Полная версия
Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов
– ведение необходимой документации объекта информатизации;
– правильность определения пользователям своего подразделения необходимости и прав доступа к защищаемым информационным ресурсам.
9.7. Пользователи АС объекта информатизации несут ответственность за:
– соблюдение мер по защите информации и правил эксплуатации СВТ;
– обеспечение сохранности СВТ, машинных носителей информации и целостность установленного программного обеспечения;
– соблюдение установленных требований по обращению с машинными носителями информации.
9.8. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной, гражданско-правовой, административной, уголовной и иной предусмотренной законодательством РФ ответственности.
9.9. В случае замеченных нарушений требований данного положения работником, последний обязан немедленно сообщить об этом своему непосредственному руководителю, администратору информационной безопасностилибо начальнику отдела безопасности.
9.10. Отдел информационных технологий при эксплуатации и развертывании ИСПДн проводит следующие работы:
– по согласованию с начальниками отделов проводит анализ возможности решения определенных задач на ИСПДн и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств;
– установку (развертывание, обновление версий) программных средств, необходимых для решения в ИСПДн конкретных задач;
– удаление (затирание) программных пакетов, необходимость в использовании которых отпала;
– установку (развертывание) новых ИСПДн или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач.
9.11. Отдел безопасности при эксплуатации и развертывании ИСПДн проводит следующие работы:
– организовывает аттестацию и контрольные проверки ИСПДн;
– устанавливает и вводит в эксплуатацию средства защиты ПДн в соответствии с эксплуатационной и технической документацией к ним;
– организовывает в установленном порядке расследования причин и условий появления нарушений по вопросам технической защиты ПДн и разрабатывает предложения по устранению недостатков и предупреждению подобного рода нарушений;
– проводит анализ возможности решения (а также совмещения) указанных задач в конкретных ИСПДн (с точки зрения обеспечения безопасности) и принимает решение об отнесении их к той или иной группе по степени защищенности;
9.12. Любые планируемые изменения в составе основных или вспомогательных технических средств, изменения в системе электропитания, связи, заземления или конструкции ИСПДн должны быть в обязательном порядке согласовываться с отделом безопасности.
9.13. Иные права и обязанности работников Организации приведены в соответствующих положениях об отделах и должностных регламентах работников.
9.14 Права субъекта ПДн определяются гл. 3 Федерального закона «О персональных данных «от 27.07.2006 N 152-ФЗ.
9.15. Эксплуатация ИСПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписанием на эксплуатацию технических средств, а также требованиями соответствующих документов по вопросам защиты ПДн.
10. Планирование работ по защите персональных данных
10.1. Основные мероприятия и работы по защите ПДн в ИСПДн Организации являются составной частью плана основных мероприятий по защите информации в Организации, разрабатываемого на очередной календарный год.
10.2. План основных мероприятий по защите информации определяет перечень основных проводимых организационно-технических мероприятий по защите информации (в том числе ПДн) в Организации с указанием:
– сроков выполнения мероприятий;
– ответственных работников за исполнением соответствующих пунктов плана основных мероприятий по защите информации.
10.3. В план основных мероприятий по защите информации включаются:
– мероприятия по категорированию и аттестации объектов информатизации;
– работы по защите объектов информатизации от утечки информации по техническим каналам и НСД (созданию СЗСИ);
– мероприятия по контролю состояния защиты информации;
– мероприятия по обучению и повышению квалификации работников, допущенных к обработке ПДн,
10.4. План основных мероприятий по защите информации на очередной календарный год разрабатывается отделом информатизации и ввода данных.
10.5. Согласованный с заинтересованными лицами план основных мероприятий по защите информации утверждается распоряжением начальника Организации не позднее 25 декабря текущего года.
11. Контроль состояния защиты персональных данных
11.2. Контроль состояния защиты ПДн в Организации осуществляется с целью своевременного выявления и предотвращения утечки информации, содержащей ПДн по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на ПДн и оценки защиты ПДн от технических средств разведки (далее – контроль).
11.3. Контроль заключается в проверке выполнения требований действующего законодательства по вопросам защиты ПДн, в оценке обоснованности и эффективности принятых мер по защите ПДн и осуществляется отделом информатизации и ввода данных, в том числе с применением контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.
11.4. Контроль эффективности внедренных мер и средств защиты ПДн должен проводиться в соответствии с требованиями предписаний на эксплуатацию технических средств, требований эксплуатационной документации на сертифицированные средства ПДн, требований других нормативных документов не реже одного раза в год.
11.5. Обязательным является контроль средств защиты ПДн при вводе их в эксплуатацию после проведения ремонта средств защиты ПДн при изменениях условий и расположения или эксплуатации.
11.6. Контроль защиты информации организуется начальником Организации.
11.7. К проведению контрольных мероприятий могут привлекаться ответственные работники за эксплуатацию ИСПДн.
11.8. Для проведения некоторых мероприятий контроля (измерение сопротивления защитного заземления, выявление опасных каналов утечки информации, проверка исправности и работоспособности средств защиты информации, оценка эффективности защищенности информации и т.п.) в случае невозможности или экономической нецелесообразности их выполнения силами работников Организации могут привлекаться лицензированные сторонние организации.
11.9. Контроль состояния и эффективности защиты ПДн может осуществляться в соответствии с планом основных мероприятий по защите
информации на текущий год или носить внеплановый (внезапный) характер и может проводиться как с использованием контрольно-измерительной аппаратуры (оценка эффективности защищенности ИСПДн, контроль работоспособности средств защиты и т.п.), так и без ее применения (контроль соответствия условий эксплуатации ИСПДн, контроль соответствия требованиям организационнораспорядительной документации и т.п.).
11.10. Результаты периодического контроля оформляются отдельными протоколами или актами.
11.11. По всем выявленным нарушениям требований по защите ПДн администратор информационной безопасности в пределах предоставленных ему прав и своих функциональных обязанностей обязан добиваться их немедленного устранения.
11.12. Начальники отделов, в чьем ведении находятся ИСПДн, и ответственные за их эксплуатацию, обязаны принять все необходимые меры по немедленному устранению выявленных нарушений. При невозможности их немедленного устранения они обязаны прекратить работы с ПДн и организовать работы по устранению выявленных нарушений.
11.13. Исполнители, проводящие обработку ПДн в ИСПДн, обязаны выполнять требования по защите ПДн и ответственного за эксплуатацию ИСПДн по устранению допущенных ими нарушений норм и требований по защите ПДн и несут персональную ответственность за соблюдение требований по защите ПДн в ходе проведения работ.
11.14. Сопровождение системы защиты информации от НСД на стадии эксплуатации ИСПДн, включая ведение служебной информации (генерацию и смену паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием системы защиты ПДн от НСД, контроль соответствия общесистемной программной среды эталону (контроль целостности программного обеспечения) и приемку включаемых в ИСПДн новых программных средств, а также контроль за ходом технологического процесса обработки ПДн путем регистрации и анализа действий работников (пользователей) по системному журналу, осуществляется администратором безопасности ИСПДн.
11.15. Администратором безопасности ИСПДн назначается работник отдела безопасности.
11.16. Учет, хранение и выдача работникам паролей и ключей для системы защиты ПДн от НСД, оперативный контроль за действиями работников, использующих ИСПДн, осуществляют работники отдела безопасности.
11.17. Общий контроль, внеплановый контроль и методическое обеспечение работников, допущенных к обработке ПДн, осуществляется отделом безопасности.
11.18. Защита ПДн считается эффективной, если принимаемые меры защиты соответствуют установленным требованиям или нормам руководящих документов по защите ПДн.
11.19. Несоответствие мер установленным требованиям или нормам по защите ПДн является нарушением.
11.20..Нарушения по степени важности делятся по трем категориям:
– первая – невыполнение требований или норм по защите ПДн, в результате чего имелась или имеется реальная возможность их утечки по техническим каналам;
– вторая – невыполнение требований по защите ПДн, в результате чего создаются предпосылки к их утечке по техническим каналам;
– третья – невыполнение других требований по защите ПДн.
11.21. При обнаружении нарушений первой категории в ИСПДн необходимо:
– немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры;
– организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц;
– сообщить в отдел безопасности о вскрытых нарушениях и принятых мерах.
11.22. Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер отделом информационных технологий.
11.23. При обнаружении нарушений второй и третьей категорий начальники отделов обязаны принять необходимые меры по их устранению в сроки, согласованные с отделом информационных технологий и отделом безопасности.
12. Аттестование информационных систем персональных данных
12.1. Под аттестацией ИСПДн по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – Аттестата соответствия подтверждается, что объект (ИСПДн) соответствует требованиям стандартов или иных нормативных документов по защите ПДн, утвержденных ФСТЭК России, ФСБ России или другими органами государственного управления в пределах их компетенции.
12.1. Наличие действующего Аттестата соответствия дает право обработки ПДн соответствующей категории и объема в ИСПДн и на период времени, установленный в Аттестате соответствия.
12.2. ИСПДн классифицированные по 1 и 2 классу подлежат обязательной аттестации.
12.3. Аттестация по требованиям безопасности информации предшествует началу обработки ПДн и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты ПДн.
12.4. При аттестации ИСПДн подтверждается ее соответствие требованиям по защите информации от утечки по возможным физическим каналам и НСД к ней, за исключением проведения специальных проверок технических средств на отсутствие электронных «закладок».
12.5. Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия Использованного комплекса мер и средств защиты ПДн требуемому уровню безопасности ПДн.
12.6. Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккредитованным органом по аттестации из компетентных специалистов в необходимых для конкретной ИСПДн, по согласованной с заявителем программе испытаний.
12.7. Программа испытаний разрабатывается на основе анализа исходных данных об ИСПДн, представляемых отделом безопасности, моделью актуальных угроз ИСПДн «и должна включать необходимые виды испытаний, определенные методическими рекомендациями для соответствующих видов объектов
информатизации, а также определять сроки, условия и методики проведения испытаний.
12.8. Программа испытаний может уточняться и корректироваться в процессе испытаний по согласованию с заявителем и руководителем аттестационной комиссии.
12.9. Для проведения испытаний Организация представляет аттестационной комиссии следующие исходные данные и документацию:
– техническое задание на ИСПДн;
– технический паспорт на ИСПДн;
– приемо-сдаточную документацию на ИСПДн;
– акт классификации ИСПДн;
– состав технических и программных средств, входящих в ИСПДн;
– планы размещения технических средств и систем;
– состав и схемы размещения средств защиты ПДн;
– план контролируемой зоны;
– схемы прокладки линий передачи данных;
– схемы и характеристики систем электропитания и заземления технических средств;
– перечень защищаемых в ИСПДн ресурсов;
– организационно-распорядительная документация разрешительной системы доступа работников к защищаемым ресурсам ИСПДн;
– описание технологического процесса обработки ПДн в ИСПДн;
– технологические инструкции работникам (пользователям) ИСПДн и администратору безопасности ИСПДн;
– инструкции по эксплуатации средств защиты ПДн;
– предписания на эксплуатацию технических средств;
– протоколы специальных исследований технических средств;
– сертификаты соответствия требованиям безопасности ПДн на средства и системы обработки и передачи ПДн, используемые средства защиты ПДн
– данные по уровню подготовки кадров, обеспечивающих защиту ПДн;
– данные о техническом обеспечении средствами контроля эффективности защиты ПДн и их метрологической поверке;
– нормативную и методическую документацию по защите ПДн и контролю эффективности защиты ПДн.
12.10. Приведенный общий перечень исходных данных и документации может уточняться Организацией в зависимости от особенностей аттестуемой ИСПДн по согласованию с аттестационной комиссией.
12.11. Аттестационные испытания ИСПДн проводятся до полного их завершения в соответствии с программой испытаний вне зависимости от промежуточных результатов испытаний.
12.12. Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования ИСПДн и технологии обработки ПДн, могущих повлиять на характеристики, определяющие безопасность ПДн (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки ПДн, средства и меры защиты), на срок, устанавливаемый нормативными правовыми документами ФСТЭК России.
12.13. В случае изменений условий и технологии обработки ПДн ответственные за эксплуатацию ИСПДн лица обязаны известить об этом начальника отдела безопасности, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.
13. Взаимодействие с другими организациями
13.1. Взаимодействие по вопросам защиты ПДн Организации со сторонними организациями (при необходимости) организуется начальником отдела безопасности с целью:
– обеспечения Организации недостающими и вновь разработанными руководящими, нормативно-методическими и иными материалами по вопросам защиты ПДн;
– обеспечения средствами защиты ПДн;
– выполнения организационных и технических мероприятий в области защиты ПДн, на проведение которых у Организации отсутствует соответствующее разрешение либо отсутствуют технические средства и подготовленные работники (специалисты);
– выполнения организационных и технических мероприятий в области защиты ПДн, выполнение которых силами Организации экономически невыгодно;
– контроля эффективности проводимых мероприятий по защите ПДн.
13.2. Привлекаемая для оказания услуг в области защиты ПДн сторонняя организация должна иметь лицензию на соответствующий вид деятельности.
13.3. Перечень совместно выполняемых организационных и технических мероприятий в области защиты ПДн определяется с учетом планируемых работ по созданию (реконструкции) ИСПДн и включается в себя план основных мероприятий по защите ПДн.
13.4. С привлекаемой организацией Организация заключает двусторонний договор (соглашение, контракт).
Заместитель начальника
отдела безопасности А. А. Злой
Лист ознакомления сотрудников
с Положением о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в Администрации президента России по г. Москва
в Администрации президента России по г. Москва
___________________________________________________
(наименование структурного подразделения)
№ п/п Фамилия, имя, отчество работника Дата ознакомления с Положением Подпись работника
1 Литарова Ольга Николаевна 15.09.2016
2 Созинова Елена Георгиевна 15.09.2016
3 Павличенко Анна Анатольевна 15.09.2016
4 Артамонова Ляля Саматовна 15.09.2016
5 Быкова Надежда Евгеньевна 15.09.2016
6 Шишаева Елена Гуновна 15.09.2016
7 Шарапова Елена Александровна 15.09.2016
8 Родина Татьяна Николаевна 15.09.2016
9 Дюк Марина Алексеевна 15.09.2016
10 Богачев Артем алексеевич 15.09.2016
11 Злой Андрей Андреевич 15.09.2016
12 Тереньтев Александр Павлович 15.09.2016
13 Поздеев Николай Борисович 15.09.2016
14 Усиков Андрей Владимирович 15.09.2016
15 Костина Наталья Витальевна 15.09.2016
16 Черный Никита Сергеевич 15.09.2016
4.Положение обработке ПДн
Приложение №2
УТВЕРЖДЕНО
Приказом ППО «Администрация президента»
по г. Москва
от «15» сентября 2017 г.
№ ______
ПОЛОЖЕНИЕ
о персональных данных в первичной профсоюзной организации «Администрация президента» по г. Москва
Комсомольск-на-Амуре
2017
Оглавление
1 Термины и определения… 3
2 Общие положения… 4
3 Обработка персональных данных… 5
4 Защита персональных данных… 8
5 Права работников на защиту своих персональных данных… 9
6 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных… 9
7 Контроль за выполнением требований настоящего Положения… 9
1. Термины и определения
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Персональные данные работников организации – информация, которая необходима работодателю в связи с трудовыми отношениями и касается конкретного работника; сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело (если работники организации являются государственными гражданскими служащими).
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием или без использования таких средств.
Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.