Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или.

Содержание

Персональные данные: средства защиты

0нравится [ 0 ] не нравится [ 0 ]

Что такое меры защиты персональных данных?

Что такое меры защиты персональных данных?

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ст.19 Закона N 152-ФЗ).

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

з) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

назадвперёд

Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или.

Политика при обработке персональных данных граждан Российской Федерации

Согласно ФЗ №152 «О персональных данных» образовательные организации являютсяоператорами персональных данных, поскольку занимаются обработкой персональных данных учащихся и педагогов. Следовательно, ответственными сотрудниками этих организаций должно обеспечиваться соблюдение вышеуказанного закона.

Выполнение требований закона в образовательных организациях

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от:

  • неправомерного или случайного доступа к ним;
  • уничтожения;
  • изменения;
  • блокирования;
  • копирования;
  • предоставления;
  • распространения;
  • иных неправомерных действий в отношении персональных данных.

В рамках образовательных организаций должен быть выполнен комплекс работ по сбору пакета документов, предоставляемых на проверку контролирующим организациям.

В настоящее время отсутствуют нормативные акты, утверждающие форму этих типовых ведомственных документов по защите персональных данных в образовательных организациях.

Пакет документов для проверки

  • Концепция информационной безопасности.
  • Приказ о создании СЗ ПДн.
  • План мероприятий по обеспечению защиты ПДн.
  • Отчет о результатах проведения внутренней проверки.
  • Перечень сведений, составляющих ПДн.
  • Список ИСПДн, в которых обрабатываются ПДн.
  • Разрешительная система доступа к ПДн.
  • Перечень сотрудников, допущенных к обработке ПДн.
  • Перечень защищаемой информации.
  • Положение по обработке персональных данных.
  • Политика ИБ.
  • Инструкция пользователя ИСПДн.
  • Инструкция пользователя ИСПДн на случай возникновения внештатных ситуаций.
  • Инструкция администратора ИБ ИСПДн.
  • Инструкция по организации парольной защиты.
  • Инструкция по антивирусной защите.
  • Инструкция по обработке ПДн без использования средств автоматизации.
  • Перечень ПДн с местами хранения, обработки и списком допущенных лиц.
  • Приказ о введении в действие документов, регламентирующих мероприятия по защите ПДн.
  • Приказ о создании комиссии по уничтожению ПДн.
  • Журнал регистрации фактов несанкционированного доступа.
  • Журнал учета обращений субъектов ПДн в ИСПДн.
  • Журнал учета пользователей ИСПДн, прошедших обучение правилам работы с СЗИ.
  • Журнал учета мероприятий по контролю ИБ.
  • План проверочных мероприятий по обеспечению безопасности ПДн.
  • АКТ 1 классификации ИСПДн.
  • Приказ о назначении администратора ИБ.
  • Форма согласия работника на обработку его ПДн.

Цифровая образовательная платформа «Дневник.ру» предоставляет шаблоны указанных форм документов образовательным организациям, заключившим соглашение с Дневник.ру. Благодаря этому у образовательных организаций отпадает необходимость в самостоятельном подборе и составлении документации из этого обширного перечня.

Этапы работ

Организация защиты персональных данных должна производиться в несколько этапов:

  • инвентаризация информационных ресурсов;
  • ограничение доступа работников к персональным данным;
  • документальное регламентирование работы с персональными данными;
  • формирование модели угроз безопасности персональных данных;
  • классификация информационных систем персональных данных (ИСПДн) образовательных организаций;
  • составление и отправка в уполномоченный орган уведомления об обработке персональных данных;
  • приведение системы защиты персональных данных в соответствие с требованиями регуляторов;
  • создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) – для ИСПДн классов К1, К2;
  • организация эксплуатации и контроля безопасности ИСПДн.

Этап 1. Инвентаризация информационных ресурсов

Инвентаризация информационных ресурсов — выявление присутствия и осуществления обработки персональных  данных  во  всех  эксплуатируемых в  организации  информационных  системах и  традиционных  хранилищах  данных. В качестве информационных систем, относящихся к ИСПДн, выступают:    

  • электронный  журнал/дневник;
  • «1С-Бюджет»;
  • «1С-Зарплата-Кадры»; 
  • автоматизированная  информационная библиотечная система;
  • информационная система «Налогоплательщик» и другие.

Выполняя функции электронного журнала/дневника, информационная система «Дневник.ру» является ИСПДн и  зарегистрирована  Федеральной  службой  по  надзору  в  сфере  связи, информационных технологий и  массовых  коммуникаций  РФ  в  реестре  операторов  персональных данных  под  регистрационным  номером  09-0062296.

На данном этапе следует:

  • утвердить положение о защите персональных данных;
  • сформировать концепцию, определить политику информационной безопасности;
  • составить перечень персональных данных, подлежащих защите.

Места обработки персональных данных:

  • бухгалтерия;
  • библиотека;
  • учительская;
  • отдел кадров;
  • медпункт.

Этап 2. Ограничение доступа работников к персональным данным

Ограничение  доступа  работников  организации к персональным данным –  неотъемлемая  часть мероприятий  по обеспечению безопасности ПДн при их обработке в информационных системах.  Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей. Система Дневник.ру построена таким образом, что сотрудники образовательных организаций, учащиеся и их законные представители могут пройти регистрацию на сайте только после получения логина и пароля для первого входа в своей образовательной организации.  Все данные хранятся в Администрации образовательной организации и не подлежат разглашению, что гарантирует отсутствие посторонних лиц в Дневник.ру.

На данном этапе следует: в необходимой мере ограничить как электронный, так и физический доступ к персональным данным, хранящимся в образовательной организации.

Этап 3. Документальное регламентирование работы с персональными данными

Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.

Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.

На данном этапе следует:

  • собрать согласия на обработку персональных данных;
  • издать приказ о назначении лиц, ответственных за обработку ПДн;
  • издать положение о разграничении прав доступа к обрабатываемым ПДн;
  • составить инструкции администратора ИСПДн, пользователя ИСПДн и администратора безопасности ИСПДн.

Согласия на обработку персональных данных физических лиц

В соответствии со статьей 9 ФЗ-№152 «О персональных данных» обработка персональных данных субъекта осуществляется только при условии наличия его письменного согласия с указанием следующих данных:

  • фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва№
  • подпись субъекта персональных данных.

Формы согласий на обработку персональных данных сотрудников образовательных организаций, учащихся и их законных представителей, используемые при подключении к Дневник.ру, полностью соответствуют вышеуказанным требованиям.

Подписанные согласия хранятся в образовательных организациях и могут быть предоставлены только по требованию регуляторов и других уполномоченных органов РФ.

Этап 4. Формирование модели угроз безопасности персональных данных

Частная модель угроз безопасности персональных данных, хранящихся в информационной системе, формируется на основании следующих документов, утвержденных Федеральной службой по техническому и экспортному контролю (ФСТЭК):

  • Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн.
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.
  • Частная модель угроз безопасности персональных данных, хранящихся в информационной системе «Дневник.ру», была сформирована ФГУП «ЗащитаИнфоТранс». Она показывает, что персональные данные пользователей, обрабатываемые в Дневник.ру, подвергаются низкой степени угрозы несанкционированного доступа к ним.

На данном этапе следует сформировать модель угроз безопасности персональных данных, обрабатываемых и хранящихся в образовательной организации.

Этап 5. Классификация ИСПДн

На данном этапе следует составить акты классификации используемых в образовательной организации информационных систем персональных данных.

Этап 6. Составление и отправка в уполномоченный орган уведомления

Уведомление об обработке персональных данных оформляется на бланке оператора и направляется в территориальный орган Роскомнадзора Министерства связи и массовых коммуникаций РФ на бумажном носителе или в форме электронного документа с подписью уполномоченного лица. В форме указываются данные об обработчике, цель обработки, категории данных, категории субъектов, данные которых обрабатываются, правовое основание обработки, дата ее начала, срок (условие) ее прекращения и прочее.

На данном этапе следует: на сайте Уполномоченного органа по защите прав субъектов персональных данных http://www.pd.rsoc.ru/operators-registry/notification/form/ заполнить и отправить форму уведомления в электронном виде или распечатать на бумажном носителе.

Этап 7. Приведение системы в соответствие с требованиями регуляторов

В ФЗ №152 «О персональных данных» сказано, что оператор персональных данных обязан принимать все необходимые меры по защите безопасности ПДн. Это означает потребность оператора в использовании современных высокотехнологичных способов хранения ПДн. Персональные данные, обрабатываемые системой Дневник.ру, хранятся в одном из лучших дата-центров России — Селектел, который находится в городе Санкт-Петербурге. Многоуровневая система доступа, отвечающая самым жестким требованиям банковских и государственных структур, обеспечивает безопасное хранение данных.

На данном этапе следует:

  • создать перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;
  • создать положение о подразделении по защите информации;
  • подготовить методические рекомендации для организации защиты информации при обработке персональных данных;
  • создать инструкцию пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций;
  • утвердить план мероприятий по защите ПДн.

Этап 8. Аттестация (сертификация) ИСПДн

Для обеспечения безопасности ИСПДн требуется проводить мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности ПДн используется обязательная сертификация (аттестация).

На данном этапе следует:

  • создать эскизный проект системы обеспечения безопасности информации объекта вычислительной техники;
  • создать типовое техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники;
  • определить порядок резервирования технических средств защиты информации.

Перечень объектов информатизации, подлежащих аттестации

Обязательной аттестации подлежат следующие объекты информатизации:

  • Автоматизированные системы различного  уровня и  назначения. 
  • Системы связи, приема, обработки  и передачи  данных.
  • Системы отображения и размножения.       
  • Помещения, предназначенные  для  ведения конфиденциальных  переговоров.

Этап 9. Организация эксплуатации ИСПДн и контроля за безопасностью

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

  • контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
  • разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн.

На данном этапе следует: 

  • Разработать проект приказа о положении об электронном журнале обращений пользователей информационных систем персональных данных  → создать журнал учета обращений субъектов ПДн о выполнении их законных прав и журнал учета мероприятий по контролю.
  • Сформировать план внутренних проверок → издать приказ о проведении внутренней проверки → составить отчет о результатах проведения внутренней проверки.

Поддержание эффективной системы защиты ПДн

Для поддержания системы защиты персональных данных на высоком уровне требуется проведение следующих мероприятий:

  • Развертывание полноценной системы обработки ПДн. Система «Дневник.ру» обладает качественными техническими ресурсами, применение которых позволяет осуществлять безопасную обработку персональных данных в образовательной организации.
  • Полномасштабное внедрение средств защиты. Высококвалифицированные специалисты Дневник.ру обеспечивают постоянный контроль и необходимое техническое обслуживание системы защиты персональных данных пользователей.
  • Аттестация ИСПДн. Информационная система «Дневник.ру» имеет все необходимые лицензии и сертификаты для обработки персональных данных.
  • Приведение всех процессов обработки ПДн в соответствие с требованиями закона. Дневник.ру отвечает требованиям законодательства в области защиты персональных данных.
  • Реакция на регулярные проверки и прочее.

Ответственность за нарушение ФЗ №152 «О персональных данных»

  • Административная ответственность: штраф или штраф с конфискацией несертифицированных средств обеспечения безопасности и шифровальных средств. Административный кодекс, ст. 13.11, 13.12, 13.14.
  • Дисциплинарная ответственность: увольнение провинившегося работника. Трудовой кодекс РФ, ст. 81 и 90.
  • Уголовная ответственность: от исправительных работ и лишения права занимать определенные должности до ареста. Уголовный кодекс, ст. 137, 140, 272.

ВИДЕО ПО ТЕМЕ: Информационная безопасность. Нормативные документы и законы.

8) инструкцию по порядку обращения с техническими средствами защиты информации, предназначенными для защиты персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

О МЕРАХ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В РЯЗАНСКОЙ ГОРОДСКОЙ ДУМЕ (с изменениями на: 07.07.2017)

(в редакции Постановления Главы муниципального образования — г. Рязань от 07.07.2017 N 59)

В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", Постановлением главы муниципального образования, председателя Рязанской городской Думы от 24.11.2010 N 96 "Об информационной безопасности и защите персональных данных в Рязанской городской Думе", Постановлением главы муниципального образования, председателя Рязанской городской Думы от 11.07.2013 N 67 "О мерах по обеспечению выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами", руководствуясь Уставом муниципального образования — городской округ город Рязань Рязанской области, распоряжением главы муниципального образования, председателя Рязанской городской Думы от 24.03.2017 N 50-к "О возложении исполнения обязанностей", постановляю:

1. Ввести в эксплуатацию информационные системы персональных данных Рязанской городской Думы согласно перечню, утвержденному Постановлением главы муниципального образования, председателя Рязанской городской Думы от 11.07.2013 N 67 "О мерах по обеспечению выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами", с 1 мая 2017 года.

2. Контролируемой зоной размещения информационных систем персональных данных Рязанской городской Думы определить помещения Рязанской городской Думы, расположенные по адресу:

— г. Рязань, ул. Радищева, д. 28;

— г. Рязань, ул. Ленина, д. 35а.

3. Назначить администратором информационных систем персональных данных Рязанской городской Думы (далее — администратор), ответственным за эксплуатацию средств криптографической защиты информации, начальника отдела автоматизированных систем управления управления делами Рязанской городской Думы Новинского В.Э., в отсутствие администратора его обязанности исполняет заместитель начальника отдела автоматизированных систем управления управления делами Рязанской городской Думы Пшеничников А.П.

(в ред. Постановления Главы муниципального образования — г. Рязань от 07.07.2017 N 59)

4. Возложить на администратора обязанности по контролю за информационными системами персональных данных Рязанской городской Думы в отношении системных, прикладных программно-технических средств, программных и программно-аппаратных средств защиты информации, периодическому анализу системных журналов средств защиты информации и оперативному контролю за безопасностью персональных данных.

5. Назначить ответственным за эксплуатацию хранилищ для хранения бумажных и электронных носителей информации Рязанской городской Думы главного специалиста отдела хозяйственного обеспечения управления делами Рязанской городской Думы Кузнецову Н.М.

6. Утвердить прилагаемые:

1) перечень персональных данных, обрабатываемых в информационных системах персональных данных Рязанской городской Думы (приложение N 1);

2) Политику информационной безопасности информационных систем персональных данных Рязанской городской Думы (приложение N 2);

3) Положение об обработке и защите персональных данных в информационных системах персональных данных Рязанской городской Думы (приложение N 3*);
________________
* Приложения NN 3-19 не приводятся. — Примечание изготовителя базы данных.

4) Положение о разграничении прав доступа к персональным данным, обрабатываемым в информационных системах персональных данных Рязанской городской Думы (приложение N 4*);

5) Акт определения уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных Рязанской городской Думы (приложение N 5*);

6) инструкцию администратора информационных систем персональных данных Рязанской городской Думы (приложение N 6*);

7) инструкцию пользователя информационных систем персональных данных Рязанской городской Думы (приложение N 7*);

8) инструкцию по порядку обращения с техническими средствами защиты информации, предназначенными для защиты персональных данных, обрабатываемых в информационных системах персональных данных Рязанской городской Думы (приложение N 8*);

9) инструкцию по организации антивирусной защиты в информационных системах персональных данных Рязанской городской Думы (приложение N 9*);

10) инструкцию по организации парольной защиты в информационных системах персональных данных Рязанской городской Думы (приложение N 10*);

11) инструкцию по резервированию и восстановлению массивов персональных данных в информационных системах персональных данных Рязанской городской Думы (приложение N 11*);

12) инструкцию по обращению с сертифицированными средствами криптографической защиты информации, предназначенными для защиты персональных данных, обрабатываемых в информационных системах персональных данных Рязанской городской Думы (приложение N 12*);

13) инструкцию по порядку эксплуатации хранилищ для хранения бумажных и электронных носителей информации (приложение N 13*);

14) журнал регистрации, учета и выдачи сменных носителей персональных данных в информационных системах персональных данных Рязанской городской Думы (приложение N 14*);

15) журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (приложение N 15*);

16) журнал поэкземплярного учета ключевых документов (приложение N 16*);

17) журнал регистрации, учета и выдачи внешних носителей для хранения резервных копий персональных данных в информационных системах персональных данных Рязанской городской Думы (приложение N 17*);

18) перечень муниципальных служащих Рязанской городской Думы, работников аппарата Рязанской городской Думы, не являющихся муниципальными служащими, допущенных к работе с персональными данными и (или) обрабатывающих персональные данные в информационных системах персональных данных Рязанской городской Думы (приложение N 18*);

19) перечень муниципальных служащих Рязанской городской Думы, работников аппарата Рязанской городской Думы, не являющихся муниципальными служащими, допущенных к работе с сертифицированными средствами криптографической защиты информации, предназначенными для защиты персональных данных, обрабатываемых в информационных системах персональных данных Рязанской городской Думы (приложение N 19*).

7. Лицу, ответственному за организацию обработки персональных данных, осуществляемую без использования средств автоматизации в Рязанской городской Думе (Сапунов С.В.), ознакомить под роспись муниципальных служащих Рязанской городской Думы, работников аппарата Рязанской городской Думы, не являющихся муниципальными служащими, допущенных к работе с персональными данными и (или) обрабатывающих персональные данные в информационных системах персональных данных Рязанской городской Думы, с настоящим постановлением.

8. Настоящее постановление вступает в силу со дня его подписания.

9. Разместить настоящее постановление на официальном сайте Рязанской городской Думы в сети Интернет.

Подпункты 3 — 19 пункта 6 настоящего постановления размещению на официальном сайте Рязанской городской Думы в сети Интернет не подлежат как носящие нормативно-технический характер.

10. Контроль за исполнением настоящего постановления оставляю за собой.

И.о. главы муниципального образования,
председателя Рязанской городской Думы
А.А.ЧАЙКА

Приложение N 1. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ РЯЗАНСКОЙ ГОРОДСКОЙ ДУМЫ

Приложение N 1
к Постановлению
главы муниципального образования,
председателя Рязанской городской Думы
от 25 апреля 2017 года N 44

1. Фамилия, имя, отчество (информация об их изменении), пол, дата рождения, место рождения, иные биографические данные.

2. Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ), гражданство, фотография.

3. Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания.

4. Номера телефонов (мобильного и домашнего) в случае их регистрации на субъекта персональных данных или по адресу его места жительства (по паспорту).

5. Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения).

6. Сведения о повышении квалификации, переподготовке и стажировке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения, другие сведения).

7. Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней.

8. Содержание и реквизиты трудового договора с работником или гражданско-правового договора с гражданином.

9. Сведения о заработной плате (номера счетов для расчета с работниками, данные по должностному окладу, надбавкам, налогам и другие сведения из ведомости начисления заработной платы, табеля учета рабочего времени, штатного расписания).

10. Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на(с) учет(а) и другие сведения).

11. Сведения о семейном положении (фамилия, имя, отчество, дата рождения, место рождения, адрес и дата места жительства (регистрации), супруги (супруга) и других близких родственников, степень родства, место их работы или учебы, а также другие сведения).

12. Сведения о доходах (расходах) работника, об имуществе и обязательствах имущественного характера, а также сведения о доходах (расходах), об имуществе и обязательствах имущественного характера его супруги (супруга) и несовершеннолетних детей и сведения о доходах, расходах, об имуществе и обязательствах имущественного характера лиц, замещающих муниципальные должности на постоянной основе.

13. Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения).

14. Сведения о судимости и дисквалификации.

15. Материалы служебных проверок, расследований (в том числе внутренние материалы по расследованию и учету несчастных случаев на производстве и профессиональным заболеваниям в соответствии с Трудовым кодексом Российской Федерации, другими федеральными законами).

16. Сведения о прохождении и результатах аттестации, присвоении классных чинов, о соблюдении ограничений и запретов, установленных федеральными законами.

17. Сведения о состоянии здоровья и его соответствии замещаемой должности, сведения о временной нетрудоспособности.

18. Сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид акта о награждении или дата поощрения), а также сведения о взысканиях.

19. Данные свидетельств о государственной регистрации актов гражданского состояния, страховых полисов обязательного (добровольного) медицинского страхования.

20. Сведения о номере и серии страхового свидетельства государственного пенсионного страхования (СНИЛС).

21. Сведения об идентификационном номере налогоплательщика (ИНН).

Приложение N 2. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ РЯЗАНСКОЙ ГОРОДСКОЙ ДУМЫ

Приложение N 2
к Постановлению
главы муниципального образования,
председателя Рязанской городской Думы
от 25 апреля 2017 года N 44

Определения

Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа — программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация — присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информативный сигнал — электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные), обрабатываемая в информационной системе персональных данных.

Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Источник угрозы безопасности информации — субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Конфиденциальность персональных данных — обязательное для соблюдения пользователем ИСПДн или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран — локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Нарушитель безопасности персональных данных — физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации — физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор (персональных данных) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Перехват (информации) — неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка — код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

Программное (программно-математическое) воздействие — несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Средства вычислительной техники — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) — лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технические средства информационной системы персональных данных — средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам — неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Целостность информации — способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Обозначения и сокращения

ВП

— вредоносная программа

ЗИР

— защищаемый информационный ресурс

ИС

— информационная система

ИСПДн

— информационная система персональных данных

МЭ

— межсетевой экран

НСД

— несанкционированный доступ

ОС

— операционная система

ПДн

— персональные данные

ПМВ

— программно-математические воздействия

ПО

— программное обеспечение

СЗИ

— средство защиты информации

СЗПДн

— система защиты персональных данных

СКЗИ

— средство криптографической защиты информации

БД

— база данных

ТКУИ

— технические каналы утечки информации

ТС

— технические средства

УБПДн

— угрозы безопасности персональных данных

ЭВМ

— электронно-вычислительная машина

Введение

Настоящая Политика информационной безопасности информационных систем персональных данных Рязанской городской Думы (далее — Политика) разработана Рязанской городской Думой и определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных (далее — система защиты ПДн, СЗПДн) Рязанской городской Думы. Политика определяет основные требования и базовые подходы к их реализации, для достижения требуемого уровня безопасности информации.

Политика разработана в соответствии с системным подходом к обеспечению информационной безопасности, который предполагает проведение комплекса мероприятий, включающих исследование угроз информационной безопасности и разработку системы защиты персональных данных (далее — ПДн), с позиции комплексного применения технических и организационных мер и средств защиты.

Под информационной безопасностью ПДн понимается защищенность персональных данных в обрабатывающей их инфраструктуре от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам (субъектам ПДн) или инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба от возможной реализации угроз безопасности ПДн, а также к прогнозированию и предотвращению таких воздействий.

Политика служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности Рязанской городской Думы, а также нормативных и методических документов, обеспечивающих ее реализацию, и не предполагает подмены функций государственных органов власти Российской Федерации, отвечающих за обеспечение безопасности информационных технологий и защиту информации.

Политика является методологической основой для:

— принятия управленческих решений и разработки практических мер по воплощению политики безопасности ПДн и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз ПДн;

— координации деятельности структурных подразделений аппарата Рязанской городской Думы при проведении работ по развитию и эксплуатации информационных систем персональных данных с соблюдением требований обеспечения безопасности ПДн;

— разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ПДн Рязанской городской Думы.

Политика разработана на основании:

— Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";

— Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

— Постановления Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации";

— Постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

— Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденных руководством 8 Центра ФСБ России от 21.02.2008 N 149/6/6-662.

В Политике определены требования к муниципальным служащим Рязанской городской Думы, работникам аппарата Рязанской городской Думы, не являющимся муниципальными служащими (далее — должностные лица), допущенным к работе с персональными данными в информационных системах персональных данных Рязанской городской Думы, степень их ответственности, структура и необходимый уровень защищенности, статус и должностные обязанности должностных лиц, ответственных за обеспечение безопасности персональных данных в информационных системах персональных данных Рязанской городской Думы.

1. Общие положения

1.1. Целью настоящей Политики является обеспечение безопасности персональных данных Рязанской городской Думы от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (далее — УБПДн).

1.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

1.3. Персональные данные (далее — ПДн) и связанные с ними ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение и реагирование на угрозы безопасности персональных данных.

2. Область действия

Требования настоящей Политики распространяются на муниципальных служащих Рязанской городской Думы, работников аппарата Рязанской городской Думы, не являющихся муниципальными служащими (далее — работники Рязанской городской Думы), а также всех прочих лиц (подрядчики, аудиторы и т.п.).

3. Система защиты персональных данных

3.1. Система защиты персональных данных (далее — СЗПДн) строится на основании:

— Отчета по результатам обследования системы защиты персональных данных Рязанской городской Думы (далее — Отчет по результатам обследования);

— Перечня персональных данных, обрабатываемых в информационных системах персональных данных Рязанской городской Думы;

— Акта определения уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных Рязанской городской Думы;

— Модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных Рязанской городской Думы (далее — Модель угроз);

— Частного технического задания на разработку системы защиты персональных данных Рязанской городской Думы;

— Проекта системы защиты персональных данных информационных систем персональных данных Рязанской городской Думы;

— руководящих документов Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности Российской Федерации (ФСБ России).

3.2. На основании этих документов определяется необходимый уровень защищенности ПДн информационных систем персональных данных Рязанской городской Думы (далее — информационные системы персональных данных, ИСПДн). На основании анализа актуальных угроз безопасности ПДн, описанного в Отчете по результатам обследования и Модели угроз, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн.

3.3. В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:

3.3.1. Средства защиты информации (СЗИ) от несанкционированного доступа (НСД):

— средства управления логическим доступом;

— средства регистрации и учета (самостоятельные или встроенные в другие СЗИ, обеспечивающие фиксацию важных с точки зрения обеспечения безопасности информации событий, происходящих в ИС);

— средства обеспечения целостности (самостоятельные или встроенные в другие СЗИ, обеспечивающие контроль целостности информационных ресурсов и программного обеспечения (далее — ПО);

— средства межсетевого взаимодействия;

— средства защиты от программно-математических воздействий (средства защиты от вредоносного ПО);

— средства защиты каналов связи;

— средства криптографической защиты информации (СКЗИ);

— средства инструментального анализа защищенности;

— средства обнаружения вторжений.

3.3.2. Средства защиты от утечки конфиденциальной информации по техническим каналам:

— средства защиты от утечки видовой информации.

3.4. В список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн, операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты.

4. Основные принципы построения системы комплексной защиты информации

4.1. Построение системы обеспечения безопасности ПДн ИСПДн Рязанской городской Думы и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

— законность;

— системность;

— комплексность;

— непрерывность;

— своевременность;

— преемственность и непрерывность совершенствования;

— персональная ответственность;

— минимизация полномочий;

— взаимодействие и сотрудничество;

— гибкость системы защиты;

— простота применения средств защиты;

— научная обоснованность и техническая реализуемость;

— специализация и профессионализм;

— обязательность контроля.

4.1.1. Законность.

Данный принцип предполагает осуществление защитных мероприятий и разработку СЗПДн Рязанской городской Думы в соответствии с действующим законодательством в области защиты ПДн и других нормативных актов по безопасности информации, утвержденных уполномоченными органами государственной власти в пределах их компетенции. Должностные лица, допущенные к работе с ПДн и (или) обрабатывающие ПДн в ИСПДн Рязанской городской Думы (далее — должностные лица, пользователи), должны быть осведомлены о порядке работы с защищаемой информацией и об ответственности за нарушения требований законодательства при работе и (или) обработке ПДн.

4.1.2. Системность.

Системный подход к построению СЗПДн Рязанской городской Думы предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности ПДн ИСПДн Рязанской городской Думы. При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки ПДн, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

4.1.3. Комплексность.

Комплексное использование методов и средств защиты предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобы для их преодоления потенциальному злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях.

4.1.4. Непрерывность защиты ПДн.

Защита ПДн — не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИСПДн Рязанской городской Думы. ИСПДн Рязанской городской Думы должны находиться в защищенном состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом должны приниматься меры по недопущению перехода ИСПДн Рязанской городской Думы в незащищенное состояние. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная техническая и организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

4.1.5. Своевременность.

Данный принцип предполагает упреждающий характер мер обеспечения безопасности ПДн, то есть постановку задач по комплексной защите ИСПДн Рязанской городской Думы и реализацию мер обеспечения безопасности ПДн на ранних стадиях разработки ИСПДн Рязанской городской Думы в целом и их системы защиты информации в частности. Разработка системы защиты должна вестись параллельно с разработкой и развитием самих защищаемых ИСПДн Рязанской городской Думы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные ИСПДн Рязанской городской Думы.

4.1.6. Преемственность и совершенствование.

Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования ИСПДн и их системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

4.1.7. Персональная ответственность.

Предполагает возложение ответственности за обеспечение безопасности ПДн и системы их обработки на каждого работника Рязанской городской Думы в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей работников Рязанской городской Думы строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

4.1.8. Принцип минимизации полномочий.

Означает предоставление пользователям минимальных прав доступа в соответствии с должностными обязанностями и полномочиями, на основе принципа "все, что не разрешено, запрещено". Доступ к ПДн должен предоставляться только в том случае и объеме, в каком это необходимо должностному лицу для выполнения его должностных обязанностей.

4.1.9. Взаимодействие и сотрудничество.

Предполагает создание благоприятной атмосферы в коллективе аппарата Рязанской городской Думы, обеспечивающей деятельность ИСПДн Рязанской городской Думы, для снижения вероятности возникновения негативных действий, связанных с человеческим фактором. В такой обстановке работники Рязанской городской Думы должны осознанно соблюдать установленные правила и оказывать содействие в деятельности лицу, ответственному за организацию обработки персональных данных, осуществляемую без использования средств автоматизации в Рязанской городской Думе, и Администратора ИСПДн Рязанской городской Думы.

4.1.10. Гибкость системы защиты ПДн.

Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающие системы, не нарушая процесса их нормального функционирования.

4.1.11. Простота применения средств защиты.

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций. Должна достигаться автоматизация максимального числа действий пользователей и администратора ИСПДн Рязанской городской Думы.

4.1.12. Научная обоснованность и техническая реализуемость.

Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности ПДн. СЗПДн должна быть ориентирована на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку.

4.1.13. Специализация и профессионализм.

Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности ПДн, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться подготовленными должностными лицами Рязанской городской Думы.

4.1.14. Обязательность контроля.

Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности ПДн на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

4.2. Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

5. Требования к подсистемам системы защиты персональных данных (СЗПДн)

СЗПДн имеют различный функционал в зависимости от уровня защищенности ПДн, обрабатываемых в ИСПДн Рязанской городской Думы.

5.1. СЗПДн включает в себя следующие подсистемы:

— управления доступом;

— регистрации и учета;

— обеспечения целостности;

— защиты от программно-математических воздействий;

— защиты каналов связи;

— межсетевого экранирования;

— обнаружения вторжений;

— криптографической защиты;

— инструментального анализа защищенности.

5.1.1. Подсистема управления доступом.

Подсистема управления доступом предназначена для реализации функции идентификации и проверки подлинности субъектов доступа при входе в систему по паролю условно постоянного действия длиной не менее шести буквенно-цифровых символов.

Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Также может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.

5.1.2. Подсистема регистрации и учета.

Подсистема регистрации и учета предназначена для реализации следующих функций:

— регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программная останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн Рязанской городской Думы. В параметрах регистрации указываются дата и время входа (выхода) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа, код или пароль, предъявленный при неуспешной попытке;

— учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в Журнал учета с отметкой об их выдаче (приеме).

5.1.3. Подсистема обеспечения целостности.

Подсистема целостности предназначена для реализации следующих функций:

— обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность системы защиты персональных данных проверяется при загрузке системы по контрольным суммам компонентов системы защиты, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения персональных данных;

— физическая охрана технических средств информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации;

— периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;

— наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.

5.1.4. Подсистема защиты от программно-математических воздействий.

Подсистема защиты от программно-математических воздействий (подсистема антивирусной защиты) предназначена для реализации следующих функций:

— автоматическая проверка на наличие вредоносных программ (далее — ВП) или последствий программно-математических воздействий (далее — ПМВ) при импорте в ИСПДн Рязанской городской Думы всех программных модулей (прикладных программ), которые могут содержать ВП, по их типовым шаблонам и с помощью эвристического анализа;

— реализация механизмов автоматического блокирования обнаруженных ВП путем их удаления из программных модулей или уничтожения;

— проверка на предмет наличия ВП в средствах защиты от ПМВ (при первом запуске средства защиты от ПМВ и с устанавливаемой периодичностью);

— факт выявления ПМВ должен инициировать автоматическую проверку на предмет наличия ВП;

— реализация механизма отката для устанавливаемого числа операций удаления ВП из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих ВП;

— на всех технических средствах ИСПДн Рязанской городской Думы должен проводиться непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена в ИСПДн Рязанской городской Думы с целью выявления проявлений ПМВ;

— проверка целостности модулей средства защиты от ПМВ, необходимых для его корректного функционирования, при его загрузке с использованием контрольных сумм;

— реализация механизмов проверки целостности пакетов обновлений средства защиты от ПМВ с использованием контрольных сумм;

— восстановление средств защиты от ПМВ, предусматривающее ведение двух копий программных средств защиты, его периодическое обновление и контроль работоспособности.

5.1.5. Подсистема защиты каналов связи.

Подсистема защиты каналов связи предназначена для реализации следующих функций:

— обмен персональными данными при их обработке в информационной системе по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств;

— выделение канала связи, обеспечивающего защиту передаваемой информации;

— аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;

— предотвращение возможности отрицания пользователем факта отправки персональных данных другому пользователю;

— предотвращение возможности отрицания пользователем факта получения персональных данных от другого пользователя.

5.1.6. Подсистема межсетевого экранирования.

Подсистема межсетевого экранирования предназначена для реализации следующих функций:

— фильтрация на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);

— фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

— идентификация и аутентификация администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно — постоянного действия;

— регистрация входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация входа из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

— контроль целостности своей программной и информационной части;

— восстановление свойств межсетевого экрана после сбоев и отказов оборудования;

— регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе ЛСВ, классом не ниже 4.

5.1.7. Подсистема обнаружения вторжений.

Подсистема обнаружения вторжений предназначена для реализации следующих функций:

— обнаружение вторжений должно обеспечиваться путем использования в составе ИСПДн Рязанской городской Думы программных или программно-аппаратных средств (систем) обнаружения вторжений, использующих сигнатурные методы анализа, а также методы выявления аномалий;

— подсистема обнаружения вторжений проводится для информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационных систем программных или программно-аппаратных средств (систем) обнаружения вторжений.

5.1.8. Подсистема инструментального анализа защищенности.

Подсистема инструментального анализа защищенности предназначена для реализации следующих функций:

— анализ защищенности проводится путем использования в составе ИСПДн Рязанской городской Думы программных или программно-аппаратных средств анализа защищенности;

— для ИСПДн Рязанской городской Думы средствами анализа защищенности должна быть обеспечена возможность выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн Рязанской городской Думы, которые могут быть использованы нарушителем для реализации атаки на систему.

5.1.9. Подсистема криптографической защиты.

Подсистема криптографической защиты предназначена для реализации следующих функций:

— приняты меры по исключению несанкционированного доступа в помещения, в которых размещены технические средства с установленным СКЗИ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в этих помещениях. В случае необходимости присутствия посторонних лиц в указанных помещениях обеспечен контроль за их действиями и обеспечена невозможность негативных действий с их стороны на СКЗИ, технические средства, на которых эксплуатируется СКЗИ, и защищаемую информацию;

— обеспечена невозможность доступа к ключевым носителям лиц, не назначенных для работы с конкретным ключевым носителем;

— ключи на ключевых носителях, срок действия которых истек, уничтожаются путем переформатирования ключевых носителей средствами ПО СКЗИ, после чего ключевые носители могут использоваться для записи на них новой ключевой информации. Об уничтожении ключей делается соответствующая запись в Журнале.

6. Пользователи информационных систем персональных данных Рязанской городской Думы (ИСПДн)

В ИСПДн Рязанской городской Думы можно выделить следующие группы пользователей, допущенных к работе с персональными данными и (или) участвующих в обработке и хранении персональные данных:

— администратор ИСПДн Рязанской городской Думы;

— лицо, ответственное за организацию обработки персональных данных, осуществляемую без использования средств автоматизации в Рязанской городской Думе;

— пользователи ИСПДн Рязанской городской Думы.

6.1. Администратор ИСПДн Рязанской городской Думы.

6.1.1. Администратор ИСПДн Рязанской городской Думы — должностное лицо Рязанской городской Думы, ответственное за настройку, внедрение и сопровождение ИСПДн Рязанской городской Думы, обеспечивающее функционирование ИСПДн Рязанской городской Думы и СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент, уполномочен осуществлять предоставление и разграничение доступа пользователям ИСПДн Рязанской городской Думы к элементам, хранящим персональные данные.

6.1.2. Администратор ИСПДн Рязанской городской Думы обладает следующим уровнем доступа и знаний:

— обладает полной информацией о системном и прикладном программном обеспечении ИСПДн Рязанской городской Думы;

— обладает полной информацией о технических средствах и конфигурации ИСПДн Рязанской городской Думы;

— имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн Рязанской городской Думы;

— обладает правами конфигурирования и административной настройки технических средств ИСПДн Рязанской городской Думы;

— обладает полной информацией об ИСПДн Рязанской городской Думы;

— имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн Рязанской городской Думы;

— не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных);

— уполномочен реализовывать политику безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь ИСПДн Рязанской городской Думы получает возможность работать с элементами ИСПДн Рязанской городской Думы;

— уполномочен осуществлять аудит средств защиты;

— уполномочен устанавливать доверительные отношения своей защищенной сети с сетями других ведомств и учреждений.

6.2. Пользователи ИСПДн Рязанской городской Думы:

6.2.1. Пользователь ИСПДн Рязанской городской Думы — должностное лицо Рязанской городской Думы, осуществляющее обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в системы ИСПДн Рязанской городской Думы, формирование справок и отчетов по информации, полученной из ИСПДн Рязанской городской Думы. Пользователь ИСПДн Рязанской городской Думы не имеет полномочий для управления подсистемами обработки данных и СЗПДн.

6.2.2. Пользователь ИСПДн Рязанской городской Думы обладает следующим уровнем доступа и знаний:

— обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

— располагает конфиденциальными данными, к которым имеет доступ.

7. Требования к персоналу по обеспечению защиты персональных данных (ПДн)

7.1. Все должностные лица Рязанской городской Думы, являющиеся пользователями ИСПДн Рязанской городской Думы (далее — работники), должны четко знать и строго выполнять установленные правила и обязанности по доступу к персональным данным и соблюдению режима безопасности ПДн.

7.2. При вступлении в должность нового работника лицо, ответственное за организацию обработки персональных данных, осуществляемую без использования средств автоматизации в Рязанской городской Думе, обязано организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн Рязанской городской Думы.

7.3. Работник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн Рязанской городской Думы и СЗПДн.

7.4. Работники, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать несанкционированного доступа к ним, а также возможности их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

7.5. Работники должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).

7.6. Работники должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

7.7. Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию.

7.8. Работникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с ИСПДн Рязанской городской Думы, третьим лицам.

7.9. При работе с ПДн в ИСПДн Рязанской городской Думы работники обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.

7.10. При завершении работы с ИСПДн Рязанской городской Думы работники обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например доступом по паролю, если не используются более сильные средства защиты.

7.11. Работники должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на работников, которые нарушили принятые политику и процедуры безопасности ПДн.

7.12. Работники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн Рязанской городской Думы, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководителю структурного подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

8. Должностные обязанности пользователей ИСПДн

Должностные обязанности пользователей ИСПДн описаны в следующих документах:

— Инструкция Администратора ИСПДн Рязанской городской Думы;

— Инструкция пользователя ИСПДн Рязанской городской Думы.

9. Ответственность пользователей ИСПДн

9.1. В соответствии со статьей 24 Федерального закона Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных" лица, виновные в нарушении требований указанного Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

ВИДЕО ПО ТЕМЕ: Защита личной информации. Нейтрализуем угрозы Интернет-безопасности

применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах.