Правовые аспекты ИБ с точки зрения специалиста по информационной безопасности. Первоначальные действия работника, попавшие в такие условия следующие. Провести внутренний аудит: провести интервью с начальниками отделов, составить опросные листы, какая КИ в отделах храниться, ее ценность: высокая/средняя, какие ИС используются (ГИС?), как собирается КИ, кому передается и как/где хранится, срок хранения. Иными словами, создается перечень конфиденциальной документов и данных, к которым мы также можем отнести сведения, хранящиеся на сервере и на компьютерах. Далее необходимо создать (если в учреждение отсутствуют) или уточнить локальные-нормативные акты, которые помогут регулировать ИБ. Различные регламенты работы со сведениями конфиденциального характера, Политика ИБ, создание журналов, которые будут являться учетом носителей инфрмации, различные инструкции, например, администраторам, объясняющие что делать в тех или иных ситуациях, приказы о назначении ответственных лиц. Все эти меры помогут закрыть организационно требования ФСТЭК, которые будут предъявляться к нам. Банальная идентификация и аутентификация, в том числе двухфакторная, прописанная в Политике ИБ и данная в инструкции. Помимо всего прочего, необходимо и организовать охрану помещения, а, следовательно, и регламенты, которые будут указывать кто и куда имеет доступ. Медицинское учреждение обрабатывает ПДн (в условиях задания ничто не намекает на то, что учреждение относится к объекту КИИ и ГИС (ГИС, функционирующие в сфере здравоохранения, относятся к объектам КИИ), поэтому рассматриваем только с точки зрения требованиям к ПДн): 1. Проверка по 152-ФЗ: ознакомиться со специальными локальными актами по обработке ПДн, определить категорию обрабатываемых ПДн, ознакомиться с ответственными лицами и с целями обработки ПДн. Провести выборочную проверку наличия согласий на обработку ПДн. Провести выборочную проверка наличия согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, если такое происходит. 2. Проверка по ПП РФ 1119: определить типа актуальных угроз, и масштаб обработки, взять раннее определенную категорию обрабатываемых ПДн и сопоставить все данные с выбранным на сегодняшний день уровнем защищенности ПДн, если данные сошлись, то перейти к определению мер защиты. Необходимо произвести оценку угроз, на основании которой построить модель угроз. Далее выбрать базовый набор мер защиты, основываясь на выбранном уровне защищенности. Затем адаптировать базовый набор мер защиты и уточнить его, опираясь на модель угроз. Следующим шагом – дополнить уточненный набор мер защиты на основании прочих НПА. Сопоставить получившиеся данные с имеющимися. 3. Проверка П21 ФСТЭК: проверить все ли меры по обеспечению безопасности ПДн закрывают уровень защищенности, и, если нет, чем он заменяется и можно ли это обосновать. Проверить существующий аттестата соответствия системы, просмотр программы и методик аттестационных испытаний. В качестве проверяющего регулятора к нам могут прийти как РКН, так ФСТЭК и ФСБ, поэтому и документы, надлежащие для предоставления, будут отличаться. В случае проверки регулятора (РКН) медицинского учреждения, необходимо представить следующий перечень документов:  Примечания: документ определяющий политику оператора должен быть создан в соответствии со ст. 18.1 Закона № 152-ФЗ. Согласно ч. 4 ст 22.1 Закона № 152-ФЗ учреждение обязана иметь локальные акты по вопросам обработки ПДн. В соответствии со ст.9 Закона № 152-ФЗ, субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. В случае проверки регулятора (ФСБ) медицинского учреждения, необходимо представить следующий перечень документов:  В случае проверки регулятора (ФСТЭК) медицинского учреждения, необходимо представить следующий перечень документов   Примечание: в соответствии со ст 22.1 Закона № 152-ФЗ, оператор назначает лицо, ответственное за организацию обработки персональных данных, то есть у оператора должен быть издан приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.