Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека


Скачать 0.68 Mb.
Название Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека
страница 1/5
Тип Документы
rykovodstvo.ru > Руководство эксплуатация > Документы
  1   2   3   4   5

Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека

Управление Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека


по Удмуртской Республике

ПРИКАЗ


15.09.2015 № 270

г. Ижевск

Об утверждении Концепции и Политики

информационной безопасности

информационных систем персональных

данных

В целях исполнения Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных», Постановления Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и обеспечения надлежащего режима обработки и защиты персональных данных (далее – ПДн) в информационных системах персональных данных (далее – ИСПДн) Управления Роспотребнадзора по Удмуртской Республике (далее – Управление), а также с целью обеспечения реализации мероприятий, утвержденных приказом Управления Роспотребнадзора по Удмуртской Республике от 03.06.2014 №273 «Об организации работы по обработке и защите персональных данных»

ПРИКАЗЫВАЮ:

1. Утвердить «Концепцию информационной безопасности информационных систем персональных данных Управления Роспотребнадзора по Удмуртской Республике» (далее – Концепция) (Приложение№1).

2. Утвердить «Политику информационных систем персональных данных Управления Роспотребнадзора по Удмуртской республике» (далее-Политика) (приложение№2)

3. Начальникам функциональных и территориальных отделов Управления:

3.1. Руководствоваться в работе положениями Концепции и Политики информационной безопасности ИСПДн для определения правил и обязанностей по доступу к защищаемым объектам и соблюдению принятого режима безопасности персональных данных в информационных системах персональных данных Управления.

3.2. Ознакомить сотрудников с положениями Концепции и Политики информационной безопасности информационных систем персональных данных, утвержденной настоящим приказом.

2.3. Требовать соблюдение специалистами отдела положений Концепции и Политики информационной безопасности при работе в ИСПДн Управления.

4. Контроль за исполнением приказа возложить на заместителя руководителя Управления И.В.Бельтюкову.

И.о.руководителя В.В. Хлопотов


Приложение №1

УТВЕРЖДЕНО

приказом Управления Роспотребнадзора

по Удмуртской Республике

от15.09.2015 №270

Концепция информационной безопасности информационных систем персональных данных Управления Роспотребнадзора по Удмуртской Республике
Настоящая Концепция информационной безопасности информационных систем персональных данных (далее – ИСПДн) Управления Роспотребнадзора по Удмуртской Республике (далее – Управление), разработана на основе действующего законодательства РФ, регулирующего вопросы обработки и защиты персональных данных (далее – ПДн), а также на основе руководящего документа Министерства здравоохранения и социального развития РФ от 23.12.2009 «Методические рекомендаций для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости», является официальным документом, в котором определена система взглядов на обеспечение информационной безопасности Управления.

Необходимость разработки Концепции обусловлена применением новейших информационных технологий и процессов в Управлении, при обработке информации вообще, и персональных данных в частности.

Настоящая Концепция определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных (СЗПДн) Управления. Концепция определяет основные требования и базовые подходы к их реализации, для достижения требуемого уровня безопасности информации.

Концепция разработана в соответствии с системным подходом к обеспечению информационной безопасности. Системный подход предполагает проведение комплекса мероприятий, включающих исследование угроз информационной безопасности и разработку системы защиты ПДн, с позиции комплексного применения технических и организационных мер и средств защиты.

Под информационной безопасностью ПДн понимается защищенность персональных данных и обрабатывающей их инфраструктуре от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам (субъектам ПДн) или инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба от возможной реализации угроз безопасности ПДн, а также к прогнозированию и предотвращению таких воздействий.

Концепция служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности Управления, а также нормативных и методических документов, обеспечивающих ее реализацию, и не предполагает подмены функций государственных органов власти Российской Федерации, отвечающих за обеспечение безопасности информационных технологий и защиту информации.

Концепция является методологической основой для формирования и проведения единой политики в области обеспечения безопасности ПДн во всех ИСПДн Управления; принятия управленческих решений и разработки практических мер по воплощению политики безопасности ПДн и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз ПДн; координации деятельности структурных подразделений Управления при проведении работ по развитию и эксплуатации ИСПДн с соблюдением требований обеспечения безопасности ПДн; разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ПДн в ИСПДн Управления.

Область применения Концепции распространяется на все структурные подразделения Управления, в том числе его территориальные отделы, эксплуатирующие технические и программные средства ИСПДн, в которых осуществляется автоматизированная обработка ПДн, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования ИСПДн.

Правовой базой для разработки настоящей Концепции служат требования действующих в России законодательных и нормативных документов по обеспечению безопасности персональных данных (ПДн).
ОПРЕДЕЛЕНИЯ

В настоящем документе используются следующие термины и их определения:

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аутентификация отправителя данных – подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации – возможность получения информации и ее использования.

Закладочное устройство – элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информативный сигнал – электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные) обрабатываемая в информационной системе персональных данных.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональнымданным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Политика «чистого стола» – комплекс организационных мероприятий, контролирующих отсутствие записывания на бумажные носители ключей и атрибутов доступа (паролей) и хранения их вблизи объектов доступа.
  1   2   3   4   5

Похожие:

Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Методические указания му 1 2438-09 Разработаны: Федеральной службой...
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Доклад по правоприменительной практике Управления Федеральной службы...
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека приказ
Федеральной службе по надзору в сфере защиты прав потребителей и благополучия человека и ее территориальных органов, подведомственных...
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Управление Федеральной службы по надзору в сфере защиты прав потребителей...
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Ф едеральная служба по надзору в сфере защиты прав потребителей и...
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека
Управление Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Московской области
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека
Управление Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Московской области
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека
Управление Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека
Управление Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Бюллетень
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека 23
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Бюллетень
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека 13
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Бюллетень
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека 15
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Бюллетень
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека 14
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Бюллетень
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека 17
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Бюллетень
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека 13
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека icon Бюллетень
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека 17

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск