Письмо от 24.08.2010 г № 2-18-71
Об обеспечении выполнения требований законодательства Российской Федерации в части безопасности персональных данных в учреждениях здравоохранения города Москвы
Для обеспечения безусловного выполнения требований законодательства Российской Федерации в части безопасности персональных данных Департамент здравоохранения осуществил перемещение бюджетных ассигнований по статье "Связь - информатика" в управления здравоохранения административных округов.
Перемещаемые средства совместно со средствами управлений здравоохранения должны быть использованы для организации работ по защите персональных данных в учреждениях здравоохранения города Москвы. До 29.10.2010 учреждения здравоохранения обязаны:
- организовать проведение внутренней проверки и составить документы: "Перечень автоматизированных рабочих мест, участвующих в обработке персональных данных"; "Перечень программного обеспечения, участвующего в обработке персональных данных"; "Характеристика ЛВС"; "Перечень каналов связи"; "Характеристика базы данных"; "Принципиальная схема обмена персональными данными внутри учреждения"; "Принципиальная схема обмена персональными данными с внешней средой"; "Перечень средств и технологий физической защиты"; "Перечень регламентов и процедур, используемых в сфере информационной безопасности и защиты персональных данных"; "Перечень ответственных за информационную безопасность"; "Перечень персональных данных, обрабатываемых в учреждении здравоохранения"; "Паспорт объекта"; "Отчет о предпроектном обследовании";
- подготовить документы: "Положение о разграничении прав доступа к обрабатываемым персональным данным"; "Концепция информационной безопасности учреждения здравоохранения"; "Политика информационной безопасности учреждения здравоохранения"; "Модель угроз для учреждения здравоохранения"; "Аналитическое обоснование необходимости создания автоматизированной информационной системы в защищенном исполнении, включая сметный расчет"; "Техническое задание на организацию мероприятий по защите персональных данных в учреждении здравоохранения"; "Эскизный проект системы защиты персональных данных в ИСПДн";
- утвердить документы: "Инструкция оператора ИСПДн"; "Инструкция администратора безопасности (ответственного за информационную безопасность)"; "Инструкция пользователя при работе с ИСПДн"; "Инструкция пользователя по обеспечению безопасности обработки персональных данных при возникновении нештатных ситуаций"; "Акт классификации ИСПДн".
Об исполнении перечисленных мероприятий управления здравоохранения обязаны в срок до 01.11.2010 доложить первому заместителю руководителя Департамента здравоохранения города Москвы С.В. Полякову.
Общее методическое сопровождение и контроль за выполнением работ в учреждениях здравоохранения по обеспечению безопасности персональных данных поручаются ГУП "РИСТ М".
Обращаю внимание начальников управлений здравоохранения административных округов на недопустимость нецелевого расходования направляемых средств.
Первый заместитель руководителя
Департамента здравоохранения
города Москвы
С.В. Поляков