АДМИНИСТРАЦИЯ ГОРОДА САРАПУЛА
РАСПОРЯЖЕНИЕ
от 12 июля 2010 г. № 153
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ПОРЯДКЕ ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ
РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ АДМИНИСТРАЦИИ ГОРОДА САРАПУЛА
Руководствуясь Федеральным законом "О персональных данных", ст. 16 Федерального закона "Об общих принципах организации местного самоуправления в Российской Федерации", Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 № 781, Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 № 687, Порядком проведения классификации информационных систем персональных данных, утвержденным совместным приказом Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20, п. 4 Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных заместителем директора ФСТЭК России от 15.02.2008:
1. Утвердить Положение
о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации города Сарапула (приложение № 1).
2. Контроль за исполнением настоящего распоряжения возложить на руководителя аппарата Администрации города Сарапула.
И.О. Главы Администрации
города Сарапула
В.В.ШАЛАЕВ
Приложение № 1
к распоряжению
Администрации города Сарапула
от 12 июля 2010 г. № 153
ПОЛОЖЕНИЕ
О ПОРЯДКЕ ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
АДМИНИСТРАЦИИ ГОРОДА САРАПУЛА
1. Общие положения
1.1. Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации города Сарапула (далее - положение) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом "Об информации, информационных технологиях и защите информации", Федеральным законом "О персональных данных", Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 № 781, Порядком проведения классификации информационных систем персональных данных, утвержденным совместным приказом Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20, и определяет содержание и порядок осуществления мероприятий по обеспечению безопасности персональных данных (далее - ПДн) при их обработке в информационных системах персональных данных (далее - ИСПДн) Администрацией города Сарапула, представляющих собой совокупность ПДн, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации.
1.2. Под техническими средствами, позволяющими осуществлять обработку ПДн, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в ИСПДн.
1.3. Безопасность ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного доступа (далее - НСД), результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
1.4. При обработке ПДн в ИСПДн должно быть обеспечено:
- проведение мероприятий, направленных на предотвращение НСД к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов НСД к ПДн;
- недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
- постоянный контроль за обеспечением уровня защищенности ПДн.
1.5. Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью средств защиты персональных данных (далее - СЗПДн), включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в ИСПДн информационные технологии. Для обеспечения безопасности ПДн при обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
1.6. Методы и способы защиты ПДн в ИСПДн устанавливаются ФСТЭК России и ФСБ России в пределах их полномочий.
1.7. Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн оценивается при проведении государственного контроля и надзора.
1.8. Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства.
1.9. Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн включают в себя:
- классификацию ИСПДн;
- определение угроз безопасности ПДн при их обработке в ИСПДн;
- разработку на их основе частной модели угроз применительно к конкретной ИСПДн;
- разработку на основе частной модели угроз СЗПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
- проверку готовности средств защиты ПДн к использованию с составлением заключений о возможности их эксплуатации;
- установку и ввод в эксплуатацию средств защиты ПДн в соответствии с эксплуатационной и технической документацией;
- обучение лиц, использующих средства защиты ПДн, применяемые в ИСПДн, правилам работы с ними;
- учет применяемых средств защиты ПДн, эксплуатационной и технической документации к ним, носителей ПДн;
- учет лиц, допущенных к работе с ПДн в ИСПДн;
- контроль за соблюдением условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;
- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты ПДн, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- описание СЗПДн.
1.10. Размещение ИСПДн, специальное оборудование и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
1.11. Лица, доступ которым к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании распоряжения Администрации города Сарапула.
1.12. Запросы пользователей ИСПДн на получение ПДн, включая лиц, указанных в п. 1.11
настоящего Положения, а также факты предоставления ПДн по этим запросам должны регистрироваться автоматизированными средствами ИСПДн в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется администраторами ИСПДн, а в случае необходимости может быть проверено работниками информационно-технического отдела Администрации города Сарапула (далее - ИТО).
1.13. При обнаружении работниками ИТО нарушений в порядке обработки и защиты ПДн ставится в известность руководитель аппарата Администрации города Сарапула (далее - Руководитель Аппарата).
1.14. Финансирование мероприятий по защите ПДн осуществляется из местного бюджета.
1.15. Настоящее положение не распространяется на ИСПДн, обрабатывающие ПДн, отнесенные в установленном порядке к сведениям, составляющим государственную тайну, а также информационные системы, обрабатывающие информацию с ограниченным доступом (конфиденциальную), не содержащую ПДн.
2. Основные мероприятия по организации и обеспечению
безопасности персональных данных
2.1. Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по целям, задачам, месту и времени организационных и технических мероприятий между структурными подразделениями Администрации города Сарапула, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.
2.2. Разработка мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн Администрацией города Сарапула осуществляется ИТО.
2.3. Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством РФ требованиям, обеспечивающим защиту ПДн.
2.4. Средства защиты ПДн, применяемые в ИСПДн, должны быть сертифицированы в соответствии с требованиями по безопасности ПДн.
2.5. Порядок организации и обеспечения безопасности ПДн в ИСПДн Администрации города Сарапула включает в себя:
2.5.1. Оценку обстановки.
Оценка обстановки проводится работниками ИТО и определяет возможные способы обеспечения безопасности ПДн. Она основывается на результатах комплексного обследования ИСПДн, в ходе которого прежде всего проводится категорирование ПДн по важности.
При оценке обстановки определяется необходимость обеспечения безопасности ПДн от угроз:
- уничтожения, хищения аппаратных средств ИСПДн, носителей информации путем физического доступа к элементам ИСПДн;
- утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН);
- перехвата при передаче по проводным (кабельным) линиям связи;
- хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств;
- воспрепятствования функционированию ИСПДн путем преднамеренного электромагнитного воздействия на ее элементы;
- непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
При оценке обстановки учитывается степень ущерба, который может быть причинен в случае неправомерного использования соответствующих ПДн.
2.5.2. Обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты ПДн проводится в соответствии с действующим законодательством.
2.5.3. Разработку замысла обеспечения безопасности ПДн (осуществляется выбор основных способов защиты ПДн).
2.5.4. Выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты.
При выборе целесообразных способов обеспечения безопасности ПДн, обрабатываемых в ИСПДн, определяются организационные меры и технические (аппаратные, программные и программно-аппаратные) сертифицированные средства защиты.
В соответствии с выявленными ИТО угрозами безопасности ПДн осуществляется планирование и проведение мероприятий, направленных на обеспечение безопасности ПДн при их обработке в ИСПДн Администрацией города Сарапула.
Модель угроз применительно к конкретной ИСПДн разрабатывается ИТО в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 14.02.2008, на основе Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 15.02.2008, по представленным департаментом информатизации необходимым техническим данным об ИСПДн.
2.5.5. Решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты предусматривает подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения.
2.5.6. Обеспечение реализации принятого замысла защиты ПДн.
2.5.7. Планирование мероприятий по защите ПДн. Осуществляется в соответствии с разделом 3
настоящего положения.
2.5.8. Организацию и проведение работ по созданию СЗПДн в рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних лицензированных организаций, решение основных задач взаимодействия.
2.5.9. Разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.
2.5.10. Развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн.
2.5.11. Доработку СЗПДн по результатам опытной эксплуатации.
2.6. В целом обеспечение безопасности ПДн при их обработке в ИСПДн достигается реализацией совокупности организационных и технических мер, причем в интересах обеспечения безопасности ПДн в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных и методических документов по защите ПДн в автоматизированных системах, учитывая при этом, что ПДн отнесены к информации ограниченного доступа.
2.7. В связи с тем что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации.
3. Мероприятия по техническому обеспечению безопасности
персональных данных при их обработке в информационных
системах персональных данных
3.1. В целях осуществления технического обеспечения безопасности ПДн при их обработке в ИСПДн, в зависимости от класса ИСПДн в Администрации города Сарапула реализовываются следующие мероприятия:
- мероприятия по защите от НСД к ПДн при их обработке в ИСПДн;
- мероприятия по защите информации от утечки по техническим каналам.
3.2. Мероприятия по защите ПДн при их обработке в ИСПДн от НСД и неправомерных действий включают:
- управление доступом;
- регистрацию и учет;
- обеспечение целостности;
- контроль отсутствия НДВ (недекларированные возможности);
- антивирусную защиту;
- обеспечение безопасного межсетевого взаимодействия ИСПДн;
- анализ защищенности;
- обнаружение вторжений.
3.2.1. Подсистему управления доступом, регистрации и учета необходимо реализовывать на базе программных средств блокирования несанкционированных действий, сигнализации и регистрации. Это специальные, не входящие в ядро какой-либо операционной системы программные и программно-аппаратные средства защиты самих операционных систем, электронных баз ПДн и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для ИСПДн действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и имитации.