Регламент проведения Министерством здравоохранения Чувашской Республики ведомственного контроля в сфере защиты информации
Об утверждении Регламента проведения Министерством здравоохранения Чувашской Республики ведомственного контроля в сфере защиты информации |
В соответствии с пунктом 2.2.6 Положения о системе защиты информации в Чувашской Республике, утвержденного Указом Главы Чувашской Республики от 15 января 2015 г. № 3-24 и Положением о Министерстве здравоохранения Чувашской Республики, утвержденного постановлением Кабинета Министров Чувашской Республики от 14 октября 2015 г. № 365, в целях совершенствования ведомственного контроля в сфере защиты информации п р и к а з ы в а ю:
- Утвердить прилагаемый Регламент проведения Министерством здравоохранения Чувашской Республики ведомственного контроля в сфере защиты информации.
- Контроль за исполнением настоящего приказа оставляю за собой.
Заместитель Председателя
Кабинета Министров
Чувашской Республики - министр В.Н. Викторов
Утвержден приказом
Министерства здравоохранения
Чувашской Республики
от___________ 2019 г. № ______
Регламент
проведения Министерством здравоохранения Чувашской Республики ведомственного контроля в сфере защиты информации
- Общие положения
1.1. Регламент проведения Министерством здравоохранения Чувашской Республики ведомственного контроля в сфере защиты информации
(далее – Регламент) определяет процедуру осуществления Министерством здравоохранения Чувашской Республики (далее – Министерство) ведомственного контроля в сфере защиты информации (далее – защита информации) для обеспечения защиты информации Чувашской Республики (далее – ведомственный контроль) за соблюдением законодательства Российской Федерации и иных нормативных правовых актов об информации, информационных технологиях и о защите информации (далее - законодательство Российской Федерации о защите информации) в отношении подведомственных Министерству медицинских организаций (далее – медицинская организация).
1.2. Настоящий Регламент разработан с учетом положений Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также в соответствии с Положением о системе защиты информации в Чувашской Республике, утвержденного Указом Главы Чувашской Республики от 15 января 2015 г. № 3-24 и Положением о Министерстве здравоохранения Чувашской Республики, утвержденного постановлением Кабинета Министров Чувашской Республики от 14 октября 2015 г. № 365, в целях совершенствования ведомственного контроля в сфере защиты информации в целях повышения эффективности, результативности в сфере информационной безопасности, предупреждения и своевременного выявления нарушений законодательства Российской Федерации в сфере защиты информации.
1.3. Предметом ведомственного контроля является соблюдение законодательства Российской Федерации в сфере защиты информации.
1.4. Ведомственный контроль включает проведение проверок организационной и технической части:
соблюдения требований по наличию действующего документа о назначении ответственного лица за организацию обработки персональных данных;
соблюдения требований по наличию действующего документа о назначении лица, ответственного за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных (администратора безопасности информационной системы персональных данных);
соблюдения требований по наличию действующего документа о назначении постоянной комиссии для установления уровней защищенности персональных данных, для уничтожения носителей персональных данных, проведения внутренних проверок;
соблюдения требований порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну;
соблюдения требований по наличию и ведению журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов;
соблюдения требований по наличию и ведению журнала учета машинных носителей персональных данных;
соблюдение требований по наличию актуального перечня сотрудников, допущенных к обработке персональных данных;
соблюдение требований по наличию актуального перечня информационных систем персональных данных;
соблюдение требований по наличию актуального перечня персональных данных;
соблюдение требований по наличию внутренних организационно-распорядительных документов (Правила, положения, инструкции, регламенты, план мероприятий);
соблюдение требований по наличию актуальных документов, определяющих политику обработки персональных данных в общедоступных источниках;
соблюдение требований по наличию документов, подтверждающих факт ознакомления допущенных к обработке сотрудников с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, с документами, определяющими политику оператора в отношении обработки персональных данных, с локальными актами по вопросам обработки персональных данных и (или) обучения указанных сотрудников;
соблюдение требований по наличию актуального (полного и достоверного) отправленного в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) Уведомления об обработке персональных данных (письма о внесении изменений в Уведомление);
соблюдение требований по наличию согласий субъектов персональных данных на обработку их персональных данных;
соблюдение требований по наличию актуальных актов установления уровней защищенности персональных данных при их обработке в информационных системах персональных данных;
соблюдение требований по наличию соглашений (существенных условий договоров) с контрагентами о соблюдении конфиденциальности передаваемых персональных данных (в случае такой передачи по договору);
соблюдение требований по наличию согласий субъектов персональных данных на опубликование их персональных данных в общедоступных источниках;
соблюдение требований по организации режима обеспечения безопасности помещений, в которых размещена информационная система персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
соблюдение требований по организации режима хранения материальных носителей, при котором должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ;
соблюдение требований по охране и организации режима в помещениях, где установлены средства криптографической защиты информации или хранятся ключевые документы к ним;
соблюдение правил работы (хранения и уничтожения) с носителями персональных данных;
соблюдение требований по наличию плана мероприятий по обеспечению безопасности персональных данных и ведение журнала внутренних проверок в области обработки персональных данных;
своевременность проведения мероприятий по обезличиванию персональных данных;
своевременность проведения мероприятий по уничтожению персональных данных;
соблюдение порядка разграничения прав доступа к информационным системам персональных данных;
соблюдение требований применения антивирусной защиты в информационных системах персональных данных;
соблюдение требований применение средств резервного копирования и восстановления в информационных системах персональных данных;
применение надежных паролей для доступа к информационным системам персональных данных;
соблюдение требований применения шифровальных средств для защиты информации при передаче персональных данных по каналам связи за пределы контролируемой зоны организации;
соблюдение требований применения сертифицированных средств защиты в информационных системах персональных данных;
расположение технических средств информационных систем персональных данных в пределах контролируемой зоны, исключающее случайный или преднамеренный несанкционированный просмотр выводимых данных;
соблюдение пользователями правил работы со съемными машинными носителями персональных данных;
соблюдение пользователями правил работы и условий хранения носителей ключевой информации;
соблюдение пользователями правил работы с шифровальными средствами;
соблюдение пользователями правил работы со средствами защиты информации в информационных системах персональных данных;
соблюдения сотрудниками правил доступа в помещения, в которых происходит обработка и хранение бумажных носителей персональных данных, а также в которых расположены компоненты информационных систем персональных данных;
своевременность выявления, анализа уязвимостей информационных систем и оперативность устранения вновь выявленных уязвимостей;
контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации;
контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации;
контроль состава технических средств, программного обеспечения и средств защиты информации.
- Порядок организации и проведения проверок
2.1. Плановые проверки проводятся в соответствии с ежегодным планом проведения плановых проверок проверяемых медицинских организаций (далее – План проверок), утвержденным приказом Министерства. В отношении каждой проверяемой медицинской организации плановые проверки проводятся не чаще чем один раз в год.
2.2. План проверок должен содержать:
наименование, и адрес местонахождения медицинской организации, в отношении которого планируется проведение проверки;
предмет проверки (проверяемые вопросы), в том числе период времени, за который проверяется деятельность медицинской организации;
вид проверки (выездная или документарная);
даты начала и окончания проведения проверки.
2.3. План проверок утверждается заместителем Председателя Кабинета Министров Чувашской Республики – министром здравоохранения Чувашской Республики (далее – министр) (лицом, исполняющим его обязанности) до 1 ноября года, предшествующего году проведения плановой проверки. Внесение изменений в План проверок допускается по решению министра (лица, исполняющего его обязанности) не позднее чем за один месяц до даты начала проведения проверки, в отношении которой вносятся такие изменения.
2.4. Основанием для включения плановой проверки в План проверок является истечение одного года со дня окончания проведения последней плановой проверки проверяемой медицинской организации.
2.5. План проверок, а также вносимые в него изменения доводятся до сведения проверяемой медицинской организации посредством их размещения на официальном сайте Министерства на Портале органов власти Чувашской Республики в информационно-телекоммуникационной сети «Интернет» в течение пяти рабочих дней со дня их утверждения.
2.6. Внеплановая проверка проводится по следующим основаниям:
поступление информации о нарушении проверяемой медицинской организации законодательства Российской Федерации в сфере защиты информации;
по поручению Главы Чувашской Республики, Председателя Кабинета Министров Чувашской Республики, Руководителя Администрации Главы Чувашской Республики, министра (лица, исполняющего его обязанности);
обращение правоохранительных и иных государственных органов;
в случае отсутствия сведений об исполнении медицинской организации плана устранения выявленных нарушений, выданного должностным лицом, уполномоченным на проведение проверки, в соответствии с пунктом 2.20 настоящего Регламента.
2.7. Документарная проверка проводится по месту нахождения Министерства на основании представленных по его запросу, отчетности и прочей документации, касающейся предмета проверки (далее – запрос).
Запрос должен содержать четкое изложение поставленных вопросов, перечень необходимых к истребованию документов, материалов и сведений, а также срок их представления.
Для проведения проверки представляются копии документов, заверенные уполномоченными должностными лицами проверяемой медицинской организации.
Информация, касающаяся вопросов проверки, также может быть получена из иных источников, в том числе автоматизированных информационных систем, официальных сайтов в информационно-телекоммуникационной сети «Интернет» и официальных печатных изданий.
Запросы о представлении документов и информации вручаются руководителю медицинской организации, иным уполномоченным представителям проверяемой медицинской организации либо направляются заказным почтовым отправлением с уведомлением о вручении или иным способом, свидетельствующим о дате его получения адресатом.
Срок представления документов и информации устанавливается в запросе.
Выездная проверка проводится по месту нахождения медицинской организации.
2.8. Решение о виде мероприятия ведомственного контроля принимается при формировании Плана проверок, а при назначении внеплановой проверки – определяется в приказе о проведении такой проверки.
2.9. Проведение плановой или внеплановой проверки осуществляется сектором мобилизационной работы и защиты информации Министерства здравоохранения Чувашской Республики с привлечением сотрудников бюджетного учреждения Чувашской Республики «Медицинский информационно-аналитический центр» Министерства здравоохранения Чувашской Республики (далее – уполномоченные лица).
2.10. Уполномоченные лица должны иметь высшее образование или дополнительное профессиональное образование в сфере информационной безопасности.
2.11. При проведении проверки уполномоченные лица имеют право:
в случае осуществления выездной проверки на беспрепятственный доступ на территорию, в помещения, здания проверяемой медицинской организации (в необходимых случаях на фотосъемку, видеозапись, копирование документов) при предъявлении ими служебного удостоверения и уведомления о проведении проверки (далее – уведомление);
на истребование необходимых для проведения проверки документов;
на получение необходимых объяснений в письменной форме, в форме электронного документа и (или) устной форме по вопросам проводимой проверки.
2.12. При проведении проверки уполномоченные лица обязаны:
проводить проверки на основании и в соответствии с приказом о проведении проверки;
посещать территории, помещения и здания медицинской организации в целях проведения проверки только во время исполнения служебных обязанностей с соблюдением установленного срока проведения проверки;
знакомить представителя проверяемой медицинской организации с копией приказа о проведении проверки, а также с результатами проверки.
2.13. Приказ о проведении проверки должен содержать:
решение о проведении проверки;
сведения о должностном лице, уполномоченном на проведение проверки, с указанием фамилии, имени, отчества (при наличии) и его должности;
предмет проверки (проверяемые вопросы), в том числе период времени, за который проверяется деятельность медицинской организации;
наименование медицинской организации;
цель и основания проведения проверки (при проведении внеплановой проверки указывается основание ее проведения в соответствии с пунктом 2.6 настоящего Регламента);
вид проверки (выездная или документарная проверка; плановая или внеплановая);
даты начала и окончания проведения проверки;
срок, в течение которого должен быть составлен акт проверки и направлен на ознакомление министру (лицу, исполняющему его обязанности).
2.14. Министерство уведомляет проверяемую медицинскую организацию о проведении проверки путем направления ему уведомления и копии приказа о проведении проверки по почте заказным письмом с уведомлением о вручении либо в форме электронного документа по адресу электронной почты медицинской организации, по которому Министерство осуществляет переписку, либо вручается медицинской организации под расписку.
2.15. Уведомление направляется не позднее 10 рабочих дней до даты начала проведения проверки. Уведомление о проведении внеплановой проверки направляется не позднее 2 рабочих дней до даты начала проведения проверки.
2.16. Уведомление должно содержать:
наименование медицинской организации, которому адресовано данное уведомление;
предмет проверки (проверяемые вопросы), в том числе период времени, за который проверяется деятельность данной медицинской организации;
вид проверки (выездная или документарная);
даты начала и окончания проведения проверки;
перечень уполномоченных лиц;
запрос о предоставлении документов, информации, материальных средств, необходимых для осуществления проверки;
информацию о необходимости обеспечения условий для проведения проверки, в том числе о предоставлении помещения для работы, средств связи и иных необходимых средств и оборудования для проведения такой проверки.
2.17. Срок проведения проверки не может составлять более чем 15 календарных дней и может быть продлен только один раз не более чем на 15 календарных дней по решению министра (лица, исполняющего его обязанности).
2.18. По результатам проведенной проверки в срок, не превышающий 5 рабочих дней с даты окончания проведения проверки, составляется акт проверки, который подписывается уполномоченным лицом, и представляется министру (лицу, исполняющему его обязанности).
2.19. При наличии возражений или замечаний по выводам, изложенным в акте проверки, медицинская организация в срок, не превышающий 5 рабочих дней с даты получения акта проверки, вправе представить в Министерство в письменной форме возражения или замечания в отношении акта проверки, которые приобщаются к материалам проверки.
2.20. В случае установления по результатам проверки нарушения у проверяемой медицинской организации законодательства Российской Федерации в сфере защиты информации уполномоченным лицом, в срок, не превышающий 3 рабочих дней с даты окончания срока, указанного в пункте 2.19 настоящего Регламента, разрабатывается и утверждается план устранения выявленных нарушений, который подлежит направлению в течение 2 рабочих дней с даты его утверждения медицинской организации по почте заказным письмом с уведомлением о вручении либо в форме электронного документа по адресу электронной почты медицинской организации, по которому Министерство осуществляет переписку, либо вручается медицинской организации под расписку.
В случае выявления по результатам проверки действий (бездействия), содержащих признаки административного правонарушения, материалы проверки подлежат направлению в Министерство здравоохранения Чувашской Республики, а при наличии признаков состава уголовного преступления - в правоохранительные органы.
Указанные материалы проверки должны быть направлены в Министерство или правоохранительные органы в течение 5 рабочих дней со дня оформления акта проверки.
2.21. План устранения выявленных нарушений должен содержать указание на установленные уполномоченным лицом нарушения, способы и сроки устранения указанных нарушений.
2.22. Материалы по результатам проверки, в том числе план устранения выявленных нарушений, а также иные документы и информация, полученные (разработанные) в ходе проверки, хранятся Министерством не менее 3 лет.