Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных Управления Министерства юстиции Российской Федерации по Республике Карелия
В целях обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской Федерации по Республике Карелия (далее – Управление), а также выполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» п р и к а з ы в а ю:
1. Утвердить Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Управления (далее - Положение).
2. Начальникам структурных подразделений Управления довести до сведения работников возглавляемых структурных подразделений положения настоящего приказа.
3. Помощнику начальника Управления разместить настоящий приказ на сайте Управления.
4. Заместителям начальника Управления обеспечить исполнение настоящего приказа в соответствии с приказом Управления от 13.03.2013 № 01-06/46 «О распределении обязанностей между начальником Управления Министерства юстиции Российской Федерации по Республике Карелия и заместителями начальника Управления Министерства юстиции Российской Федерации по Республике Карелия».
5. Контроль за исполнением настоящего приказа оставляю за собой.
Начальник Управления М.Л. Свинкина
Исполнитель: Помощник начальника Управления _____ Орехов А.А.
(подпись) 30.01.2014
«Антикоррупционная экспертиза проведена»
Помощник начальника Управления _____ Орехов А.А.
(подпись) 30.01.2014
Положение
по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Управления Министерства юстиции Российской Федерации по Республике Карелия
-
Общие положения
В настоящем Положении используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также следующие термины по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:
Администратор безопасности информации (администратор безопасности) - работник назначенный приказом начальника Управления, осуществляющий защиту информационных систем персональных данных от несанкционированного доступа к информации;
Администратор информационной системы персональных данных - работник, назначенный приказом начальника Управления, ответственный за обеспечение безопасности информации, организацию и контроль функционирования информационной системы персональных данных в соответствии с нормативно правовыми актами и документами в области обеспечения безопасности персональных данных;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Обладатель информации (информационного ресурса) - лицо, самостоятельно создавшее информацию либо получившее право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Структурное подразделение Управления, реализующее полномочия владения, пользования и распоряжения информацией в соответствии со своими функциями и задачами. Обладатель устанавливает в пределах своей компетенции режим и правила обработки информации, защиты информационного ресурса, доступа к информационному ресурсу, условия копирования и тиражирования информационного ресурса (в распоряжении на создание информационного ресурса или в виде отдельных регламентов);
Доступ к информации - возможность получения информации и ее использования;
Инцидент информационной безопасности - появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации операций и создания угрозы информационной безопасности (отказ в обслуживании, сбор информации, несанкционированный доступ и т.д.);
Контролируемая зона - пространство (территория, часть здания), в котором исключено неконтролируемое пребывание работников и посетителей Управления, а также транспортных, технических и иных материальных средств;
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам;
Руководящие документы по безопасности информации - нормативно-правовые и методические документы ФСТЭК и ФСБ России, регулирующие деятельность в области защиты информации;
Технические средства позволяющие осуществлять обработку персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационной системе;
Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа;
Угроза безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Положение регламентирует вопросы обеспечения безопасности персональных данных (далее - ПДн) при их обработке в информационных системах персональных данных (далее - ИСПДн) в Управлении и определяет порядок организации работ по созданию и эксплуатации системы защиты персональных данных (далее - СЗПДн).
Настоящее Положение разработано на основании следующих основных нормативных правовых актов и документов в области обеспечения безопасности ПДн:
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 05.02.2010 № 58;
Порядок проведения классификации информационных систем персональных данных, утвержденный совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20;
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 № 282.
Действие настоящего Положения не распространяется на вопросы, связанные с обработкой ПДн, осуществляемой без использования средств автоматизации.
-
Порядок организации и проведения работ по обеспечению
безопасности ПДн при их обработке в ИСПДн
Под организацией работ по обеспечению безопасности ПДн при их обработке в ИСПДн понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла ИСПДн, согласованных по цели, задачам, месту и времени, направленных на предотвращение (нейтрализацию) и парирование угроз безопасности ПДн в ИСПДн, восстановление нормального функционирования ИСПДн после нейтрализации угрозы с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.
Организация работ по защите ПДн предусматривает формирование:
перечня ПДн, обрабатываемых в информационных системах (далее - ИС) Управления;
порядка классификации ИС Управления как ИСПДн;
порядка разработки, ввода в действие и эксплуатации ИСПДн в части реализации мероприятий по обеспечению безопасности ПДн;
порядка взаимодействия между ответственным за обеспечение безопасности ПДн и эксплуатирующими подразделениями по вопросам обеспечения безопасности ПДн;
ответственности должностных лиц за обеспечение безопасности ПДн, своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн;
порядка контроля обеспечения требуемого уровня защищенности ПДн.
Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн ответственным за обеспечение безопасности ПДн приказом начальника Управления назначается работник -администратор ИСПДн.
Данный работник обеспечивает все методическое руководство, разработку требований к мерам защиты ИСПДн Управления и контроль за эффективностью использования предусмотренных мер защиты информации.
Администратор ИСПДн обеспечивает подготовку предложений по совершенствованию и реализации положений Политики безопасности информации и контролирует выполнение установленных требований в структурных подразделениях Управления.
Администратор ИСПДн осуществляет следующие основные функции:
разрабатывает предложения по определению класса защищенности объектов ИСПДн и автоматизированной системы (далее - АС);
организует и руководит работой по выявлению актуальных угроз безопасности ПДн;
осуществляет методическое руководство и участвует в разработке (согласовании) конкретных требований по защите ПДн и разработке технического задания на создание СЗПДн;
согласовывает выбор конкретных средств обработки ПДн, технических и программных средств защиты;
организует и осуществляет контроль реализации проектных решений на создание СЗПДн;
отвечает за организацию работ по оценке соответствия ИСПДн предъявляемым требованиям по обеспечению безопасности ПДн;
осуществляет разработку, согласование и издание организационно-распорядительной документации по защите информации в ИСПДн;
проводит контроль требуемого уровня обеспечения защищенности ПДн при эксплуатации СЗПДн, в том числе контроль соблюдения условий использования СЗИ;
осуществляет обучение должностных лиц Управления, ответственных за эксплуатацию СЗИ, по направлению обеспечения безопасности ПДн;
организует охрану и физическую защиту помещений Управления, в которых размещаются средства обработки ПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации.
Непосредственно исполнение работ по защите информации (ПДн) в ИСПДн с использованием средств автоматизации возлагается на начальников структурных подразделений Управления, ответственных за использование и эксплуатацию ИСПДн Управления.
Для проведения классификации ИСПДн приказом начальника Управления назначается специальная внутренняя комиссия. В состав этой комиссии включаются администратор ИСПДн, администратор безопасности информации (далее – администратор безопасности), должностные лица Управления - обладатели информационных ресурсов ИСПДн.
Проведение предпроектного обследования ИСПДн, разработка и реализация СЗПДн осуществляется начальниками структурных подразделений. Научно-техническое и методическое руководство, непосредственная организация работ по созданию (модернизации) СЗПДн и контроль за эффективностью использования предусмотренных мер возлагается на администратора ИСПДн, в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
-
Порядок определения защищаемой информации и классификации ИСПДн.
Целью классификации информационной системы (далее – ИС) Управления как ИСПДн является определение по ее результатам перечня обоснованных организационных и технических мероприятий, позволяющих выполнить требования по обеспечению безопасности ПДн с учетом особенностей конкретной ИСПДн. Классификация может проводиться на этапе создания ИС или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИС).
Классификация ИСПДн осуществляется в соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
Классификация ИСПДн включает в себя следующие этапы:
сбор и анализ исходных данных по ИС;
присвоение ИС соответствующего класса и его документальное оформление.
При проведении классификации ИСПДн внутренней комиссией определяется:
заданные оператором характеристики безопасности ПДн, обрабатываемых в ИС;
структура ИС;
наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки ПДн;
режим разграничения прав доступа пользователей ИС;
местонахождение технических средств ИС.
В случае выделения в составе ИС подсистем, каждая из которых является ИС, ИС в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем, если данные ИС не разделены между собой межсетевым экраном (далее – МЭ).
Результаты классификации ИСПДн Управления оформляются актом, утверждаемым начальником Управления, в соответствии с приложением № 1 к Специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К), утвержденным приказом Гостехкомиссии России от 30.08.2002 № 282. Сформированные по результатам классификации материалы являются неотъемлемой частью организационно-распорядительной документации ИСПДн и относятся к информации конфиденциального характера. Оригиналы организационно-распорядительной документации ИСПДн хранятся у лица, ответственного за организацию работ по защите ПДн.
Класс ИСПДн может быть пересмотрен комиссией в установленном порядке в соответствии с требованиями приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» в следующих случаях:
- на основе результатов проведенного анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИС;
- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в ИС.
-
Порядок разработки, ввода в действие и эксплуатации СЗПДн.
Предусматриваются следующие стадии разработки и сопровождения СЗПДн:
- предпроектная стадия;
- стадия проектирования (разработки проектов) и реализации ИСПДн;
- стадия ввода в действие СЗПДн.
2.2.1. Предпроектная стадия
На предпроектной стадии проводится предпроектное обследование ИСПДн и разработка технического задания на создание СЗПДн.
Стадия проектирования и реализации СЗПДн
Проектирование (разработка проектов) и реализация СЗПДн проводится на основании требований, изложенных в техническом задании на разработку СЗПДн. При разработке СЗПДн в составе ИСПДн проводятся следующие мероприятия:
|
