Официальный сайт администрации Питерского муниципального района
Четверг, 24 Августа 2017

Перечень
нормативных правовых актов и документов, используемых при организации и проведении мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

ПОЛИТИКА информационной безопасности информационных систем персональных данных администрации Питерского муниципального района Саратовской области (утверждена распоряжением от 29 мая 2015 года № 116 -рк)


1. Термины и определения


В настоящем документе используются следующие термины и их определения:

автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций;

аутентификация отправителя данных – подтверждение того, что отправитель полученных данных соответствует заявленному;

безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию;

блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи;

вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению;

вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных;

вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных;

доступ в операционную среду компьютера (информационной системы персональных данных) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ;

доступ к информации – возможность получения информации и ее использования;

защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;

информационная система персональных данных (ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации;

контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы;

нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных;

неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации;

несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных;

носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин;

обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПД (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;

перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов;

персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания;

пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования;

правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа;

программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства;

программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ;

раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных;

распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы;

специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных;

средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем;

субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа;

технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация;

трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации;

уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации;

целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).


Обозначения и сокращения


АВС – антивирусные средства;

АРМ – автоматизированное рабочее место;

ВТСС – вспомогательные технические средства и системы;

ИБ – информационная безопасность;

КЗ – контролируемая зона;

ЛВС – локальная вычислительная сеть;

МЭ – межсетевой экран;

НСД – несанкционированный доступ;

ОС – операционная система;

ПД – персональные данные;

ПМВ – программно-математическое воздействие;

ПО – программное обеспечение;

ПЭМИН – побочные электромагнитные излучения и наводки;

САЗ – система анализа защищенности;

СВТ – средства вычислительной техники;

СЗИ – средства защиты информации;

СЗПД – система (подсистема) защиты персональных данных;

СКЗИ – система криптографической защиты информации;

СОВ – система обнаружения вторжений;

ТКУИ – технические каналы утечки информации;

УБПД – угрозы безопасности персональных данных.


2. Введение


Настоящая Политика информационной безопасности (далее – Политика) администрации Питерского муниципального района Саратовской области (далее – администрации муниципального района) является официальным документом, в котором определена система обеспечения информационной безопасности администрации муниципального района.

Настоящая Политика определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных (СЗПД) в администрации муниципального района. Политика определяет основные требования и базовые подходы к их реализации для достижения требуемого уровня безопасности информации, а также требования к сотрудникам, являющимися пользователями информационных систем персональных данных в администрации муниципального района, степень их ответственности, должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в администрации муниципального района.

Политика разработана в соответствии с системным подходом к обеспечению информационной безопасности. Системный подход предполагает проведение комплекса мероприятий, включающих исследование угроз информационной безопасности и разработку системы защиты ПД с позиции комплексного применения технических и организационных мер и средств защиты.

Под информационной безопасностью ПД понимается защищенность персональных данных в обрабатывающей их инфраструктуре от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам (субъектам ПД) или инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба от возможной реализации угроз безопасности ПД, а также к прогнозированию и предотвращению таких воздействий.

Политика служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности администрации муниципального района, а также организационных и распорядительных документов, обеспечивающих ее реализацию.

Политика является основой для:

- принятия управленческих решений и разработки практических мер по реализации политики и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз ПД;

- разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ПД в информационных системах персональных данных администрации Питерского муниципального района.

Основными нормативными правовыми и методическими документами, на которых базируется настоящая Политика, являются:

- Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных»;

- постановление Правительства Российской Федерации от 21 марта 2012 года №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

- постановление Правительства Российской Федерации от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Во исполнение настоящей Политики в администрации муниципального района утверждаются следующие локальные нормативные правовые акты:

- положение об обработке персональных данных в администрации Питерского муниципального района;

- положение об организации и обеспечении защиты персональных данных в администрации Питерского муниципального района;

- перечень персональных данных, обрабатываемых в администрации муниципального района в связи  с реализацией трудовых отношений, а также в связи с оказанием государственных и муниципальных услуг и осуществлением государственных и муниципальных функций;

- перечень информационных систем персональных данных администрации муниципального района;

- перечень должностей муниципальных служащих администрации муниципального района, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

- перечень мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации в администрации муниципального района;

- модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных администрации муниципального района;

- модель нарушителя безопасности персональных данных при их обработке в информационных системах персональных данных администрации муниципального района;

- должностная инструкция ответственного за организацию обработки персональных данных в администрации муниципального района;

- инструкция работнику по обеспечению безопасности при работе с персональными данными;

- инструкция администратора безопасности информационных систем персональных данных;

- акты определения уровня защищенности персональных данных при их обработке в информационных системах администрации муниципального района;

- план проведения периодических проверок условий обработки персональных данных в администрации муниципального района;

-           иные локальные документы администрации муниципального района, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.


3. Общие положения.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.

Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение, реагирование на УБПД, предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.


4. Область действия.

Выполнение положений настоящей Политики информационной безопасности является обязательным для всех сотрудников, являющихся пользователями информационных систем персональных данных администрации муниципального района.


5. Основные принципы обеспечения информационной безопасности информационных систем персональных данных администрации муниципального района.

Определенность целей. Функциональные цели и цели информационной безопасности информационных систем персональных данных администрации Питерского муниципального района должны быть явно определены. Неопределенность приводит к «расплывчатости», невозможности оценки адекватности принятых защитных мер.

Своевременность обнаружения проблем. Необходимо своевременно обнаруживать проблемы, потенциально способные повлиять на функциональные цели и цели информационной безопасности информационных систем персональных данных администрации муниципального района.

Прогнозируемость развития проблем. Необходимо выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.

Оценка влияния проблем на функциональные цели. Необходимо адекватно оценивать степень влияния выявленных проблем на функциональные цели информационных систем персональных данных администрации муниципального района.

Адекватность защитных мер. Необходимо выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.

Эффективность защитных мер. Необходимо эффективно реализовывать принятые защитные меры.

Использование опыта при принятии и реализации решений. Необходимо накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.

Контролируемость защитных мер. Необходимо применять только те защитные меры, правильность работы которых может быть проверена, при этом необходимо регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на функциональные цели и цели информационной безопасности информационных систем персональных данных администрации муниципального района.


6. Общие условия обработки персональных данных

6.1. Обработка персональных данных в администрации муниципального района осуществляется на основе следующих принципов:

Обработка персональных данных должна осуществляться на законной и справедливой основе.

Обработка персональных данных должна быть ограничена достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Допускается обработка исключительно тех персональных данных, которые отвечают целям их обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

Не допускается обработка персональных данных, излишних по отношению к заявленным целям обработки.

При обработке персональных данных должна быть обеспечена точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Неполные или неточные данные должны быть удалены или уточнены.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством.

По достижении целей обработки или в случае утраты необходимости в достижении этих целей, персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено федеральным законодательством.

6.2. Администрация муниципального района при обработке персональных данных обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.3. Обеспечение безопасности персональных данных достигается, в частности:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

6.4. Перечень персональных данных, обрабатываемых в информационных системах персональных данных администрации муниципального района, утверждается распоряжением администрации муниципального района и по мере изменения состава обрабатываемых персональных данных подлежит пересмотру и уточнению.

6.5. Субъектами персональных данных, обработка которых осуществляется в информационных системах персональных данных администрации муниципального района, являются:

сотрудники администрации муниципального района;

субъекты персональных данных, не являющиеся сотрудниками администрации муниципального района, обратившиеся с целью получения государственных или муниципальных услуг.

6.6. Цели обработки персональных данных

Целями обработки персональных данных работников администрации муниципального района являются:

- организация учета персонала администрации муниципального района для обеспечения соблюдения требований действующих нормативных правовых актов;

- реализация администрацией муниципального района обязательств, в рамках трудовых правоотношений (на основании заключенных с работниками администрации муниципального района трудовых договоров и действующих нормативных правовых актов), а также обязательств, связанных с трудовыми правоотношениями, предусмотренных действующим законодательством Российской Федерации;

- оказание гражданам государственных и муниципальных услуг администрацией муниципального района.

Целью обработки персональных данных физических лиц является осуществление возложенных на администрацию муниципального района функций в соответствии с главой 14 Трудового кодекса Российской Федерации, Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных», Федеральным законом от 6 октября 2003 года №131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», Федеральным законом от 2 марта 2007 года №25-ФЗ «О муниципальной службе в Российской Федерации», другими нормативными правовыми актами Российской Федерации, подлежащими применению при осуществлении администрацией муниципального района деятельности по решению вопросов местного значения, закрепленных в Уставе Питерского муниципального района.

Целью обработки персональных данных представителей юридических лиц, заключивших с администрацией муниципального района договоры, является, заключение и исполнение администрацией муниципального района договора с юридическим лицом и взаимодействие с представителями юридических лиц, связанное с исполнением заключенных администрацией муниципального района договоров.

6.7. При определении объема и содержания обрабатываемых персональных данных субъектов ПД администрация муниципального района руководствуется вышеуказанными целями получения и обработки персональных данных.

6.8. Доступ работников администрации муниципального района к персональным данным, подлежащим обработке, разрешен только уполномоченным работникам в соответствии с Перечнем должностей служащих администрации муниципального района, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным. При этом указанным лицам предоставляется доступ только к персональным данным, необходимым для выполнения их служебных обязанностей в пределах задач и функций их подразделений.

6.9. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым в информационных системах персональных данных администрации муниципального района, осуществляется в соответствии с Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» и определяется Положением об обработке персональных данных в администрации муниципального района.

6.10. Перечень информационных систем персональных данных администрации муниципального района утверждается главой администрации муниципального района.

6.11. Организация и проведение мероприятий по обеспечению защиты персональных данных в администрации муниципального района осуществляется в соответствии с Положением по организации и обеспечении защиты персональных данных в администрации муниципального района.

6.12. Общее руководство организацией работ по защите персональных данных в администрации муниципального района осуществляет ответственный по организации и контролю мероприятий по защите персональных данных по администрации муниципального района.

6.13. В целях обеспечения мероприятий, предусмотренных действующим законодательством Российской Федерации в области обработки персональных данных, в администрации муниципального района назначен работник, ответственный за:

- доведение до сведения работников администрации муниципального района положений законодательства Российской Федерации о персональных данных, локальных актов администрации муниципального района по вопросам обработки персональных данных, требований к защите персональных данных;

- осуществление внутреннего контроля за соблюдением администрацией муниципального района и работниками администрации муниципального района законодательства Российской Федерации о персональных данных при обработке персональных данных в информационных системах персональных данных администрации муниципального района, в том числе требований к защите персональных данных, обрабатываемых в информационных системах персональных данных администрации муниципального района;

- осуществление внутреннего контроля за соблюдением администрацией муниципального района и работниками администрации муниципального района законодательства Российской Федерации о персональных данных при обработке персональных данных без использования средств автоматизации (на бумажных носителях), а также за организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.

6.14. Деятельность администрации муниципального района по обеспечению безопасности персональных данных контролируется уполномоченным органом по защите прав субъектов персональных данных.


7. Система защиты персональных данных.

Система защиты персональных данных (СЗПД), строится на основании:

- акта определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных;

- модели угроз безопасности персональных данных;

- руководящих документов ФСТЭК и ФСБ России.

На основании этих документов определяется необходимый уровень защищенности ПД в информационных системах персональных данных администрации муниципального района. На основании анализа актуальных угроз безопасности ПД, описанного в Модели угроз безопасности персональных данных, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПД.


8. Меры, методы и средства обеспечения требуемого уровня защищенности.

Обеспечение требуемого уровня защищенности должно достигаться с использованием мер, методов и средств безопасности. Все меры обеспечения безопасности информационных систем персональных данных администрации муниципального района подразделяются на:

- законодательные (правовые);

- морально-этические;

- организационные (административные);

- физические;

- технические (аппаратные и программные).


8.1. Законодательные (правовые) меры защиты.

К законодательным (правовым) мерам защиты относятся действующие законы Российской Федерации, указы и нормативные акты, регламентирующие правила обращения с ПД, закрепляющие права и обязанности участников информационных отношений в процессе их обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию ПД, и являющиеся сдерживающим фактором для потенциальных нарушителей.

Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом информационных систем персональных данных.


8.2. Морально-этические меры защиты.

К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.

Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений. Морально-этические меры защиты снижают вероятность возникновения негативных действий связанных с человеческим фактором.


8.3. Организационные (административные) меры защиты.

Организационные (административные) меры защиты – это меры организационного характера, регламентирующие процессы функционирования информационных систем персональных данных администрации муниципального района, использование ресурсов информационных систем персональных данных, деятельность обслуживающего персонала, таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Главная цель административных мер – сформировать основные подходы к защите информации и обеспечить их выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Реализация подходов к защите ПД в информационных системах персональных данных администрации муниципального района состоит из мер административного уровня и организационных (процедурных) мер защиты информации.

К административному уровню относятся решения руководства, затрагивающие деятельность информационных систем персональных данных в целом. Примером таких решений могут быть:

- принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности ПД, определение ответственных за ее реализацию;

- формулирование целей, постановка задач, определение направлений деятельности в области безопасности ПД;

- принятие решений по вопросам реализации программы безопасности, которые рассматриваются в администрации муниципального района;

- обеспечение нормативной (правовой) базы вопросов безопасности и т.п.

На организационном уровне определяются процедуры и правила достижения целей и решения задач информационной безопасности ПД. Эти правила определяют:

- какова область применения политики безопасности ПД;

- каковы роли, обязанности и ответственность должностных лиц, отвечающих за проведение политики безопасности ПД;

- кто имеет права доступа к ПД;

- какие меры и средства защиты использовать;

- какими мерами и средствами обеспечивается контроль за соблюдением введенного режима безопасности.

Организационные меры:

- учет лиц, допущенных к работе с персональными данными в информационных системах персональных данных администрации Питерского муниципального района; лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным;

- для выбора и реализации методов и способов защиты информации в информационных системах персональных данных администрации Питерского муниципального района требуется назначить структурное подразделение или должностное лицо (работника), ответственное за обеспечение безопасности персональных данных;

- обучение лиц, использующих средства защиты информации, применяемые в информационных системах персональных данных администрации муниципального района, правилам работы с ними;

- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

- размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПД;

- соблюдение требований регламента процессов обслуживания и осуществления модификации аппаратных и программных ресурсов информационных систем персональных данных администрации муниципального района;

- соблюдение требований регламента доступа в помещения с компонентами информационных систем персональных данных администрации муниципального района;

- соблюдение требований инструкций пользователей информационных систем персональных данных администрации муниципального района (администратора информационной безопасности).


8.4. Физические меры защиты.

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.


8.5. Технические (аппаратно-программные) средства защиты ПД.

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем персональных данных и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными (административными) мерами и используемыми физическими средствами защиты:

- обеспечена физическая целостность всех компонент информационных систем персональных данных администрации муниципального района;

- каждый сотрудник (пользователь информационной системы персональных данных) или группа пользователей имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;

- сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальных помещениях, шкафах, и т.п.);

- администратором информационной безопасности совместно с ответственным за обеспечение безопасности персональных данных осуществляется непрерывное управление и административная поддержка функционирования средств защиты.


9. Контроль эффективности системы защиты информационных систем персональных данных администрации муниципального района.


Контроль эффективности системы защиты информационных систем персональных данных администрации муниципального района должен осуществляется на периодической основе. Целью контроля эффективности является своевременное выявление ненадлежащих режимов работы информационных систем персональных данных (отключение средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а также прогнозирование и превентивное реагирование на новые угрозы безопасности ПД.

Контроль может проводиться как администратором информационной безопасности, так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также ФСТЭК России и ФСБ России в пределах их компетенции.

Контроль может осуществляться администратором информационной безопасности как с помощью штатных средств системы защиты ПД, так и с помощью специальных программных средств контроля.

Оценка эффективности мер защиты ПД проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.


10. Пользователи информационных систем персональных данных администрации Питерского муниципального района.


В информационных системах персональных данных администрации Питерского муниципального района можно выделить следующие группы пользователей, участвующих в обработке ПД:

- администратор информационной безопасности (ИБ);

- операторы АРМ.

Администратор ИБ - сотрудник, ответственный за настройку, внедрение и сопровождение информационных систем персональных данных администрации муниципального района, функционирование СЗПД. Обеспечивает функционирование подсистемы управления доступом информационной системы персональных данных и уполномочен осуществлять предоставление конечного пользователя (оператора АРМ) к элементам, хранящим персональные данные.

Администратор ИБ обладает следующим уровнем доступа и знаний:

- обладает полной информацией о системном и прикладном программном обеспечении информационных систем персональных данных администрации муниципального района;

- обладает полной информацией о технических средствах и конфигурации информационных систем персональных данных администрации муниципального района;

- имеет доступ ко всем техническим средствам обработки информации и данным информационных систем персональных данных администрации муниципального района;

- обладает правами конфигурирования и административной настройки технических средств информационных систем персональных данных администрации муниципального района;

- имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов информационных систем персональных данных администрации муниципального района;

- имеет права доступа к конфигурированию технических средств сети;

- имеет физический доступ к техническим средствам обработки информации и средствам защиты.

Администратор безопасности уполномочен:

- реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (оператор АРМ) получает возможность работать с элементами информационных систем персональных данных администрации муниципального района;

- осуществлять аудит средств защиты;

- устанавливать доверительные отношения своей защищенной сети с сетями других учреждений.

Оператор АРМ - пользователь, осуществляющий обработку ПД в информационной системе персональных данных администрации муниципального района. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПД.

Оператор информационной системы персональных данных обладает следующим уровнем доступа и знаний:

- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПД;

- располагает конфиденциальными данными, к которым имеет доступ.


11. Требования к персоналу по обеспечению защиты ПД.


Все пользователи информационных систем персональных данных администрации муниципального района должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемому объекту и соблюдению принятого режима безопасности ПД.

Пользователи информационных систем персональных данных администрации муниципального района должны быть ознакомлены со сведениями настоящей Политики, принятых процедур работы с элементами информационных систем персональных данных администрации муниципального района и СЗПД.

Пользователи информационных систем персональных данных администрации муниципального района, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

Пользователи информационных систем персональных данных администрации муниципального района должны следовать установленным процедурам поддержания режима безопасности ПД при выборе и использовании паролей (если не используются технические средства аутентификации).

Пользователи информационных систем персональных данных администрации муниципального района должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПД и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

Пользователям запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Пользователям запрещается разглашать защищаемую информацию, которая стала им известна при работе в информационных системах персональных данных администрации муниципального района, третьим лицам.

При работе с ПД в информационных системах персональных данных администрации муниципального района пользователи обязаны обеспечить отсутствие возможности просмотра ПД третьими лицами с мониторов АРМ.

Сотрудники, использующие информационные системы персональных данных администрации муниципального района, должны быть проинформированы об угрозах нарушения режима безопасности ПД и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПД.

Пользователи информационных систем персональных данных администрации муниципального района обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы системы, могущих повлечь за собой угрозы безопасности ПД, а также о выявленных ими событиях, затрагивающих безопасность ПД, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПД.


12. Должностные обязанности пользователей информационных систем персональных данных администрации муниципального района.

Должностные обязанности пользователей информационных систем персональных данных администрации муниципального района описаны в следующих документах:

- инструкция администратора информационной безопасности;

- инструкция пользователя информационной системы персональных данных администрации муниципального района.


13. Ответственность пользователей информационных систем персональных данных администрации муниципального района.

В соответствии со ст.24 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).

Администратор информационной безопасности несет ответственность за все действия, совершенные от имени его учетной записи или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.

При нарушениях сотрудниками администрации Питерского муниципального района – пользователей информационных систем персональных данных правил, связанных с безопасностью ПД, они несут ответственность, установленную действующим законодательством Российской Федерации.