Приложение № 1
УТВЕРЖДАЮ
Директор МКУ «МФЦ в Труновском районе»
_____________А.В.Ищенко
«28» июля 2015 г.
ПОЛОЖЕНИЕ
о защите персональных данных в муниципальном казенном учреждении «Многофункциональный центр предоставления государственных и муниципальных услуг в Труновском районе»
с.Донское 2015г.
-
Общие положения
-
Назначение документа
Настоящее Положение о защите персональных данных в муниципальном казенном учреждении «Многофункциональный центр предоставления государственных и муниципальных услуг в Труновском районе» (далее – «МФЦ») устанавливает порядок проведения мероприятий по защите персональных данных в АИС «МФЦ».
-
Правовые основания
-
Настоящее положение о защите персональных данных в АИС «МФЦ» (далее – Положение) разработано на основании следующих нормативных правовых и методических документов:
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
-
Область действия
Действие настоящего Положения распространяется на все процессы обработки и защиты информации ограниченного доступа в АИС «МФЦ».
Настоящее Положение обязательно для соблюдения всеми работниками, допущенными к осуществлению обработки информации составляющей персональные данные в АИС «МФЦ».
-
Мероприятия, проводимые для защиты информации
-
Для защиты информации, содержащейся в АИС «МФЦ», проводятся следующие мероприятия:
формирование требований к защите информации, содержащейся в АИС «МФЦ»;
разработка системы защиты информации АИС «МФЦ»;
внедрение системы защиты информации АИС «МФЦ»;
аттестация АИС «МФЦ» по требованиям защиты информации и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной АИС «МФЦ»;
обеспечение защиты информации при выводе из эксплуатации аттестованной АИС «МФЦ» или после принятия решения об окончании обработки информации.
-
Пересмотр документа
-
Пересмотр настоящего Положения должен осуществляться в следующих случаях, но не реже одного раза в три года:
в случае изменения процессов обработки и защиты информации ограниченного доступа в АИС «МФЦ»;
при выявлении новых угроз безопасности информации и определении необходимости реализации дополнительных защитных мер;
при изменении действующих нормативных правовых актов в области защиты информации ограниченного доступ
-
Система защиты информации
Обеспечение защиты информации составляющей персональные данные при ее обработке в АИС «МФЦ» реализуется с помощью системы защиты информации АИС «МФЦ» (далее – СЗИ АИС «МФЦ»).
Задачами, решаемыми СЗИ АИС «МФЦ», являются:
предотвращение неправомерного доступа, копирования, предоставления или распространения информации составляющей персональные данные, обрабатываемой в АИС «МФЦ» (обеспечение конфиденциальности информации);
исключение неправомерного уничтожения или модифицирования информации составляющей персональные данные, обрабатываемой в АИС «МФЦ» (обеспечение целостности информации);
исключение неправомерного блокирования информации составляющей персональные данные, обрабатываемой в АИС «МФЦ» (обеспечение доступности информации).
Объектами защиты в АИС «МФЦ» являются:
информация составляющая персональные данные, содержащаяся в информационной системе;
серверы и рабочие станции пользователей;
мобильные технические средства (ноутбуки);
машинные носители информации;
системы связи и передачи данных;
общесистемное, прикладное, специальное программное обеспечение;
средства защиты информации.
В рамках СЗИ АИС «МФЦ» реализуются организационно-технические меры защиты информации от несанкционированного доступа и других неправомерных воздействий:
идентификация и аутентификация субъектов доступа и объектов доступа
(ИАФ);
управление доступом субъектов доступа к объектам доступа (УПД);
ограничение программной среды (ОПС);
защита машинных носителей информации (ЗНИ);
регистрация событий безопасности (РСБ);
антивирусная защита (АВЗ);
обнаружение вторжений (СОВ);
контроль (анализ) защищенности информации (АНЗ);
обеспечение целостности информационной системы и информации (ОЦЛ);
обеспечение доступности информации (ОДТ);
защита технических средств (ЗТС);
защита информационной системы, ее средств, систем связи и передачи данных (ЗИС);
выявление инцидентов и реагирование на них (ИНЦ);
управление конфигурацией информационной системы и системы защиты информации (УКФ).
Для обеспечения защиты информации, содержащейся в АИС «МФЦ», применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
Для защиты мобильных устройств (ноутбуков выездных бригад) должны применяться те же меры защиты, что и для стационарных рабочих станций пользователей.
В рамках СЗИ АИС «МФЦ» осуществляется контроль состояния и качества предоставления провайдером телекоммуникационных услуг:
включение в договоры (соглашение) с провайдером условий, прав, обязанностей, содержания и порядка контроля качества предоставляемых услуг на передачу информации с использованием информационно-телекоммуникационных сетей связи;
-
Мониторинг состояния и качества предоставления уполномоченным лицом (провайдером) услуг по передаче информации. Лица, участвующие в обработке и защите информации ограниченного доступа в АИС «МФЦ»
В «МФЦ» определен следующий перечень лиц, участвующих в обработке и защите информации ограниченного доступа в АИС «МФЦ», и степень их участия:
Ответственный за организацию обработки персональных данных – работник «МФЦ», осуществляющий внутренний контроль за соблюдением требований законодательства РФ при обработке персональных данных в АИС «МФЦ»;
Администратор информационной системы (Администратор ИС) – работник «МФЦ», обеспечивающий бесперебойное функционирование АИС «МФЦ»;
Администратор информационной безопасности (Администратор ИБ) – работник «МФЦ», являющийся лицом, ответственным за защиту информации составляющей персональные данные, осуществляющий контроль и выполнение требований по информационной безопасности АИС «МФЦ» и обеспечивающий функционирование системы защиты информации АИС «МФЦ»;
Пользователь – работник «МФЦ», непосредственно осуществляющий обработку информации, составляющей персональные данные в АИС «МФЦ».
Лица, участвующие в обработке и защите информации, составляющей персональные данные в АИС «МФЦ», в своей деятельности руководствуются настоящим Положением, а также документами, указанными в Таблице 1.
-
Документы, регламентирующие порядок обработки и защиты информации, составляющей персональные данные в АИС «МФЦ»
С целью регламентации процессов обработки и защиты информации, составляющей персональные данные в АИС «МФЦ» приняты локальные акты в области защиты информации. Перечень локальных актов «МФЦ», регламентирующих порядок обработки и защиты информации, составляющей персональные данные в АИС «МФЦ», приведен в Таблице 1.
Таблица 1 — Перечень документов, регламентирующих порядок обработки и защиты информации составляющей персональные данные в АИС «МФЦ»
№ п/п
|
Наименование документа
|
Описание документа
|
1
|
Модель угроз и модель нарушителя безопасности информации
|
В документе определяются актуальные угрозы безопасности информации АИС «МФЦ» и рассматриваются категории нарушителей
|
2
|
Инструкция по организации учета, использования и уничтожения машинных носителей данных, предназначенных для обработки и хранения персональных данных
|
Документ определяет порядок хранения и уничтожения носителей информации, составляющей персональные данные в «МФЦ»
|
3
|
Инструкция администратора информационной безопасности
|
Документ устанавливает функции, права и обязанности администратора информационной безопасности АИС «МФЦ»
|
4
|
Инструкция по резервному копированию и восстановлению массивов информации
|
Документ устанавливает порядок резервного копирования в АИС «МФЦ»
|
5
|
Инструкция по использованию антивирусных средств
|
Документ устанавливает регламент применения средств антивирусной защиты в АИС «МФЦ»
|
6
|
Инструкция по организации парольной защиты
|
Документ устанавливает регламент генерации, использования и смены паролей в АИС «МФЦ»
|
7
|
Инструкция по обеспечению безопасности и защиты информации от несанкционированного доступа
|
Документ устанавливает общие положения работы пользователей в государственной информационной системе для обеспечения безопасности и защиты информации от НСД
|
8
|
Инструкция по обработке персональных данных без использования средств автоматизации
|
Документ устанавливает особенности организации и меры по обеспечению безопасности при обработке персональных данных без использования средств автоматизации
|
9
|
Регламент о предоставлении прав доступа к персональным данным
|
Документ определяет порядок предоставления доступа к персональным данным сотрудникам «МФЦ», а также органам государственного управления и другим организациям, взаимодействующим с «МФЦ»
|
10
|
Регламент реагирования на запросы субъектов персональных данных
|
Документ определяет порядок действий на запросы субъектов к персональным данным обрабатываемых в АИС «МФЦ»
|
10
|
Регламент обмена/выдачи информацией (к договору между компаниями)
|
Документ определяет порядок обмена (выдачи) персональными данными между «МФЦ» и третьим лицам, а также органам государственного управления и другим организациям, взаимодействующим с «МФЦ»
|
5 Ответственность за нарушение порядка обработки и защиты информации, составляющей персональные данные
Виды дисциплинарных взысканий, порядок их применения и снятия установлены главой 30 ТК РФ и Правилами внутреннего трудового распорядка «МФЦ».
Согласно статье 24 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», лица, виновные в нарушении норм, регулирующих обработку ПДн, несут дисциплинарную, административную, гражданскую, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
К административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах и за нарушение правил защиты информации могут привлекаться как само «МФЦ» и его должностные лица, так и конкретные работники, исполняющие соответствующие трудовые функции.
Лица, виновные в нарушении правил обработки или защиты информации, составляющей персональные данные, могут привлекаться к административной ответственности по следующим основаниям:
неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих его права и свободы, либо несвоевременное предоставление таких документов и материалов, не предоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП);
нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП);
нарушение правил защиты информации (ст. 13.12 КоАП);
разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
1.5.Уголовная ответственность за нарушение правил обработки информации, составляющей персональные данные может наступить в следующих случаях:
неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации (ст. 272 УК РФ);
создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации (ст. 273 УК РФ);
нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб или повлекшее тяжкие последствия (ст.274 УК РФ).
незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан (ст. 137 УК РФ);
неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ).
|
