Приложение к Распоряжению от 12.07.2010 г № 153 Положение
Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации города Сарапула
1.Общие положения
1.1.Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации города Сарапула (далее - положение) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом "Об информации, информационных технологиях и защите информации", Федеральным законом "О персональных данных", Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 N 781, Порядком проведения классификации информационных систем персональных данных, утвержденным совместным приказом Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 N 55/86/20, и определяет содержание и порядок осуществления мероприятий по обеспечению безопасности персональных данных (далее - ПДн) при их обработке в информационных системах персональных данных (далее - ИСПДн) Администрацией города Сарапула, представляющих собой совокупность ПДн, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации.
1.2.Под техническими средствами, позволяющими осуществлять обработку ПДн, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в ИСПДн.
1.3.Безопасность ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного доступа (далее - НСД), результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
1.4.При обработке ПДн в ИСПДн должно быть обеспечено:
- проведение мероприятий, направленных на предотвращение НСД к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов НСД к ПДн;
- недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
- постоянный контроль за обеспечением уровня защищенности ПДн.
1.5.Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью средств защиты персональных данных (далее - СЗПДн), включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в ИСПДн информационные технологии. Для обеспечения безопасности ПДн при обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
1.6.Методы и способы защиты ПДн в ИСПДн устанавливаются ФСТЭК России и ФСБ России в пределах их полномочий.
1.7.Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн оценивается при проведении государственного контроля и надзора.
1.8.Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства.
1.9.Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн включают в себя:
- классификацию ИСПДн;
- определение угроз безопасности ПДн при их обработке в ИСПДн;
- разработку на их основе частной модели угроз применительно к конкретной ИСПДн;
- разработку на основе частной модели угроз СЗПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
- проверку готовности средств защиты ПДн к использованию с составлением заключений о возможности их эксплуатации;
- установку и ввод в эксплуатацию средств защиты ПДн в соответствии с эксплуатационной и технической документацией;
- обучение лиц, использующих средства защиты ПДн, применяемые в ИСПДн, правилам работы с ними;
- учет применяемых средств защиты ПДн, эксплуатационной и технической документации к ним, носителей ПДн;
- учет лиц, допущенных к работе с ПДн в ИСПДн;
- контроль за соблюдением условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;
- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты ПДн, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- описание СЗПДн.
1.10.Размещение ИСПДн, специальное оборудование и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
1.11.Лица, доступ которым к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании распоряжения Администрации города Сарапула.
1.12.Запросы пользователей ИСПДн на получение ПДн, включая лиц, указанных в п. 1.11 настоящего Положения, а также факты предоставления ПДн по этим запросам должны регистрироваться автоматизированными средствами ИСПДн в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется администраторами ИСПДн, а в случае необходимости может быть проверено работниками информационно-технического отдела Администрации города Сарапула (далее - ИТО).
1.13.При обнаружении работниками ИТО нарушений в порядке обработки и защиты ПДн ставится в известность руководитель аппарата Администрации города Сарапула (далее - Руководитель Аппарата).
1.14.Финансирование мероприятий по защите ПДн осуществляется из местного бюджета.
1.15.Настоящее положение не распространяется на ИСПДн, обрабатывающие ПДн, отнесенные в установленном порядке к сведениям, составляющим государственную тайну, а также информационные системы, обрабатывающие информацию с ограниченным доступом (конфиденциальную), не содержащую ПДн.
2.Основные мероприятия по организации и обеспечению безопасности персональных данных
2.1.Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по целям, задачам, месту и времени организационных и технических мероприятий между структурными подразделениями Администрации города Сарапула, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.
2.2.Разработка мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн Администрацией города Сарапула осуществляется ИТО.
2.3.Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством РФ требованиям, обеспечивающим защиту ПДн.
2.4.Средства защиты ПДн, применяемые в ИСПДн, должны быть сертифицированы в соответствии с требованиями по безопасности ПДн.
2.5.Порядок организации и обеспечения безопасности ПДн в ИСПДн Администрации города Сарапула включает в себя:
2.5.1.Оценку обстановки.
Оценка обстановки проводится работниками ИТО и определяет возможные способы обеспечения безопасности ПДн. Она основывается на результатах комплексного обследования ИСПДн, в ходе которого прежде всего проводится категорирование ПДн по важности.
При оценке обстановки определяется необходимость обеспечения безопасности ПДн от угроз:
- уничтожения, хищения аппаратных средств ИСПДн, носителей информации путем физического доступа к элементам ИСПДн;
- утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН);
- перехвата при передаче по проводным (кабельным) линиям связи;
- хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств;
- воспрепятствования функционированию ИСПДн путем преднамеренного электромагнитного воздействия на ее элементы;
- непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
При оценке обстановки учитывается степень ущерба, который может быть причинен в случае неправомерного использования соответствующих ПДн.
2.5.2.Обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты ПДн проводятся в соответствии с действующим законодательством.
2.5.3.Разработку замысла обеспечения безопасности ПДн (осуществляется выбор основных способов защиты ПДн).
2.5.4.Выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты.
При выборе целесообразных способов обеспечения безопасности ПДн, обрабатываемых в ИСПДн, определяются организационные меры и технические (аппаратные, программные и программно-аппаратные) сертифицированные средства защиты.
В соответствии с выявленными ИТО угрозами безопасности ПДн осуществляется планирование и проведение мероприятий, направленных на обеспечение безопасности ПДн при их обработке в ИСПДн Администрацией города Сарапула.
Модель угроз применительно к конкретной ИСПДн разрабатывается ИТО в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 14.02.2008, на основе Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 15.02.2008, по представленным департаментом информатизации необходимым техническим данным об ИСПДн.
2.5.5.Решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты предусматривает подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения.
2.5.6.Обеспечение реализации принятого замысла защиты ПДн.
2.5.7.Планирование мероприятий по защите ПДн. Осуществляется в соответствии с разделом 3 настоящего положения.
2.5.8.Организацию и проведение работ по созданию СЗПДн в рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних лицензированных организаций, решение основных задач взаимодействия.
2.5.9.Разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.
2.5.10.Развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн.
2.5.11.Доработку СЗПДн по результатам опытной эксплуатации.
2.6.В целом обеспечение безопасности ПДн при их обработке в ИСПДн достигается реализацией совокупности организационных и технических мер, причем в интересах обеспечения безопасности ПДн в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных и методических документов по защите ПДн в автоматизированных системах, учитывая при этом, что ПДн отнесены к информации ограниченного доступа.
2.7.В связи с тем, что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации.
3.Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
3.1.В целях осуществления технического обеспечения безопасности ПДн при их обработке в ИСПДн, в зависимости от класса ИСПДн в Администрации города Сарапула реализовываются следующие мероприятия:
- мероприятия по защите от НСД к ПДн при их обработке в ИСПДн;
- мероприятия по защите информации от утечки по техническим каналам.
3.2.Мероприятия по защите ПДн при их обработке в ИСПДн от НСД и неправомерных действий включают:
- управление доступом;
- регистрацию и учет;
- обеспечение целостности;
- контроль отсутствия НДВ (недекларированные возможности);
- антивирусную защиту;
- обеспечение безопасного межсетевого взаимодействия ИСПДн;
- анализ защищенности;
- обнаружение вторжений.
3.2.1.Подсистему управления доступом, регистрации и учета необходимо реализовывать на базе программных средств блокирования несанкционированных действий, сигнализации и регистрации. Это специальные, не входящие в ядро какой-либо операционной системы программные и программно-аппаратные средства защиты самих операционных систем, электронных баз ПДн и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для ИСПДн действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и имитации.