया गया है, जिसके दौरान गोपनीय जानकारी वाली भाषण जानकारी संसाधित की जाती है।
4. महत्वपूर्ण सुविधाओं, संभावित खतरनाक सुविधाओं, साथ ही ऐसी सुविधाएं जो मानव जीवन और स्वास्थ्य और पर्यावरण के लिए एक बड़ा खतरा पैदा करती हैं, जिस पर वे निर्भर हैं, उत्पादन और तकनीकी प्रक्रियाओं के लिए स्वचालित नियंत्रण प्रणालियों के लिए कितने और कौन से सुरक्षा वर्ग स्थापित किए गए हैं। कौन सा दस्तावेज़ एआईएस डेटा में एसआई प्रदान करने की आवश्यकताओं को नियंत्रित करता है।
एक स्वचालित नियंत्रण प्रणाली में डेटा स्रोतों के लिए आवश्यकताओं का गठन GOST R 51583 "सूचना सुरक्षा" को ध्यान में रखते हुए किया जाता है। संरक्षित निष्पादन में स्वचालित प्रणालियों के निर्माण का क्रम। सामान्य प्रावधान" (बाद में GOST R 51583 के रूप में संदर्भित), GOST R 51624 "सूचना संरक्षण। एक सुरक्षित डिजाइन में स्वचालित सिस्टम। सामान्य आवश्यकताएं ”(बाद में GOST R 51624 के रूप में संदर्भित) और संगठन के मानक, जिनमें शामिल हैं: एक स्वचालित नियंत्रण प्रणाली में डेटा भंडारण की आवश्यकता पर निर्णय लेना; RFP की आवश्यकताओं के अनुसार स्वचालित नियंत्रण प्रणाली का वर्गीकरण; सूचना सुरक्षा के लिए खतरों की पहचान, जिसके कार्यान्वयन से स्वचालित नियंत्रण प्रणाली के सामान्य संचालन का उल्लंघन हो सकता है, और उनके आधार पर सूचना सुरक्षा के लिए खतरों के एक मॉडल का विकास हो सकता है; स्वचालित नियंत्रण प्रणाली की सुरक्षा प्रणाली के लिए आवश्यकताओं का निर्धारण।
सूचना के महत्व (महत्वपूर्णता) के स्तर के आधार पर, स्वचालित नियंत्रण प्रणाली का वर्गीकरण ग्राहक या ऑपरेटर द्वारा किया जाता है, जिसका प्रसंस्करण स्वचालित नियंत्रण प्रणाली में किया जाता है। स्वचालित नियंत्रण प्रणाली के तीन सुरक्षा वर्ग स्थापित हैं, जो स्वचालित नियंत्रण प्रणाली के सुरक्षा स्तरों को निर्धारित करते हैं। निम्नतम वर्ग तीसरा है, उच्चतम प्रथम है।
स्वचालित नियंत्रण प्रणाली के सुरक्षा वर्ग को निर्धारित करने की प्रक्रिया
1. एक स्वचालित नियंत्रण प्रणाली (प्रथम श्रेणी (K1), द्वितीय श्रेणी (K2), तृतीय श्रेणी (K3)) का सुरक्षा वर्ग इसमें संसाधित जानकारी (UZ) के महत्व (महत्वपूर्णता) के स्तर के आधार पर निर्धारित किया जाता है।
2. सूचना के महत्व (महत्वपूर्णता) का स्तर (आईएल) इसकी अखंडता (अवैध विनाश या संशोधन), पहुंच (अवैध अवरोधन) या गोपनीयता (अवैध पहुंच, प्रतिलिपि, प्रावधान या) के उल्लंघन से संभावित नुकसान की डिग्री से निर्धारित होता है। वितरण), जिसके परिणामस्वरूप स्वचालित नियंत्रण प्रणाली के नियमित संचालन मोड का उल्लंघन या स्वचालित नियंत्रण प्रणाली के कामकाज में अवैध हस्तक्षेप।
केएम = [(अखंडता, क्षति) (उपलब्धता, क्षति) (गोपनीयता, क्षति)],
जहां संभावित नुकसान की डिग्री ग्राहक या ऑपरेटर द्वारा किसी विशेषज्ञ या अन्य विधि द्वारा निर्धारित की जाती है और हो सकती है:
ए) उच्च, यदि सूचना सुरक्षा (अखंडता, उपलब्धता, गोपनीयता) के गुणों में से एक के उल्लंघन के परिणामस्वरूप, जिसके कारण स्वचालित नियंत्रण प्रणाली के सामान्य संचालन का उल्लंघन हुआ, एक संघीय या अंतर-क्षेत्रीय प्रकृति की आपात स्थिति या सामाजिक, राजनीतिक, आर्थिक, सैन्य या गतिविधि के अन्य क्षेत्रों में अन्य महत्वपूर्ण नकारात्मक परिणाम;
बी) माध्यम, यदि सूचना सुरक्षा (अखंडता, उपलब्धता, गोपनीयता) के गुणों में से एक के उल्लंघन के परिणामस्वरूप, जिसके कारण एक स्वचालित नियंत्रण प्रणाली के सामान्य संचालन का उल्लंघन हुआ, एक क्षेत्रीय या अंतर-नगरीय प्रकृति की आपात स्थिति * या सामाजिक, राजनीतिक, आर्थिक, सैन्य या गतिविधि के अन्य क्षेत्रों में अन्य मध्यम नकारात्मक परिणाम;
ग) कम, अगर सूचना सुरक्षा (अखंडता, उपलब्धता, गोपनीयता) के गुणों में से एक के उल्लंघन के परिणामस्वरूप, जिसके कारण स्वचालित नियंत्रण प्रणाली के सामान्य संचालन का उल्लंघन हुआ, एक नगरपालिका (स्थानीय) की आपातकालीन स्थिति ) सामाजिक, राजनीतिक, आर्थिक, सैन्य या गतिविधि के अन्य क्षेत्रों में प्रकृति हो सकती है या अन्य छोटे नकारात्मक परिणाम हो सकते हैं।
यदि स्वचालित नियंत्रण प्रणाली में संसाधित जानकारी को सूचना सुरक्षा गुणों (विशेष रूप से, गोपनीयता) में से एक की आवश्यकता नहीं होती है, तो अन्य दो सूचना सुरक्षा गुणों (अखंडता, उपलब्धता) के लिए महत्व का स्तर (महत्वपूर्णता) निर्धारित किया जाएगा। इस मामले में:
केएम = [(अखंडता, क्षति) (उपलब्धता, क्षति) (गोपनीयता, लागू नहीं)]।
एक स्वचालित नियंत्रण प्रणाली में संसाधित जानकारी का उच्च स्तर का महत्व (महत्वपूर्णता) (एलई 1) होता है यदि कम से कम एक सूचना सुरक्षा गुण (अखंडता, उपलब्धता, गोपनीयता) में उच्च स्तर की क्षति होती है।
एक स्वचालित नियंत्रण प्रणाली में संसाधित की गई जानकारी का औसत स्तर का महत्व (महत्वपूर्णता) (LE 2) होता है यदि सूचना सुरक्षा गुणों (अखंडता, उपलब्धता, गोपनीयता) में से कम से कम एक में क्षति की औसत डिग्री होती है और इसके लिए एक भी संपत्ति नहीं होती है जो एक उच्च स्तर निर्धारित करता है क्षति की डिग्री।
यदि सभी सूचना सुरक्षा गुणों (अखंडता, उपलब्धता, गोपनीयता) के लिए क्षति के निम्न स्तर निर्धारित किए जाते हैं, तो एक स्वचालित नियंत्रण प्रणाली में संसाधित जानकारी का महत्व (महत्वपूर्णता) (LE 3) निम्न स्तर का होता है।
एक स्वचालित नियंत्रण प्रणाली में दो या दो से अधिक प्रकार की सूचनाओं को संसाधित करते समय (सूचना को मापने, प्रक्रिया की स्थिति के बारे में जानकारी), प्रत्येक प्रकार की जानकारी के लिए सूचना (एस) के महत्व का स्तर (महत्वपूर्ण) अलग से निर्धारित किया जाता है।
प्रत्येक प्रकार की जानकारी की अखंडता, उपलब्धता, गोपनीयता के लिए निर्धारित संभावित क्षति की डिग्री के उच्चतम मूल्यों के अनुसार महत्व का अंतिम स्तर (गंभीरता) निर्धारित किया जाता है। 21 मई, 2007 नंबर 304 के रूसी संघ की सरकार की डिक्री के अनुसार "प्राकृतिक और मानव निर्मित आपात स्थितियों के वर्गीकरण पर" (रूसी संघ का एकत्रित विधान, 2007, संख्या 22, अनुच्छेद 2640; 2011 , संख्या 21, अनुच्छेद 2971)।
3. स्वचालित नियंत्रण प्रणाली का सुरक्षा वर्ग तालिका के अनुसार निर्धारित किया जाता है:
महत्व का स्तर (महत्वपूर्णता)
स्वचालित नियंत्रण प्रणाली की सूचना सुरक्षा वर्ग
सुरक्षा वर्ग को स्वचालित नियंत्रण प्रणाली के प्रत्येक स्तर या अन्य खंडों, यदि कोई हो, के लिए अलग से सेट किया जा सकता है। एक स्वचालित नियंत्रण प्रणाली के वर्गीकरण के परिणाम एक वर्गीकरण अधिनियम में प्रलेखित हैं। सुरक्षा वर्ग की आवश्यकता एक स्वचालित नियंत्रण प्रणाली के निर्माण के लिए संदर्भ की शर्तों में शामिल है और (या) एक स्वचालित नियंत्रण प्रणाली के लिए एक सुरक्षा प्रणाली के निर्माण के लिए संदर्भ की शर्तें (निजी संदर्भ की शर्तें) विकसित की गई हैं। खाते में GOST 34.602 “सूचना प्रौद्योगिकी। स्वचालित प्रणालियों के लिए मानकों का सेट। एक स्वचालित प्रणाली के निर्माण के लिए संदर्भ की शर्तें "(इसके बाद - GOST 34.602), GOST R 51583, GOST R 51624 और संगठन मानक।
एक स्वचालित नियंत्रण प्रणाली (खंड) का सुरक्षा वर्ग केवल इसके आधुनिकीकरण की स्थिति में संशोधन के अधीन है, जिसके परिणामस्वरूप स्वचालित नियंत्रण प्रणाली (खंड) में संसाधित सूचना के महत्व (महत्वपूर्णता) का स्तर बदल गया है।
इन स्वचालित नियंत्रण प्रणालियों में आईएस के प्रावधान के लिए आवश्यकताओं को रूस के एफएसटीईसी दिनांक 14 मार्च, 2014 संख्या 31 के आदेश द्वारा विनियमित किया जाता है "उत्पादन और तकनीकी प्रक्रियाओं के लिए स्वचालित नियंत्रण प्रणालियों में आईएस के प्रावधान के लिए आवश्यकताओं के अनुमोदन पर गंभीर रूप से महत्वपूर्ण सुविधाओं, संभावित खतरनाक सुविधाओं के साथ-साथ लोगों के जीवन और स्वास्थ्य और प्राकृतिक पर्यावरण के लिए बढ़ते खतरे की सुविधाएं"।
1. व्यक्तिगत डेटा के प्रसंस्करण पर यह विनियमन व्यक्तिगत डेटा के क्षेत्र में रूसी संघ के कानून के उल्लंघन की पहचान करने और रोकने के उद्देश्य से प्रक्रियाओं को स्थापित करता है, साथ ही व्यक्तिगत डेटा को संसाधित करने के प्रत्येक उद्देश्य के लिए संसाधित व्यक्तिगत डेटा की सामग्री का निर्धारण करता है। , उन विषयों की श्रेणियां जिनके व्यक्तिगत डेटा को संसाधित किया जा रहा है, उनके प्रसंस्करण और भंडारण की शर्तें, प्रसंस्करण के उद्देश्यों की उपलब्धि पर या अन्य कानूनी आधारों की घटना पर विनाश की प्रक्रिया (बाद में विनियमन के रूप में संदर्भित)।
स्वास्थ्य सुविधाओं में व्यक्तिगत डेटा का प्रसंस्करण स्वचालन उपकरण का उपयोग करके या ऐसे उपकरणों का उपयोग किए बिना किया जाता है, जिसमें संग्रह, रिकॉर्डिंग, व्यवस्थितकरण, संचय, भंडारण, स्पष्टीकरण (अद्यतन करना, बदलना), निष्कर्षण, उपयोग, स्थानांतरण (वितरण, प्रावधान, पहुंच) शामिल हैं। , उन विषयों के व्यक्तिगत डेटा का प्रतिरूपण, अवरुद्ध करना, हटाना, नष्ट करना, जिनके व्यक्तिगत डेटा को स्वास्थ्य सुविधा में संसाधित किया जाता है।
2. 27 जुलाई, 2006 के संघीय कानून संख्या 152-एफजेड "व्यक्तिगत डेटा पर" के अनुसार, एक स्वास्थ्य सुविधा एक ऑपरेटर है जो व्यक्तिगत डेटा को संसाधित करता है, साथ ही व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्यों को निर्धारित करता है, व्यक्तिगत डेटा की संरचना संसाधित होने के लिए, व्यक्तिगत डेटा के साथ किए गए कार्य (संचालन) (बाद में व्यक्तिगत डेटा ऑपरेटर के रूप में संदर्भित)।
3. विनियमन 27 जुलाई, 2006 के संघीय कानून संख्या 152-FZ "व्यक्तिगत डेटा पर" (बाद में संघीय कानून के रूप में संदर्भित), Ch के अनुसार विकसित किया गया था। 13 दिसंबर, 2001 नंबर 197-FZ के रूसी संघ के श्रम संहिता के 14।
4. व्यक्तिगत डेटा के विषय स्वास्थ्य सुविधाओं के कर्मचारी, रूसी संघ के नागरिक हैं, जिसके बारे में जानकारी स्वास्थ्य सुविधाओं की सूचना प्रणाली में निहित है।
5. विनियमों के उद्देश्य हैं:
क) स्वास्थ्य सुविधाओं के कर्मचारियों के व्यक्तिगत डेटा के प्रसंस्करण में अधिकारों और स्वतंत्रता की सुरक्षा सुनिश्चित करना, स्वास्थ्य सुविधाओं की सूचना प्रणाली में निहित नागरिकों के व्यक्तिगत डेटा;
बी) व्यक्तिगत डेटा के प्रसंस्करण और संरक्षण को नियंत्रित करने वाले नियामक कानूनी कृत्यों का पालन करने में विफलता के लिए स्वास्थ्य सुविधाओं के कर्मचारियों की जिम्मेदारी स्थापित करना।
6. व्यक्तिगत डेटा के क्षेत्र में रूसी संघ के कानून के उल्लंघन को पहचानने और रोकने के उद्देश्य से प्रक्रियाएं:
ए) व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताओं के साथ संघीय कानून और इसके अनुसार अपनाए गए नियामक कानूनी कृत्यों के साथ व्यक्तिगत डेटा के प्रसंस्करण के अनुपालन पर आंतरिक नियंत्रण का प्रयोग करना;
बी) संघीय कानून के उल्लंघन की स्थिति में व्यक्तिगत डेटा विषयों को होने वाले नुकसान का आकलन, उक्त नुकसान का अनुपात और स्वास्थ्य सुविधाओं द्वारा किए गए उपायों का उद्देश्य व्यक्तिगत दायित्वों की पूर्ति सुनिश्चित करना है संघीय कानून द्वारा प्रदान किया गया डेटा ऑपरेटर;
ग) व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताओं के साथ व्यक्तिगत डेटा पर रूसी संघ के कानून के प्रावधानों के साथ व्यक्तिगत डेटा के प्रसंस्करण में सीधे तौर पर शामिल स्वास्थ्य सुविधाओं के कर्मचारियों का परिचय।
7. व्यक्तिगत डेटा के ऑपरेटर द्वारा किए गए व्यक्तिगत डेटा के अवैध प्रसंस्करण का खुलासा करने के मामले में, व्यक्तिगत डेटा के ऑपरेटर, व्यक्तिगत डेटा के अवैध प्रसंस्करण का पता लगाने की तारीख से 3 कार्य दिवसों से अधिक की अवधि के भीतर, रोकने के लिए बाध्य है व्यक्तिगत डेटा का अवैध प्रसंस्करण या व्यक्तिगत डेटा के अवैध प्रसंस्करण की समाप्ति सुनिश्चित करना।
यदि व्यक्तिगत डेटा के प्रसंस्करण की वैधता सुनिश्चित करना असंभव है, तो व्यक्तिगत डेटा के ऑपरेटर, व्यक्तिगत डेटा के अवैध प्रसंस्करण का पता लगाने की तारीख से 10 कार्य दिवसों से अधिक की अवधि के भीतर, ऐसे व्यक्तिगत डेटा को नष्ट करने या सुनिश्चित करने के लिए बाध्य है उनका विनाश। व्यक्तिगत डेटा का ऑपरेटर व्यक्तिगत डेटा के विषय या उसके प्रतिनिधि को व्यक्तिगत डेटा के अवैध प्रसंस्करण को समाप्त करने या व्यक्तिगत डेटा के विनाश के बारे में सूचित करने के लिए बाध्य है।
8. यदि व्यक्तिगत डेटा प्रसंस्करण का लक्ष्य प्राप्त किया जाता है, तो व्यक्तिगत डेटा ऑपरेटर व्यक्तिगत डेटा को संसाधित करने के लक्ष्य को प्राप्त करने की तारीख से 30 कार्य दिवसों से अधिक नहीं की अवधि के भीतर व्यक्तिगत डेटा को संसाधित करना बंद करने और व्यक्तिगत डेटा को नष्ट करने के लिए बाध्य है।
9. इस घटना में कि व्यक्तिगत डेटा विषय अपने व्यक्तिगत डेटा के प्रसंस्करण के लिए सहमति वापस ले लेता है, व्यक्तिगत डेटा ऑपरेटर व्यक्तिगत डेटा को संसाधित करना बंद करने और व्यक्तिगत डेटा को नष्ट करने की अवधि के भीतर प्राप्त होने की तारीख से तीन कार्य दिवसों से अधिक नहीं होने के लिए बाध्य है। निकासी कहा। व्यक्तिगत डेटा का संचालक तीन कार्य दिवसों के भीतर व्यक्तिगत डेटा के विनाश के बारे में व्यक्तिगत डेटा के विषय को सूचित करने के लिए बाध्य है।
10. यदि नियमों के पैराग्राफ 7-9 में निर्दिष्ट अवधि के भीतर व्यक्तिगत डेटा को नष्ट करना संभव नहीं है, तो व्यक्तिगत डेटा ऑपरेटर ऐसे व्यक्तिगत डेटा को ब्लॉक कर देता है, 6 महीने के भीतर व्यक्तिगत डेटा का विनाश सुनिश्चित करता है, जब तक कि एक और अवधि स्थापित नहीं की जाती है रूसी संघ का वर्तमान कानून।
11. व्यक्तिगत डेटा का भंडारण एक ऐसे रूप में किया जाना चाहिए जो व्यक्तिगत डेटा के विषय को निर्धारित करने की अनुमति देता है, व्यक्तिगत डेटा को संग्रहीत करने के उद्देश्य से आवश्यकता से अधिक नहीं, यदि व्यक्तिगत डेटा के भंडारण की अवधि संघीय कानून द्वारा स्थापित नहीं की जाती है .
संसाधित व्यक्तिगत डेटा व्यक्तिगत डेटा को संसाधित करने के लक्ष्यों तक पहुंचने या इन लक्ष्यों को प्राप्त करने की आवश्यकता के नुकसान के मामले में विनाश या प्रतिरूपण के अधीन है, जब तक कि अन्यथा संघीय कानून द्वारा प्रदान नहीं किया जाता है।
12. स्वास्थ्य सुविधाओं की सूचना प्रणाली (बाद में व्यक्तिगत डेटा सूचना प्रणाली के रूप में संदर्भित) में व्यक्तिगत डेटा का प्रसंस्करण रूसी संघ की सरकार के दिनांक 01.11.2020 के डिक्री के अनुसार किया जाता है। 2012 नंबर 1119 "व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताओं के अनुमोदन पर।"
13. व्यक्तिगत डेटा सूचना प्रणाली में व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करना किसके द्वारा प्राप्त किया जाता है:
क) व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए खतरों का निर्धारण;
बी) व्यक्तिगत डेटा सूचना प्रणाली में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए संगठनात्मक और तकनीकी उपायों का आवेदन;
ग) सूचना सुरक्षा उपकरणों का उपयोग जिन्होंने स्थापित प्रक्रिया के अनुसार अनुरूपता मूल्यांकन प्रक्रिया को पारित किया है;
डी) व्यक्तिगत डेटा सूचना प्रणाली को चालू करने से पहले व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए किए गए उपायों की प्रभावशीलता का आकलन करना;
ई) व्यक्तिगत डेटा के मशीन वाहकों का लेखा-जोखा;
च) व्यक्तिगत डेटा तक अनधिकृत पहुंच के तथ्यों का पता लगाना और अनधिकृत पहुंच को रोकने के उपाय करना;
छ) अनधिकृत पहुंच के कारण संशोधित या नष्ट किए गए व्यक्तिगत डेटा की वसूली;
एच) व्यक्तिगत डेटा सूचना प्रणाली में संसाधित व्यक्तिगत डेटा तक पहुंच नियम (पासवर्ड, लॉगिन, आदि) स्थापित करना, साथ ही व्यक्तिगत डेटा सूचना प्रणालियों में व्यक्तिगत डेटा के साथ किए गए सभी कार्यों का पंजीकरण और लेखांकन सुनिश्चित करना।
14. व्यक्तिगत डेटा सूचना प्रणाली तक पहुंच के साथ स्वास्थ्य सुविधाओं के कर्मचारियों के लिए आवश्यक है:
ए) उपयोग किए गए सॉफ़्टवेयर और हार्डवेयर तक अनधिकृत पहुंच को रोकने के लिए उपाय करना;
बी) व्यक्तिगत डेटा वाले इलेक्ट्रॉनिक मीडिया का रिकॉर्ड रखना और उन्हें धातु की अलमारियाँ या तिजोरियों में संग्रहीत करना;
ग) व्यक्तिगत डेटा के साथ काम करने की प्रक्रिया द्वारा विनियमित मामलों में केवल इलेक्ट्रॉनिक मीडिया पर व्यक्तिगत डेटा (अलग फाइलें, डेटाबेस) रिकॉर्ड करने के लिए;
डी) सूचना प्रणाली तक पहुंच के लिए स्थापित प्रक्रिया और नियमों का पालन करना, व्यक्तिगत डेटा सूचना प्रणाली में व्यक्तिगत कोड और पासवर्ड के हस्तांतरण को रोकना;
ई) व्यक्तिगत डेटा सूचना प्रणाली तक पहुंच के लिए कोड और पासवर्ड सुरक्षित करने के लिए सभी आवश्यक उपाय करें;
च) व्यक्तिगत डेटा की सूचना प्रणालियों के साथ उनकी शक्तियों के दायरे में काम करें, उन्हें पार करने की अनुमति न दें;
छ) कार्यात्मक कर्तव्यों और सूचना सुरक्षा आवश्यकताओं को पूरा करने के लिए आवश्यक सीमा तक एंटी-वायरस प्रोग्राम के साथ काम करने का कौशल रखता है।
15. जब स्वास्थ्य सुविधाओं के कर्मचारी व्यक्तिगत डेटा सूचना प्रणाली में काम करते हैं, तो यह निषिद्ध है:
ए) व्यक्तिगत डेटा सूचना प्रणाली तक पहुंच के लिए कोड और पासवर्ड के मूल्यों को रिकॉर्ड करें;
बी) अन्य व्यक्तियों को व्यक्तिगत डेटा सूचना प्रणाली तक पहुंच के लिए कोड और पासवर्ड स्थानांतरित करना;
ग) व्यक्तिगत डेटा सूचना प्रणाली तक पहुंच के लिए अन्य उपयोगकर्ताओं के कोड और पासवर्ड काम में उपयोग करें;
डी) अन्य उपयोगकर्ताओं के व्यक्तिगत डेटा की सूचना प्रणाली तक पहुंच के लिए कोड और पासवर्ड का चयन करें;
ई) व्यक्तिगत डेटा के साथ इलेक्ट्रॉनिक मीडिया पर तीसरे पक्ष के कार्यक्रमों और डेटा को रिकॉर्ड करें;
एफ) इलेक्ट्रॉनिक मीडिया के लिए बेहिसाब व्यक्तिगत डेटा के साथ जानकारी की प्रतिलिपि बनाएँ;
छ) चिकित्सा सुविधा के क्षेत्र के बाहर व्यक्तिगत डेटा के साथ इलेक्ट्रॉनिक मीडिया को बाहर निकालना;
एच) व्यक्तिगत कंप्यूटर तक पहुंच को अवरुद्ध करने के लिए हार्डवेयर या सॉफ़्टवेयर का उपयोग किए बिना व्यक्तिगत कंप्यूटर के साथ कार्यस्थल को छोड़ दें;
i) व्यक्तिगत कंप्यूटर पर किसी भी ऐसे सॉफ़्टवेयर उत्पाद को लाना, स्वतंत्र रूप से स्थापित और संचालित करना जो संचालन के लिए स्वीकार नहीं किए जाते हैं;
j) व्यक्तिगत कंप्यूटरों को खोलना, अलग करना, मरम्मत करना, डिजाइन में बदलाव करना, गैर-मानक ब्लॉक और उपकरणों को जोड़ना;
बी) खुले संचार चैनलों (फैक्स, ई-मेल, आदि) के माध्यम से सुरक्षा के अधीन व्यक्तिगत डेटा युक्त जानकारी स्थानांतरित करें, साथ ही खुले पत्राचार में सुरक्षा के अधीन व्यक्तिगत डेटा युक्त जानकारी का उपयोग करें और फोन द्वारा बातचीत करते समय।
16. स्वास्थ्य सुविधाओं के कर्मचारियों के दस्तावेजों का संग्रह, व्यवस्थितकरण, संचय, भंडारण, अद्यतन, संशोधन, स्थानांतरण, विनाश (बाद में प्रसंस्करण के रूप में संदर्भित),
17. सभी व्यक्तिगत डेटा सीधे स्वास्थ्य सुविधा के कर्मचारियों से प्राप्त किए जाने चाहिए।
18. व्यक्तिगत डेटा वाले दस्तावेजों को कागज काटने की मशीन में काटकर नष्ट कर दिया जाता है।
19. व्यक्तिगत डेटा वाले कागजी दस्तावेजों को रिकॉर्ड करने के लिए जिम्मेदार कर्मचारी को बदलते समय, इन सामग्रियों की स्वीकृति और वितरण का एक अधिनियम तैयार किया जाता है, जिसे स्वास्थ्य सुविधा की संबंधित संरचनात्मक इकाई के प्रमुख द्वारा अनुमोदित किया जाता है।
20. व्यक्तिगत डेटा वाले कागजी दस्तावेजों के साथ काम करते समय, व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत स्वास्थ्य सुविधाओं के कर्मचारियों की आवश्यकता होती है:
ए) केवल उन दस्तावेजों से परिचित होने के लिए जिनमें व्यक्तिगत डेटा शामिल है, जिन तक व्यावसायिक आवश्यकता के अनुसार पहुंच प्राप्त की गई थी;
बी) गोपनीय जानकारी रखें जो उन्हें ज्ञात हो गई है, जिसमें व्यक्तिगत डेटा सुरक्षा के अधीन है, तत्काल पर्यवेक्षक को व्यक्तिगत डेटा के साथ काम करने की प्रक्रिया के उल्लंघन और उन तक अनधिकृत पहुंच के प्रयासों के तथ्यों के बारे में सूचित करें;
ग) व्यक्तिगत डेटा वाले दस्तावेजों के काम, लेखांकन और भंडारण के लिए स्थापित प्रक्रिया के प्रतिबद्ध उल्लंघनों के साथ-साथ सुरक्षा के अधीन व्यक्तिगत डेटा युक्त जानकारी के प्रकटीकरण के तथ्यों के बारे में, तत्काल पर्यवेक्षकों को लिखित स्पष्टीकरण प्रदान करें।
21. व्यक्तिगत डेटा वाली जानकारी के प्रकटीकरण या हानि के दोषी कर्मचारी रूसी संघ के कानून के अनुसार उत्तरदायी हैं।
22. इन नियमों की आवश्यकताओं की स्वास्थ्य सुविधा के कर्मचारियों द्वारा पूर्ति का नियंत्रण प्रबंधकों को सौंपा गया है संरचनात्मक विभाजनव्यक्तिगत डेटा के प्रसंस्करण के आयोजन के लिए एलपीआई और एलपीआई के आदेश द्वारा नियुक्त एक जिम्मेदार व्यक्ति।
गण
नियंत्रित क्षेत्र की सीमा निर्धारित करने पर
व्यक्तिगत डेटा के प्रसंस्करण के दौरान अनधिकृत व्यक्तियों की अनियंत्रित उपस्थिति को बाहर करने के लिए और 27 जुलाई, 2006 के संघीय कानून संख्या 152-FZ "व्यक्तिगत डेटा पर", "तकनीकी सुरक्षा के लिए विशेष आवश्यकताएं और सिफारिशें" की आवश्यकताओं के अनुसार गोपनीय जानकारी का", 30 अगस्त 2002 के रूस के राज्य तकनीकी आयोग के आदेश द्वारा अनुमोदित संख्या 282, रूस के FSTEC के आदेश दिनांक 18 फरवरी, 2013 संख्या 21 "संगठनात्मक और तकनीकी की संरचना और सामग्री के अनुमोदन पर" व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के उपाय", रूस के एफएसबी की सिफारिशें" दिशा-निर्देशऑटोमेशन टूल का उपयोग करके व्यक्तिगत डेटा सूचना प्रणाली में उनके प्रसंस्करण के दौरान क्रिप्टोग्राफ़िक टूल का उपयोग करके व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने पर ”(21 फरवरी, 2008 नंबर 149/54-144 पर रूसी संघ की संघीय सुरक्षा सेवा द्वारा अनुमोदित)
मैं आदेश:
2. स्वास्थ्य सुविधा कर्मियों के परिसर में पहुंच के लिए प्रक्रिया को मंजूरी दें जहां व्यक्तिगत डेटा संसाधित किया जाता है।
3. इस आदेश के अद्यतनीकरण और कार्यान्वयन पर नियंत्रण ______________________________________________________________________ को सौंपा गया है।
(पद, कर्मचारी का पूरा नाम)
आदेश का परिशिष्ट
खांटी-मानसीस्क ऑटोनॉमस ऑक्रग के सार्वजनिक और बाहरी संबंध विभाग का आदेश - युगा
संख्या 169 दिनांक 28 मई 2015
संलग्नक:
दस्तावेज़ डाउनलोड करें (.pdf प्रारूप)(0.09MB)
दस्तावेज़ डाउनलोड करें (.doc प्रारूप)(1.39MB)
व्यक्तिगत डेटा सूचना प्रणाली "कर्मचारी" के नियंत्रित क्षेत्र की सीमाओं को स्थापित करने पर
Khanty-Mansiysk
27 जुलाई, 2006 के रूसी संघ के संघीय कानून की आवश्यकताओं के अनुसार, नंबर 152-एफजेड "व्यक्तिगत डेटा पर", रूसी संघ की सरकार का फरमान 01 नवंबर, 2012 नंबर 1119 "आवश्यकताओं के अनुमोदन पर" व्यक्तिगत डेटा सूचना प्रणाली में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए", रूस के FSTEC का आदेश 18 फरवरी, 2013 नंबर 21 "व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए संगठनात्मक और तकनीकी उपायों की संरचना और सामग्री के अनुमोदन पर" व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान" और रूस के FSTEC के आदेश दिनांक 11 फरवरी, 2013 नंबर 17 "राज्य सूचना प्रणालियों में निहित एक राज्य रहस्य का गठन नहीं करने वाली सूचना की सुरक्षा के लिए आवश्यकताओं के अनुमोदन पर"
मैं आदेश:
1. नियंत्रित क्षेत्र की सीमाओं को स्थापित करें, जिसके भीतर स्थिर तकनीकी का अर्थ है सूचना प्रसंस्करण और सूचना की सुरक्षा के साधन, साथ ही परिसर संख्या के बाहरी संलग्न संरचनाओं पर व्यक्तिगत डेटा "कर्मचारियों" की सूचना प्रणाली के कामकाज को सुनिश्चित करने के साधन। 303, संख्या 307, 312 इस आदेश के परिशिष्ट 1 के अनुसार स्थायी रूप से स्थित हैं।
2. खंटी-मानसीस्क ऑटोनॉमस ऑक्रग - युगा के सार्वजनिक और बाहरी संबंध विभाग के कर्मचारियों की उपस्थिति और इस आदेश द्वारा स्थापित नियंत्रित क्षेत्र के भीतर आगंतुकों की उपस्थिति "खांटी के बजटीय संस्थान की सुरक्षा सुनिश्चित करने के निर्देश" द्वारा निर्धारित की जाती है। -मानसीस्क ऑटोनॉमस ऑक्रग - युगरा" कार्यालय भवनों के संचालन के लिए निदेशालय "।
3. कार्यालय भवनों के संचालन के लिए "खांटी-मानसी स्वायत्त ऑक्रग-युगरा के बजटीय संस्थान की सुरक्षा सुनिश्चित करने के निर्देश" के निष्पादन पर नियंत्रण, प्रशासनिक प्रबंधन शेवत्सोव के संगठनात्मक विभाग के इंजीनियर को सौंपा गया है। यूरी व्लादिमीरोविच।
4. इस आदेश के परिशिष्ट 2 के अनुसार खांटी-मानसीस्क स्वायत्त ऑक्रग-युगरा के सार्वजनिक और बाहरी संबंध विभाग के इच्छुक कर्मचारियों के साथ हस्ताक्षर के खिलाफ प्रशासनिक विभाग के संगठनात्मक विभाग से परिचित कराना।
5. मैं इस आदेश के निष्पादन पर नियंत्रण रखता हूं।
|
विभाग के निदेशक आई.ए. वेरखोवस्की
आवेदन संख्या 1
और युगराग के बाहरी संबंध
व्यक्तिगत डेटा सूचना प्रणाली "कर्मचारी" के नियंत्रित क्षेत्र की सीमाएँ
चित्र 1 - नियंत्रित क्षेत्र की सीमा, कार्यालय संख्या 312
चित्र 2 - नियंत्रित क्षेत्र की सीमा, कार्यालय संख्या 303
चित्र 3 - नियंत्रित क्षेत्र की सीमा, कार्यालय संख्या 307
आवेदन संख्या 2
लोक विभाग के आदेश पर
और युगराग के बाहरी संबंध
कर्मचारियों का परिचय
आदेश के साथ "व्यक्तिगत डेटा सूचना प्रणाली "कर्मचारी" के नियंत्रित क्षेत्र की सीमाओं को स्थापित करने पर
आदेश के साथ "व्यक्तिगत डेटा की सूचना प्रणाली के नियंत्रित क्षेत्र की सीमाओं की स्थापना पर" कर्मचारी "दिनांक" ___ "________ 2015। नहीं। __________ निम्नलिखित कर्मचारी परिचित हैं:
प्रशासनिक विभाग के प्रमुख _____________ पेट्रोवा ई.वी. ________
(हस्ताक्षर) (तारीख) विभागाध्यक्ष
प्रशासनिक विभाग ____________ ज़खारोवा टी.ए.____________
(हस्ताक्षर की तारीख)
वित्तीय और आर्थिक सहायता
प्रशासनिक विभाग ____________ तिखोनोवा एस.ए.___________
(हस्ताक्षर की तारीख)
विभाग सलाहकार
वित्तीय और आर्थिक सहायता
प्रशासनिक विभाग ____________ गीज़लर I.V.___________
(हस्ताक्षर की तारीख)
विभाग के मुख्य विशेषज्ञ
वित्तीय और आर्थिक सहायता
प्रशासनिक विभाग ___________ शिशेलाकिना जी.एन.
(हस्ताक्षर की तारीख)
विभाग सलाहकार
कानूनी और कार्मिक कार्य
प्रशासनिक विभाग ____________ कोल्ट्सोवा ईजी ___________
(हस्ताक्षर की तारीख)
विभाग के मुख्य विशेषज्ञ-विशेषज्ञ
कानूनी और कार्मिक कार्य
प्रशासनिक विभाग __________ प्लास्टिनीना यू.एस.________ (हस्ताक्षर) (तारीख)
विभाग के मुख्य विशेषज्ञ-विशेषज्ञ
कानूनी और कार्मिक कार्य
प्रशासनिक विभाग ____________ किरिवा I.A.____________ (हस्ताक्षर) (तारीख)
संगठनात्मक विभाग
प्रशासनिक विभाग ____________ शेवत्सोव यू.वी.____________
(हस्ताक्षर की तारीख)
द्वारा तैयार:
संगठनात्मक विभाग के प्रमुख
प्रशासनिक विभाग आई.वी. सोकोलोवा
माना:
विभाग के उप निदेशक ओ.आई. बरीच्किन
डिप्टी मुखिया
प्रशासनिक कार्यालय
