Одобрены
на заседании Совета по вопросам защиты информации Ханты-Мансийского автономного округа – Югры
(Протокол Совета от 30.04.2015 № 1/15)
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННЫХ ОРГАНАХ И ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ ХАНТЫ-МАНСИЙСКОГО АВТОНОМНОГО ОКРУГА – ЮГРЫ
(далее – Рекомендации)
г. ХАНТЫ-МАНСИЙСК
2015 г.
Оглавление:
Перечень сокращений……………………………………………………
|
3
|
Термины и определения………………………………………………….
|
4
|
I. Общие положения………………………………………………………
|
6
|
II. Последовательность действий руководства органов власти автономного округа по обеспечению безопасности персональных данных при их обработке в информационных системах, в том числе и государственных информационных системах
|
9
|
III. Последовательность действий должностных лиц органов власти, ответственных за организацию обработки персональных данных, обеспечения безопасности информации при их обработке в информационных системах, в том числе и государственных информационных системах
|
16
|
IV. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и государственных системах персональных данных
|
22
|
|
|
Перечень сокращений
ПДн – персональные данные
ИСПДн – информационные системы персональных данных
ГИС – государственные информационные системы
ОГВ – органы власти – государственные органы и исполнительные органы государственной власти Ханты-Мансийского автономного округа – Югры
СКЗИ – средства криптографической защиты информации
СЗКИ – система защиты конфиденциальной информации
НСД – несанкционированный доступ (действия)
СЗИ – средства защиты информации
ИБ – информационная безопасность
ИС - информационная система;
ПО – программное обеспечение
ОС – операционная система
АРМ – автоматизированное рабочее место
Термины и определения
В настоящем документе используются следующие термины
и их определения:
Персональные данные − любая информация, относящаяся к прямо
или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Информационная система персональных данных − совокупность содержащихся в базах данных персональных данных и обеспечивающих
их обработку информационных технологий и технических средств.
Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.
Государственные информационные системы в Ханты-Мансийском автономном округе – Югре - информационные системы, находящиеся в собственности автономного округа, в том числе созданные органами государственной власти автономного округа, а также учреждениями, подведомственными исполнительным органам государственной власти автономного округа (статья 3 закона Ханты-Мансийского автономного округа – Югры от 01.07.2013 № 61-оз «О государственных информационных системах Ханты-Мансийского автономного округа – Югры»);
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые
с персональными данными.
Обработка персональных данных – любое действие (операция)
или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных − обработка персональных данных с помощью средств вычислительной техники.
Обезличивание персональных данных − действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Распространение персональных данных − действия, направленные
на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных − действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных − временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных − действия, в результате которых становится невозможным восстановить содержание персональных данных
в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые
с нарушением установленных прав и (или) правил доступа к информации
или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению
и техническим характеристикам.
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Угрозы безопасности персональных данных – совокупность условий
и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий
при их обработке в информационной системе персональных данных.
I. Общие положения
1.1. Рекомендации предназначены для руководителей государственных органов и исполнительных органов государственной власти Ханты-Мансийского автономного округа – Югры (далее – органы власти или ОГВ), должностных лиц, ответственных за руководство работами по защите информации в органе власти, лиц, ответственных за организацию и обеспечение безопасности информации (непосредственное выполнение мероприятий по защите информации), лиц, ответственных за организацию обработки персональных данных (далее – ПДн) в органе власти, лиц непосредственно принимающих участи в обработке ПДн, а так же для подведомственных органам власти учреждениям.
Настоящие Рекомендации разработаны с целью обеспечения единого подхода в организации и проведении работ по вопросам защиты ПДн, обеспечения безопасности информации в информационных системах органов власти автономного округа и подведомственным им учреждениях.
1.2. Рекомендации разработаны с учетом требований нормативных правовых актов Российской Федерации и методических документов, действующих в области обеспечения безопасности информации:
Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление Правительства Российской Федерации № 1119);
Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (далее – Постановление Правительства Российской Федерации № 211);
Приказ ФСБ России от 10.07.2014 № 378 «Состав и содержание организационных и технических мер по обеспечению безопасности ПДн
при их обработке в ИСПДн с использованием СКЗИ, необходимых для выполнения установленных Правительством Российской Федерации требований
к защите ПДн для каждого из уровней защищенности»;
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава
и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ ФСТЭК России № 21);
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований
о защите информации, не составляющей государственную тайну, содержащейся
в государственных информационных системах» (далее – Приказ ФСТЭК России № 17);
Приказ ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции
об организации и обеспечении безопасности хранения, обработки и передачи
по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14.02.2008 (далее – Методика определения актуальных угроз безопасности ПДн);
Методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11 02 2014;
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15.02.2008 (далее – Базовая модель угроз безопасности ПДн);
Методический документ «Рекомендации по решению типовых проблем информационной безопасности и защиты персональных данных», разработанных Управлением Федеральной службы по техническому и экспортному контролю по Уральскому федеральному округу и одобренных на заседании рабочей группы представителей территориальных органов Роскомнадзора, ФСБ России, ФСТЭК России, Минюста России, Координационно-методического совета организаций-лицензиатов ФСТЭК России и ФСБ России и операторов, организующих и осуществляющих обработку персональных данных, по координации деятельности в области обеспечения безопасности персональных данных в Уральском федеральном округе (Протокол от 04.03.2015 № 17).
1.3. ОГВ, организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн являются операторами.
В соответствии с законодательством Российской Федерации в области обеспечения безопасности ПДн оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
1.4. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ОГВ в пределах своих полномочий осуществляется:
федеральным органом исполнительной власти, уполномоченным
по защите прав субъектов ПДн (Роскомнадзор);
федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России);
федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России).
1.5. ОГВ и их должностные лица несут гражданско-правовую, уголовную, административную, дисциплинарную и материальную ответственность за нарушение правил обращения с ПДн, предусмотренную:
1.5.1. Кодексом Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ:
статьей 5.39. «Отказ в предоставлении информации»;
статьей 13.11. «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (ПДн)»;
статьей 13.12. «Нарушение правил защиты информации»;
статьей 13.13. «Незаконная деятельность в области защиты информации»;
статьей 13.14. «Разглашение информации с ограниченным доступом».
1.5.2. Уголовным кодексом Российской Федерации от 13.06.1996 № 63-ФЗ:
статьей 137. «Нарушение неприкосновенности частной жизни»;
статьей 140. «Отказ в предоставлении гражданину информации»;
статьей 272. «Неправомерный доступ к компьютерной информации»;
статьей 274. «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».
1.5.3. Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ:
статьей 81. «Расторжение трудового договора по инициативе работодателя»;
статьей 90. «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника».
1.6. Действие Рекомендаций не распространяется на отношения, возникающие при обработке информации, отнесенной в установленном порядке
к сведениям, составляющим государственную тайну.
II. Последовательность действий руководителей органов власти автономного округа по обеспечению безопасности персональных данных при их обработке в информационных системах, в том числе и государственных информационных системах
2.1. В целях обеспечения безопасности ПДн при их обработке в ИС, в том числе и ГИС, а также для защиты ПДн руководителям ОГВ необходимо:
назначить лицо, из числа заместителей, ответственное за руководство работами по защите информации в органе власти (постановление Губернатора Ханты-Мансийского автономного округа – Югры от 17.07.2003 № 151 «О системе технической защиты информации»);
назначить ответственного за организацию обработки ПДн
в органе власти. С целью более структурированного подхода к организации обработки персональных данных в соответствии с требованиями законодательства и спецификой обработки персональных данных в каждом конкретном структурном подразделении Органа власти, целесообразно назначать лицо, ответственное за организацию обработки персональных данных в каждом структурном подразделении Органа власти, где осуществляется обработка ПДн (Статья 18.1. Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных», постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»);
сформировать постоянно действующую комиссию по защите информации в органе власти из числа штатных служащих данного органа власти, осуществляющую координацию деятельности органа власти в вопросах обеспечения как общедоступной, так и конфиденциальной информации, а так же экспертизу материалов предназначенных к открытому опубликованию (распоряжение Правительства Российской Федерации от 28.06.2001 № 852-р «Об образовании в органах исполнительной власти субъектов РФ постоянно действующих технических комиссий (советов) по защите государственной тайны», Рекомендации по проведению экспертизы материалов, предназначенных к открытому опубликованию, одобренные решением межведомственной комиссии по защите государственной тайны от 24.01.2012 № 225, постановление Губернатора Ханты-Мансийского автономного округа – Югры от 17.07.2003 № 151 «О системе технической защиты информации», распоряжение Аппарата Губернатора автономного округа от 28.11.2011 № 174-р «О проведении в исполнительных органах государственной власти Ханты-Мансийского автономного округа – Югры экспертизы материалов, предназначенных для открытого опубликования»);
назначить (сформировать) лицо (структурное подразделение), ответственное за организацию и выполнение мероприятий по защите информации в органе власти из числа штатных служащих данного органа, подчиненное в вопросах обеспечения информационной безопасности непосредственно руководителю органа власти или лицу, ответственному за руководство работами по защите информации в органе власти (Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановление Губернатора Ханты-Мансийского автономного округа – Югры от 17.07.2003 № 151 «О системе технической защиты информации», приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»);
назначить администратора информационной безопасности ГИС и/или ГИС ПДн из числа штатных служащих данного органа власти (постановление Губернатора Ханты-Мансийского автономного округа – Югры от 17.07.2003 № 151 «О системе технической защиты информации», приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»);
назначить комиссию или рабочую группу из числа сотрудников ОГВ для анализа информационных систем, функционирующих в подразделениях ОГВ, и обрабатываемых в них ПДн, осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановление Губернатора Ханты-Мансийского автономного округа – Югры от 17.07.2003 № 151 «О системе технической защиты информации», приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»);
установить сроки реализации мероприятий по обеспечению безопасности информации в ГИС и ПДн при их обработке в ГИС;
организовывать обучение, повышение квалификации лиц, ответственных за руководство работами по защите информации и обеспечение требуемого уровня информационной безопасности, лиц, ответственных за организацию и контроль выполнения мероприятий по защите информации ограниченного доступа, работников структурных подразделений по защите информации (штатных специалистов, администраторов информационной безопасности) в области обеспечения информационной безопасности в учебных заведениях программы которых, согласованы ФСТЭК России;
при формировании бюджета органа власти учитывать затраты на обеспечение безопасности функционирования ГИС ПДн, в части приобретения сертифицированных технических средств защиты информации
и планирования выполнения мероприятий по обязательной аттестации ГИС ПДн по требованиям безопасности информации.
При наличии территориально обособленных структурных подразделений, обрабатывающих ПДн, в данных структурных подразделениях также должны назначаться, ответственные за обеспечение безопасности ПДн при их обработке
в информационных системах.
Решение о назначении оформляется соответствующим приказом органа власти.
Типовая форма приказа о назначении ответственных лиц и формирования системы защиты ПДн в Органе власти приведена в приложении 1 к настоящему методическому документу.
2.2. Ответственный за руководство работами по обеспечению безопасности персональных данных (из числа заместителей руководителя Органа власти) обязан:
руководить работами по обеспечению безопасности информации в Органе власти в соответствии с требованиями законодательством Российской Федерации, нормативных правовых актов Президента и Правительства Российской Федерации, руководящих и методических документов Федеральной службы по техническому и экспортному контролю Российской Федерации и ФСБ России, а также настоящего Руководства;
согласовывать и представлять на утверждение руководителю Органа власти перечень лиц, доступ которых к конфиденциальной информации, обрабатываемой в ИС, необходим для выполнения служебных обязанностей;
согласования решения о распространении (передаче) персональных данных;
инициировать приостановку предоставления персональных данных пользователям информационной системы при обнаружении нарушений порядка предоставления персональных данных;
выполнять требования по поддержанию функционирования системы защиты информации (далее – СЗИ) в Органе власти;
осуществлять контроль соответствия реального состава пользователей матрице доступа;
вести учет лиц, допущенных к работе с конфиденциальной информацией в ИС (СВТ);
согласовывать документы, определяющие построение, внедрение, модернизацию СЗИ Органа власти;
осуществлять контроль за уровнем безопасности информации в Органе власти;
осуществлять контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
незамедлительно сообщать руководителю Органа власти об имевших место в Органе власти попытках несанкционированного доступа к информации;
знать перечень СВТ ИС Органа власти и перечень задач, решаемых с их использованием;
инициировать и организовывать проведение служебных проверок по фактам несоблюдения условий, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности информации;
осуществлять координацию и руководство работой ПДТК по ЗИ.
2.3. Ответственный за организацию обработки ПДн, получает указания непосредственно от руководителя ОГВ, и подотчетный ему.
На ответственного за организацию обработки ПДн обязательно возлагается:
осуществление внутреннего контроля за соблюдением оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
доведение до сведения работников оператора положений законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
организация приема и обработки обращений и запросов субъектов ПДн или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.
2.4. Постоянно действующей технической комиссии по защите информации в органе власти осуществляет координацию деятельности по защите информации в органе власти. Необходимость создания данного коллегиального совещательного органа регулируется Законом Российской Федерации от 21.07.1993 № 5485-I «О государственной тайне», Федеральным законом от 18.07.1999 № 183-ФЗ «Об экспортном контроле», Федеральным законом от 28.12.2010 № 390-ФЗ «О безопасности», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральным законом 27.07.2006 № 152-ФЗ «О персональных данных», а также Положением о государственной системе защиты информации в Российской Федерации, утвержденным Постановлением Совета Министров Правительства Российской Федерации от 15.09.1993 № 912-51, распоряжения Правительства Российской Федерации от 28.06.2001 № 852-р «Об образовании в органах исполнительной власти субъектов РФ постоянно действующих технических комиссий (советов) по защите государственной тайны», Рекомендациями по проведению экспертизы материалов, предназначенных к открытому опубликованию, одобренные решением межведомственной комиссии по защите государственной тайны от 24.01.2012 № 225 (далее – МВК), совместного приказа ФСТЭК России и ФСБ России от 28.07.2001 № 405/З09 «Об утверждении Положения о постоянно действующих технических комиссиях по защите государственной тайны», решения Гостехкомиссии России от 14.03.1995 № 32 «О нормативно-правовом обеспечении защиты информации от иностранных технических разведок и от ее утечки по техническим каналам».
Комиссия вырабатывает рекомендации руководству органа власти, направленные на обеспечение решения следующих вопросов:
надежное и эффективное управление системой защиты информации в органе власти и подведомственных организациях и ее функционирование;
своевременное выявление и закрытие возможных каналов неправомерного распространения информации ограниченного доступа;
организация и координация работ по технической защите информации;
совершенствование системы физической и технической защиты объектов информатизации органа власти, направленной на обеспечение их безопасности.
Комиссия проводит анализ обстоятельств и причин неправомерного распространения информации ограниченного доступа.
Осуществляет контроль и координацию работ по обеспечению безопасности общедоступной информации в соответствии с требованиями Указа Президента Российской Федерации от 17.03.2008 № 351, Приказа Министерства связи и массовых коммуникаций Российской Федерации от 25.08.2009 № 104 и Совместного приказа Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31.08.2010 № 416/489.
Участвует в разработке проектов основных направлений работ по комплексной защите информации, целевых программ и соответствующих разделов планов работ в этой области.
Осуществляет экспертизу материалов, предназначенных для открытого опубликования, которая осуществляется в соответствии с требованиями распоряжения Аппарата Губернатора автономного округа от 28.11.2011 № 174-р «О проведении в исполнительных органах государственной власти Ханты-Мансийского автономного округа – Югры экспертизы материалов, предназначенных для открытого опубликования» разработанного в соответствии с требованиями Положением о государственной системе защиты информации в Российской Федерации, утвержденным Постановлением Совета Министров Правительства Российской Федерации от 15.09.1993 № 912-51, распоряжения Правительства Российской Федерации от 28.06.2001 № 852-р «Об образовании в органах исполнительной власти субъектов РФ постоянно действующих технических комиссий (советов) по защите государственной тайны», Рекомендациями по проведению экспертизы материалов, предназначенных к открытому опубликованию, одобренные решением МВК по защите государственной тайны от 24.01.2012 № 225.
2.5. Структурное подразделение (штатный специалист) по защите информации Органа власти (администратор безопасности информации) осуществляет:
анализ и выявление возможных каналов утечки информации и воздействия на информационные ресурсы и процессы на объектах информатизации;
классификацию информационных систем, информационных систем персональных данных, автоматизированных систем (далее – АС) и средств вычислительной техники (далее – СВТ);
выполнение организационно-технических мер защиты информации на объектах информатизации и аттестации объектов информатизации требованиям безопасности информации;
недрение и эксплуатация средств защиты информации систем информатизации и связи;
разработку на базе руководящих и методических документов по технической защите информации внутренних организационно- распорядительных документов, определяющих порядок и мероприятия по защите информации на объектах информатизации;
контроль выполнения требований по защите информации при эксплуатации объектов информатизации.
организацию парольной защиты;
организацию учета средств защиты информации, эксплуатационной и технической документации к ним;
инструктаж пользователей информационных систем персональных данных о порядке и правилах использования средств защиты информации, включая средства антивирусной защиты;
контроль за соблюдением условий использования средств защиты информации;
администрирование средств и систем защиты персональных данных в информационных системах персональных данных, включая средства антивирусной защиты (за исключением средств криптографической защиты информации);
учет лиц, допущенных к работе с персональными данными в информационных системах;
учет носителей персональных данных, используемых в информационных системах персональных данных (как с использованием средств автоматизации, так и без их использования);
периодическую (не реже одного раза в квартал) проверку электронного журнала обращений пользователей информационных систем к персональным данным.
2.2. Комиссия или рабочая группа создается с целью анализа ИС, функционирующих в подразделениях ОГВ, и обрабатываемых в них ПДн из числа сотрудников данного органа, на основании приказа или другого распорядительного документа руководителя ОГВ.
В состав комиссии или рабочей группы, как правило, включают специалистов отдела безопасности, правового (юридического) отдела, инженерно-технического (информационного) отдела.
Председателем комиссии назначается лицо, из числа заместителей руководителя ОГВ, ответственное за руководство работами по защите информации в ОГВ.
При отсутствии должностей заместителя руководителя ОГВ, председателем может быть назначен начальник отдела безопасности или правового (юридического) отдела или инженерно-технического (информационного) отдела.
Руководитель ОГВ вправе оставить председательство в комиссии или рабочей группе за собой.
Допускается включать в состав комиссии или рабочей группы юридическое лицо или индивидуальных предпринимателей, имеющих лицензию на деятельность по технической защите конфиденциальной информации (далее – организации-лицензиаты).
При определении состава комиссии или рабочей группы учитывают количество АРМ органа местного управления и уровень подготовки кадров.
Рекомендуется в состав комиссии или рабочей группы включать специалистов имеющих профильное высшее или среднее специальное образование по направлению «информационная безопасность» или прошедших краткосрочные курсы повышения квалификации или переподготовку по данному направлению.
2.4. По результатам работы комиссии или рабочей группы составляется перечень ИС, функционирующих в подразделениях ОГВ, в том числе относящихся к ГИС, и перечень подлежащих защите ПДн, обрабатываемых в органе власти в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций, утверждаемые руководителем ОГВ.
2.5. Руководителем ОГВ в соответствии с требованиями главы 4 Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных», постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», организуется разработка в соответствии с технологическим процессом обработки информации, построения информационной инфраструктуры и утверждаются следующие документы:
правила обработки ПДн, устанавливающие процедуры, направленные
на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
базовую модель угроз безопасности ПДн, в которой определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки;
правила рассмотрения запросов субъектов ПДн или их представителей;
правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите персональных данных, установленным законодательством Российской Федерации в сфере ПДн, принятым в соответствии с ним нормативными правовыми актами и локальными актами оператора;
правила работы с обезличенными данными в случае обезличивания ПДн;
перечень ИС, содержащие ПДн, в том числе ГИС;
перечень ПДн, обрабатываемых в органе власти в связи
с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций;
перечень должностей служащих органа власти, ответственных
за проведение мероприятий по обезличиванию обрабатываемых ПДн, в случае обезличивания ПДн;
перечень должностей служащих органа власти, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн;
должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки ПДн в органе власти;
типовое обязательство служащего органа власти, непосредственно осуществляющего обработку ПДн, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку ПДн, ставших известными ему в связи с исполнением должностных обязанностей;
типовая форма согласия на обработку ПДн служащих органа власти, иных субъектов ПДн, а также типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн;
порядок доступа служащих органа власти в помещения, в которых ведется обработка ПДн;
уведомление об обработке персональных данных (заполняется на официальном портале персональных данных Уполномоченного органа по защите персональных данных (Роскомнадзор): http://pd.rkn.gov.ru/operators-registry/notification/form/).
Типовые формы документов разрабатываемые в Органе власти приведены в Приложениях к настоящему методическому документу.
|
