Подпись


Скачать 139.99 Kb.
Название Подпись
Тип Документы
rykovodstvo.ru > Руководство эксплуатация > Документы




УТВЕРЖДАЮ

Руководитель Управления Росреестра по Свердловской области

(должность руководителя организации)
_____________М.Н. Зацепин

(подпись)

« 25 » января 2013г.



ПОЛИТИКА

в области обеспечения безопасности персональных данных

Управления Росреестра по Свердловской области
1. Общие положения.

1.1. В целях обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Управления Росреестра по Свердловской области, в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ, Управление Росреестра определяет политику в области обеспечения безопасности персональных данных, содержащую основные правила и порядок обработки персональных граждан.

1.2. Политика заключается в выполнении требований и норм обработки персональных данных, установленных в Постановлении Правительства Российской Федерации от 1 ноября 2012 года.
2. Лица, ответственные за обеспечение безопасности персональных данных

2.1. В Управлении Росреестра по Свердловской области производится назначение следующих ответственных лиц:

2.1.1. Ответственный за организацию работ по обеспечению безопасности персональных данных, на которого приказом руководителя Управления возлагается:

утверждение списка лиц, доступ которых к персональным данным, необходим для выполнения служебных (трудовых) обязанностей, а также изменений к нему;

принятие решения о распространении (передаче) персональных данных;

проведение разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;

приостановка предоставления персональных данных пользователям информационной системы при обнаружении нарушений порядка предоставления персональных данных;

руководство работами по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

2.1.2. Ответственного за руководство следующими лицензируемыми видами деятельности в части:

монтажа, установки, наладки шифровальных (криптографических) средств, работ по обслуживанию шифровальных (криптографических) средств, предусмотренных технической и эксплуатационной документацией на эти средства;

распространения шифровальных (криптографических) средств;

шифрования информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, обеспечения пользователей системы электронного документооборота ключевой информацией (включая ее формирование и распределение) независимо от вида носителя ключевой информации, не содержащей сведений, составляющих государственную тайну.

2.1.3. Ответственного пользователя криптосредств.

2.1.4.Отвественного (специалиста или подразделение) за выполнение работ по обеспечению безопасности персональных данных на которого приказом руководителя Управления возлагается:

организация парольной защиты;

организация учета средств защиты информации, эксплуатационной и технической документации к ним;

администрирование средств и систем защиты персональных данных в информационных системах персональных данных, включая средства антивирусной защиты (за исключением средств криптографической защиты информации);

учет лиц, допущенных к работе с персональными данными в информационных системах;

учет носителей персональных данных, используемых в информационных системах персональных данных (как с использованием средств автоматизации, так и без их использования);

периодическая (не реже одного раза в квартал) проверка электронного журнала обращений пользователей информационных систем к персональным данным;

инструктаж пользователей информационных систем персональных данных о порядке и правилах использования средств защиты информации, включая средства антивирусной защиты;

контроль за соблюдением условий использования средств защиты информации (за исключением средств криптографической защиты информации).

3. Организация резервирования и восстановления программного обеспечения, баз персональных данных информационных систем персональных данных
3.1. В информационных системах персональных данных резервированию подлежат:

базы персональных данных;

специальное программное обеспечение;

средства защиты информации;

общее программное обеспечение;

средства вычислительной техники;

средства обеспечения функционирования информационных систем.

3.2. Резервные носители персональных данных хранятся в подразделении, эксплуатирующем ИСПДн.

3.3. Резервные носители персональных данных не могут быть переданы за пределы подразделения, эксплуатирующего ИСПДн.

3.4. Копирование информации с резервных носителей персональных данных, за исключением случая восстановления работоспособности ИСПДн, запрещается.

3.5. Резервирование общего и прикладного программного обеспечения, а также программного обеспечения средств защиты информации обеспечивается путем хранения машинных носителей дистрибутивов данных программ и машинных носителей обновлений к ним в подразделениях, отвечающих за их установку, настройку и сопровождение.

3.6. Машинные носители обновлений общего и прикладного программного обеспечения, а также программного обеспечения средств защиты информации должны быть маркированы датой их получения (датой выхода обновления).

3.7.  В случаях сбоев, отказов и аварий технических средств и систем ИСПДн, а также ее программного обеспечения осуществляется обязательное восстановление работоспособности ИСПДн.
4. Учет лиц, допущенных к работе с персональными данными в информационных системах персональных данных
4.1. С целью организации учета лиц, допущенных к работе с персональными данными в информационных системах организации, ведется учтенный установленным порядком «Журнал учета лиц, допущенных к работе с персональными данными в информационных системах».

4.2. Основанием для допуска сотрудника к персональным данным, обрабатываемым в информационных системах персональных данных, является «Список лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей», утвержденный директором.

4.3. Основанием для прекращения допуска сотрудника к персональным данным, обрабатываемым в информационных системах персональных данных, может служить его исключение из «Списка…» или приказ об его увольнении (переводе на другую должность, не требующую работы с персональными данными).

4.4. «Журнал учета…» ведется до его полного заполнения. Заполненные журналы хранятся не менее 3 лет.

5. Организация парольной защиты в информационных системах персональных данных


  1. Защите паролем подлежит доступ к:

базовым системам ввода вывода компьютеров;

настройкам сетевого оборудования;

настройкам операционных систем;

настройкам средств защиты информации (в том числе средств антивирусной защиты);

запуску специализированного программного обеспечения, предназначенного для обработки персональных данных;

ресурсам ПЭВМ и баз данных ИСПДн.

  1. Базовые системы ввода вывода, сетевое оборудование, операционные системы, средства защиты информации и файловые массивы (далее – объекты парольной защиты) должны быть настроены таким образом, чтобы:

исключить возможность просмотра ранее вводимых паролей;

блокировать доступ пользователей после пятикратной ошибки при вводе пароля и сигнализировать о наступлении данного события.

  1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями пользователей при работе с паролями возлагается на сотрудников отдела инженерно-технического обеспечения, отдела информационных технологий и администраторов баз данных в территориальных отделах в соответствии с возложенными обязанностями.

  2. Пользователь обязан запомнить личные пароли и никому их не передавать, и не записывать их на местах, где их могут увидеть другие лица.

  3. Информация о паролях пользователей является информацией ограниченного доступа, предназначенной для идентификации и доступа каждого конкретного пользователя к ресурсам ИСПДн согласно разрешительной системы доступа.

  4. ЗАПРЕЩАЕТСЯ:

умышленное и неумышленное ознакомление с парольной информацией сотрудников и посторонних лиц независимо от их должности;

передача личного пароля сослуживцам или посторонним лицам;

запись личного пароля на бумагу и хранение его в потенциально доступном для ознакомления посторонними лицами и другими сотрудниками месте;

вход в систему с использованием чужих идентификаторов или паролей;

оставление без присмотра рабочего места при работе в ИСПДн.

  1. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

  2. Контроль за действиями пользователей системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора.



6. Антивирусная защита в информационных системах персональных данных


  1. К использованию в ИСПДн допускаются только лицензионные и сертифицированные по требованиям безопасности информации антивирусные средства.

  2. Установка и настройка средств антивирусного контроля на компьютерах осуществляется в соответствии с руководствами по применению конкретных антивирусных средств.

  3. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы) на съемных носителях. Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).

  4. Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в 3 месяца.

  5. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения, должна быть выполнена антивирусная проверка на всех компьютерах ИСПДн.

  6. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник подразделения самостоятельно должен провести внеочередной антивирусный контроль своего компьютера.

  7. Ответственность за организацию антивирусного контроля в соответствии с требованиями настоящей Инструкции возлагается на сотрудников отдела инженерно-технического обеспечения и администраторов баз данных в территориальных отделах.

  8. Ответственность за проведение мероприятий антивирусного контроля и соблюдение требований настоящей Инструкции возлагается на сотрудников отдела инженерно-технического обеспечения и администраторов баз данных в территориальных отделах и всех сотрудников, являющихся пользователями ИСПДн.

  9. Периодический контроль за состоянием антивирусной защиты в ИСПДн, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований по антивирусной защите осуществляется ответственным за организацию работ по обеспечению безопасности персональных данных при их обработке в ИСПДн.


7. Перечень персональных данных,

обрабатываемых в информационных системах персональных данных и подлежащих защите
7.1. В информационных системах персональных данных защите подлежит:

любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе:

фамилия, имя, отчество;

год, месяц, дата и место рождения;

адрес, семейное, социальное, имущественное положение, образование, профессия, доходы;

Фамилия, имя и отчество не являются информацией, позволяющей определить субъекта персональных данных.
8. Порядок предоставления персональных данных
8.1. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц.

8.2. Персональные данные могут быть распространены только на основании решения субъекта персональных данных.

8.3. До передачи любых персональных данных за пределы организации от каждого субъекта персональных данных должно быть получено письменное согласие на распространение его персональных данных, оформленное в соответствии с требованиями статьи 9 Федерального закона «О персональных данных», в каждом конкретном случае.

8.4. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8.5. Решение на предоставление персональных данных принимается ответственным за организацию обработки персональных данных.

8.6. Персональные данные, обрабатываемые в ИСПДн, могут быть предоставлены органам власти и органам местного самоуправления без согласия субъекта персональных данных, если данные действия осуществляются в соответствии с федеральными законами Российской Федерации в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. При этом решение на распространение персональных данных должно содержать ссылку на соответствующую статью федерального закона Российской Федерации.

9. Порядок приостановки предоставления персональных данных, в случае обнаружения нарушений порядка их предоставления, и порядок разбирательств по фактам, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям.
9.1. При обнаружении нарушений порядка предоставления персональных данных предоставление персональных данных пользователям информационной системы незамедлительно приостанавливается до выявления причин нарушений и устранения этих причин.

9.2. Принятие решения на приостановку обработки персональных данных принимается ответственным за организацию обработки персональных данных.

9.3. Основаниями для приостановки обработки ПДн в ИСПДн и проведения разбирательства являются:

выявление недостоверных персональных данных в информационных системах персональных данных;

предоставление персональных данных в нарушение установленных правил;

допуск к ИСПДн лица, не имеющего на то разрешения;

утрата носителя персональных данных;

нарушение правил хранения носителей персональных данных;

нарушение правил эксплуатации средств защиты информации;

нарушение правил парольной защиты;

нарушение правил антивирусной защиты;

нарушение правил резервирования и восстановления общего и специального программного обеспечения, а также баз персональных данных;

выявление в ИСПДн вредоносных программ (вирусов);

выявление в электронных журналах средств защиты информации несанкционированных действий пользователей, нарушающих безопасность персональных данных или целостность (неизменность) программного обеспечения ИСПДн;

выявление несанкционированного внесения изменений в состав технических средств и (или) программного обеспечения ИСПДн.

9.4. Разбирательство проводится структурным подразделением или должностным лицом (работником), ответственным за обеспечение безопасности персональных данных, с обязательным привлечением руководителя структурного подразделения, осуществляющего эксплуатацию ИСПДн.

9.5. В ходе разбирательства составляется заключение, в котором отражается:

состав группы проводившей разбирательство;

период времени, в который проводилось разбирательство;

основание для проведения разбирательства;

факты, выявленные в ходе разбирательства и имеющие значение в определении наличия нарушений конфиденциальности персональных данных или нарушений правил использования средств защиты информации, а также иные факты, которые могут привести к нарушению конфиденциальности персональных данных или к снижению уровня защищенности персональных данных;

вывод о значимости нарушений, их причинах и виновных, допустивших данные нарушения;

рекомендации по совершенствованию обеспечения безопасности персональных данных, исключающие в дальнейшем подобные нарушения.

9.6. Заключение представляется ответственному за организацию обработки персональных данных, который принимает решение на возобновление обработки персональных данных и принятие дополнительных мер защиты.
10. Порядок взаимодействия по вопросам обеспечения безопасности персональных данных
10.1. Взаимодействие по вопросам обеспечения безопасности персональных данных может осуществляться с:

Федеральными органами исполнительной власти;

Росреестром;

организациями, оказывающими услуги по обеспечению безопасности персональных данных;

подчиненными организациями и обособленными структурными подразделениями.
10.2. Взаимодействие по вопросам обеспечения безопасности персональных данных с федеральными органами исполнительной власти осуществляется в части методического обеспечения и контроля. Методическое обеспечение в части методов и способов защиты информации в информационных системах осуществляется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

10.3. Взаимодействие с Росреестром осуществляется в целях определения единой стратегии и технической политики в области обеспечения безопасности персональных данных. Кроме того, Росреестр осуществляет методическое руководство и контроль за работами по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

10.4. Взаимодействие с организациями, оказывающими услуги по обеспечению безопасности персональных данных, осуществляется на договорной основе. Такие организации в обязательном порядке должны иметь лицензию Федеральной службы по техническому и экспортному контролю на деятельность по технической защите конфиденциальной информации, а в случае оказания ими услуг в области криптографической защиты информации – лицензии Федеральной службы безопасности Российской Федерации.

10.5. Существенным условием договора с организацией, оказывающей услуги по обеспечению безопасности персональных данных, является требование соблюдения конфиденциальности сведений о степени защищенности информационных систем персональных данных (внедренных методах и способах защиты и их эффективности).

10.6. Взаимодействие с подчиненными организациями и обособленными структурными подразделениями осуществляется в части методического руководства и контроля за полнотой и эффективностью принятых мер обеспечения безопасности персональных данных. Контрольные мероприятия в подчиненных организациях и обособленных структурных подразделениях осуществляются ответственным за организацию работ по обеспечению безопасности персональных данных, ответственным пользователем криптосредств (в части использования средств криптографической защиты информации) и сотрудниками отдела инженерно-технического обеспечения, осуществляющими работы по обеспечению безопасности персональных данных.


Заместитель руководителя Управления Н.Н. Рудина

Помощник руководителя Управления А.А. Дерябин

Похожие:

Подпись icon Подпись Дата Лист фзо. 210405. 091 Пз подпись и дата Инв. № дубл....
Проект технологической цррл на участке Ковыктинское месторождение-поселок Верхоленск
Подпись icon Руководство по установке программы и управлению ключами эцп москва...
Электронно-цифровая подпись (эцп) ставится под электронным документом с теми же целями, что и обычная ручная подпись под бумажным...
Подпись icon Направление: «Экономика» Магистерская программа:«Финансовые рынки...
В вкр используются сравнительные исследования и данные эмпирических исследований для анализа оценки стоимости
Подпись icon Инструкция по заполнению заявления на Шенгенскую визу
«Я информирован/а, что для первого моего пребывания и последующих посещений территории стран-участников требуется соответствующая...
Подпись icon Инструкция по формированию запросов f-сведений f-сведения сведения,...
Для работы с Системой исполнения регламентов (сир) необходимо, чтобы у вас был установлен весь необходимый перечень программного...
Подпись icon Где и как получить электронно-цифровую подпись?
Где и как получить электронно-цифровую подпись? Какие необходимы шаги для участия в аукционе в электронном виде? Как пройти аккредитацию...
Подпись icon Студента 4 курса бакалаврской программы, профиль Логистика ильиных...
Охватывает совокупность логистических параметров, выражающих требования клиента к предоставлению услуг. Эти требования, в свою очередь,...
Подпись icon Инструкция по заполнению форм и реестров в автоматизированной информационно-аналитической...
Ерриториальным центром информатизации (далее – нтци) (подпись нтци также используется при электронном межведомственном взаимодействии...
Подпись icon Техническое задание на выполнение работ по разработке и изготовлению...
Предмет закупки: Разработка и изготовление фильма для ООО «Транснефть Надзор» с рабочим названием «Подпись без срока давности»
Подпись icon Подпись и дата

Подпись icon Организационно-правовая форма, (подпись) (Ф. И. О

Подпись icon Должность лица, уполномоченного утверждать должностную инструкцию), (подпись), (Ф. И. О.)

Подпись icon Должность лица, уполномоченного утверждать должностную инструкцию), (подпись), (Ф. И. О.)

Подпись icon Инструкция по направлению на подпись в унпиони мгу актов к договорам...
Инструкция по направлению на подпись в унпиони мгу актов к договорам по закупке учебно-научного оборудования из средств субсидии
Подпись icon Подпись
Библиотечный фонд на физических (материальных) носителях: формирование и состояние
Подпись icon Подпись
Формирование электронного каталога, ретроконверсия карточных каталогов в электронную форму

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск