АДМИНИСТРАЦИЯ ГОРОДСКОГО ОКРУГА
ЗАКРЫТОГО АДМИНИСТРАТИВНО-ТЕРРИТОРИАЛЬНОГО ОБРАЗОВАНИЯ
СИБИРСКИЙ
ПОСТАНОВЛЕНИЕ
от 8 сентября 2011 г. № 413
ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ЗАТО СИБИРСКИЙ И
ПЛАНА-ПЕРЕЧНЯ ТЕХНИЧЕСКИХ МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ИСПДН В АДМИНИСТРАЦИИ ЗАТО СИБИРСКИЙ
В соответствии с требованиями Федерального закона
Российской Федерации от 27 июля 2006 года № 152-ФЗ "О персональных данных", системным подходом к обеспечению информационной безопасности и стремительным расширением сферы применения новейших информационных технологий и процессов в Администрации ЗАТО Сибирский при обработке информации вообще и персональных данных в частности постановляю:
1. Утвердить прилагаемые Политику
информационной безопасности персональных данных в Администрации ЗАТО Сибирский и План-перечень (не приводится) технических мероприятий по обеспечению безопасности ИСПДн в Администрации ЗАТО Сибирский.
2. Управлению по муниципальным информационным ресурсам Администрации ЗАТО Сибирский (С.Ю.Болотникова) опубликовать настоящее постановление в газете "Сибирский вестник".
3. Контроль за исполнением постановления возложить на заместителя Главы Администрации по социальным вопросам О.Б.Гречушникову.
Глава Администрации
С.М.ДРАЧЕВ
Утверждена
Постановлением
Администрации ЗАТО Сибирский
от 8 сентября 2011 г. № 413
ПОЛИТИКА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ ЗАТО СИБИРСКИЙ
1. Общие положения
В настоящем документе используются следующие термины и их определения.
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Аутентификация отправителя данных - подтверждение того, что отправитель полученных данных соответствует заявленному.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.
Доступ в операционную среду компьютера (информационной системы персональных данных) - получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.
Доступ к информации - возможность получения информации и ее использования.
Закладочное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
3.5. Технический специалист по обслуживанию
периферийного оборудования
Технический специалист по обслуживанию периферийного оборудования - работник, который осуществляет обслуживание и настройку периферийного оборудования ИСПДн. Технический специалист по обслуживанию не имеет доступа к ПДн, не имеет полномочий для управления подсистемами обработки данных и безопасности.
Технический специалист по обслуживанию обладает следующим уровнем доступа и знаний:
- обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
- обладает частью информации о технических средствах и конфигурации ИСПДн;
- знает имя доступа к АРМ.
3.6. Программист-разработчик ИСПДн
Программисты-разработчики (поставщики) прикладного программного обеспечения - работники, обеспечивающие сопровождение данного программного обеспечения на защищаемом объекте. К данной группе могут относиться как работники Администрации ЗАТО Сибирский и органов Администрации ЗАТО Сибирский, так и работники сторонних организаций.
Лицо этой категории:
- обладает информацией об алгоритмах и программах обработки информации на ИСПДн;
- обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;
- может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.
4. Требования к персоналу по обеспечению защиты ПДн
Все работники Администрации ЗАТО Сибирский, являющиеся пользователями ИСПДн, а также привлекаемые работники сторонних организаций, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
При вступлении в должность нового работника непосредственный начальник обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
Работник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.
Работники Администрации ЗАТО Сибирский, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов. Они должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации), должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Запрещается устанавливать постороннее программное обеспечение, подключать к АРМ личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию, разглашать защищаемую информацию, которая стала им известна при работе с информационными системами Администрации ЗАТО Сибирский, третьими лицами.
При работе с ПДн в ИСПДн работники Администрации ЗАТО Сибирский обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов. При завершении работы с ИСПДн они обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты. Они должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение, ознакомлены с утвержденной процедурой наложения дисциплинарных взысканий на работника, которые нарушили принятые политику и процедуры безопасности ПДн.
Работники Администрации ЗАТО Сибирский обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству, а также администратору ИСПДн и администратору безопасности ИСПДн.
5. Должностные обязанности пользователей ИСПДн
Должностные обязанности пользователей ИСПДн описаны в следующих документах:
- инструкция администратора ИСПДн;
- инструкция администратора безопасности;
- инструкция пользователя ИСПДн;
- инструкция пользователя ИСПДн при возникновении внештатных ситуаций.
6. Ответственность работников Администрации ЗАТО Сибирский
и органов Администрации
В соответствии со ст. 24
Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ "О персональных данных" лица, виновные в нарушении требований данного Федерального закона
, несут предусмотренную законодательством Российской Федерации ответственность.
Администратор ИСПДн и администратор безопасности ИСПДн несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
При нарушениях работниками-пользователями ИСПДн Администрации ЗАТО Сибирский правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.
7. Заключительные положения
Приведенные выше требования нормативных документов по защите информации должны быть отражены в Положениях о соответствующих органах Администрации ЗАТО Сибирский, осуществляющих обработку ПДн в ИСПДн, и должностных инструкциях работников Администрации ЗАТО Сибирский и органов Администрации ЗАТО Сибирский.
Необходимо внести в Положения о соответствующих органах Администрации ЗАТО Сибирский, осуществляющих обработку ПДн в ИСПДн, сведения об ответственности их руководителей и работников за разглашение и несанкционированную модификацию (искажение, фальсификацию) ПДн, а также за неправомерное вмешательство в процессы их автоматизированной обработки.