П О С Т А Н О В Л Е Н И Е от 11 октября 2012 года № 177 Об организации работ по обеспечению безопасности персональных данных в администрации МО Петровское сельское поселение

Опубликовано в рубрике ,
Наименование:П О С Т А Н О В Л Е Н И Е от 11 октября 2012 года № 177 Об организации работ по обеспечению безопасности персональных данных в администрации МО Петровское сельское поселение
Дата:11.10.2012
Cкачать: ms-word

Администрация муниципального образования

Петровское сельское поселение муниципального образования

Приозерский муниципальный район

Ленинградской области

 

П О С Т А Н О В Л Е Н И Е

 

От  11 октября 2012 года                                                                                                      №  177

Об организации работ по обеспечению безопасности

персональных данных  в администрации МО

Петровское сельское поселение

 

C целью приведения информационных систем администрации муниципального образования Петровское сельское поселение, обрабатывающих персональные данные,  в соответствие с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением  Правительства Российской Федерации от 17 ноября 2007 года №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 5 февраля 2010 г. N58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» и установления единого порядка организации работ по защите персональных данных при их обработке в информационных системах администрации:

  1. Утвердить и ввести в действие «Положение об организации и обеспечении защиты персональных данных при их обработке в информационных системах» администрации МО Петровское сельское поселение.
  2. Организовать работу по защите персональных данных администрации в соответствии с Положением.
  3. Изготовить журналы, разработать инструкции и организовать работу с персональными данными в соответствии с формами документов, являющимися Приложениями к Положению.
  4. Ознакомить всех работников, обрабатывающих персональные данные, с «Положением об организации и обеспечении защиты персональных данных при их обработке в информационных системах» под роспись.
  5. Контроль исполнения настоящего приказа оставляю за собой.

 

Глава администрации                                                                 Т.В.Комракова

 

 

Торопова И.И.

 

Разослано: 2-дело, 1- прокуратура

УТВЕРЖДЕНО

Постановлением администрации МО

Петровское сельское поселение

От 11 октября 2012 года № 177

 

 

 

 

Администрация муниципального образования

Петровское сельское  поселение муниципального образования

Приозерский  муниципальный  район Ленинградской области

 

 

 

Положение об организации

и обеспечении защиты персональных данных при их

обработке в информационных системах 

 

 

2012 г

 

ОГЛАВЛЕНИЕ

 

  1. Область применения. 3
  2. Термины и определения. 3
  3. Общие положения. 8
  4. Организация обеспечения безопасности персональных данных. 9
  5. Методы и способы защиты персональных данных. 14
  6. Мероприятия по защите при обработке персональных данных без использования средств автоматизации. 17
  7. Порядок предоставления доступа к персональным данным.. 17
  8. Порядок модернизации системы защиты персональных данных. 18
  9. Порядок контроля эффективности мер по защите персональных данных. 18
  10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. 20
  11. Заключение. 20

 

 

1.      Область применения

  • Настоящее Положение предназначено для регулирования отношений, связанных с обеспечением безопасности персональных данных, обрабатываемых в автоматизированных системах Администрация муниципального образования Петровское сельское поселение (далее Администрация).
  • Положение предусматривает принятие необходимых организационных и технических мер для защиты персональных данных, обрабатываемых в автоматизированных системах Администрации, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
  • В область применения Положения не входят вопросы, связанные с порядком отнесения информации, хранимой и обрабатываемой в автоматизированных системах Администрации муниципального образования Петровское сельское поселение, к персональным данным и особенности их обработки.

2.      Термины и определения

В настоящем Положении используются следующие термины и определения.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Аутентификация отправителя данных – подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных – состояние защищенности персо­нальных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, це­лостность и доступность персональных данных при их обработке в информа­ционных системах персональных данных.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведе­нию.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных про­грамм.

Доступ к информации – возможность получения информации и ее использования.

Закладочное устройство – элемент средства съема информации, скрыт­но внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, пред­меты интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информа­ции.

Идентификация – присвоение субъектам и объектам доступа иденти­фикатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информативный сигнал – электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные) обрабаты­ваемая в информационной системе персональных данных.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторон­них лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблю­дения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран – локальное (однокомпонентное) или функциональ­но-распределенное программное (программно-аппаратное) средство (ком­плекс), реализующее контроль за информацией, поступающей в информаци­онную систему персональных данных и (или) выходящей из информацион­ной системы.

Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных дан­ных.

Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) – дос­туп к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, коли­чественных характеристик физических величин.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор (персональных данных)  – государственный орган, муниципальный орган, юридиче­ское или физическое лицо, организующее и (или) осуществляющее обработ­ку персональных данных, а также определяющие цели и содержание обра­ботки персональных данных.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, пе­реговорные и телевизионные устройства, средства изготовления, тиражиро­вания документов и другие технические средства обработки речевой, графи­ческой, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Перехват (информации) – неправомерное получение информации с ис­пользованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возни­кающие как побочное явление и вызванные электрическими сигналами, дей­ствующими в их электрических и магнитных цепях, а также электромагнит­ные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Политика «чистого стола» – комплекс организационных мероприятий, контролирующих отсутствие записывания на бумажные носители ключей и атрибутов доступа (паролей) и хранения их вблизи объектов доступа.

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

Программное (программно-математическое) воздействие – несанкцио­нированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных.

Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случай­ного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информаци­онной системе персональных данных или в результате которых уничтожают­ся материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам – некон­тролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость – слабость в средствах защиты, которую можно использо­вать для нарушения системы или содержащейся в ней информации.

Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

3.      Общие положения

  • Настоящее Положение разработано в соответствии с Федеральным законом РФ от 27 июля 2006 года №152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Постановлениями Правительства РФ от 17 ноября 2007 года №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств  автоматизации»,  Постановлением Правительства Российской Федерации от 21 марта 2012 г. N211г. «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказом ФСТЭК России от 5 февраля 2010 г. №58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» и устанавливает единый порядок организации работ по защите персональных данных при их обработке в информационных системах Администрации муниципального образования Петровское сельское поселение  (далее Администрация).
  • Под безопасностью персональных данных понимается состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз в области персональных данных. Безопасность персональных данных при их обработке в автоматизированных системах Администрации достигается исключением или существенным затруднением неправомерного или случайного доступа к персональным данным с целью уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий с ними.
  • Безопасность персональных данных обеспечивается системой защиты персональных данных, включающей в себя назначение ответственных лиц, проведение организационных мероприятий и внедрение программно-технических средств защиты информации, а также используемыми в автоматизированных системах Администрации информационными технологиями, техническими и программными средствами, предназначенными для исключения несанкционированного, в том числе случайного, доступа к персональным данным. Результатом несанкционированного, в том числе случайного, доступа к персональным данным могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.
  • Система защиты персональных данных должна обеспечивать:
  • предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права на доступ к такой информации;
  • своевременное обнаружение фактов несанкционированного доступа к персональным данным;
  • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого нарушается их функционирование;
  • постоянный контроль уровня защищенности персональных данных.
  • Общий процесс обеспечения безопасности персональных данных при их обработке в автоматизированных системах Администрации включает:
  • инвентаризацию персональных данных в автоматизированных системах;
  • анализ процессов обработки персональных данных в автоматизированных системах;
  • задание базовых требований по обеспечению безопасности персональных данных;
  • разработку моделей угроз, моделей вероятных нарушителей и оценку рисков нарушения безопасности ПД в автоматизированных системах;
  • уточнение (по результатам оценки рисков) и оформление требований по обеспечению безопасности персональных данных в автоматизированных системах;
  • разработку и реализацию организационных и технических мер для защиты персональных данных;
  • контроль эффективности принятых мер по защите персональных данных.
  • Обработка персональных данных осуществляется в целях:
  • обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
  • содействия работникам Администрации в прохождении муниципальной службы Российской Федерации, в их обучении и должностном росте;
  • обеспечения личной безопасности субъектов персональных данных и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества;
  • предоставления возможности работникам контрагентов Администрации выполнения обязанностей, предусмотренных договорами между Администрацией и её контрагентами;
  • выполнения работниками и служащими муниципальных органов и органов местного самоуправления их должностных обязанностей в рамках отношений с Администрацией.
  • Все работники Администрации, допущенные к работе с персональными данными, должны быть ознакомлены под роспись с настоящим Положением, иными документами Администрации, устанавливающими порядок обработки персональных данных.
  • Целью настоящего Положения является обеспечение защиты прав и свобод работников Администрации и субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  • Настоящее Положение является локальным нормативным актом администрации МО Петровское сельское поселение, обязательным для выполнения всеми работниками Администрации.

4.      Организация обеспечения безопасности персональных данных

  • Общее руководство и контроль процесса обеспечения безопасности персональных данных при их обработке в автоматизированных системах осуществляет глава Администрации.
  • Обработка персональных данных осуществляется:
  • после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Санкт -Петербургу и Ленинградской области;
  • после получения согласия субъекта персональных данных;
  • после принятия необходимых мер по защите персональных данных.
  • Администрация, как оператор персональных данных, обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:

1) назначение Администрацией, являющейся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание Администрацией, документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Администрации в отношении обработки персональных данных, локальным актам Администрации;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых Администрацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;

6) ознакомление работников Администрации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

  • Глава Администрации своим постановлением «О создании рабочей группы по приведению информационных систем персональных данных в соответствие с требованиями Федерального Закона «О персональных данных» определяет перечень лиц, назначенных для разработки и осуществления «Плана мероприятий по организации обработки и обеспечению безопасности персональных данных» в Администрации, а также для проведения работ по классификации имеющихся информационных систем персональных данных.
  • Акты классификации утверждаются главой Администрации.
  • На каждую специальную информационную систему должна быть разработана Модель угроз безопасности информационной системы персональных данных, утвержденная главой Администрации.
  • Распоряжением главы Администрации утверждается:
  • Перечень персональных данных, обрабатываемых в муниципальном органе в связи с реализацией трудовых отношений;
  • Перечень персональных данных, обрабатываемых в муниципальном органе в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
  • Перечень информационных систем персональных данных;
  • Перечень должностей служащих муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
  • Перечень должностей служащих муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
  • Глава Администрации своим постановлением осуществляет назначение лиц, ответственных за обеспечение безопасности персональных данных и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных в подразделениях Администрации.
  • Для выполнения операций по администрированию (настройке) средств защиты информации должен быть назначен администратор безопасности и администратор информационной системы персональных данных.
  • Лицо, ответственное за обеспечение безопасности персональных данных должно выполнять свои обязанности по защите персональных данных в соответствии с «Инструкцией лица, ответственного за обеспечение безопасности персональных данных» (Приложение №3 к Положению).
  • Администратор безопасности выполняет свои обязанности по защите персональных данных в соответствии с Руководством администратора безопасности информационной системы персональных данных.
  • Непосредственную ответственность за соблюдение порядка обработки персональных данных несут пользователи, допущенные к обработке персональных данных.
  • Лица, обрабатывающие персональные данные, должны выполнять свои обязанности в соответствии с «Инструкцией персоналу, в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (Приложение №5) и Руководством пользователя средств защиты информации.
  • Лица, допущенные к обработке персональных данных, перед началом работы должны ознакомиться под роспись с настоящим Положением и подписать «Обязательство служащего муниципального органа непосредственно осуществляющего обработку персональных данных о неразглашении информации, содержащей персональные данные», по форме согласно Приложению №6 к настоящему Положению.
  • В качестве специалистов по техническому обслуживанию технических средств и специализированного программного обеспечения информационной системы персональных данных могут привлекаться специалисты сторонних специализированных организаций на основании заключенного договора и соглашения о конфиденциальности.
  • При определении обязанностей пользователей автоматизированных систем персональных данных, отраженных в «Инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн», необходимо учитывать, что безопасность персональных данных при их обработке обеспечивается:
  • выполнением пользователями ИСПДн требований по соблюдению конфиденциальности персональных данных;
  • выполнением пользователями ИСПДн требований по безопасности персональных данных, предъявляемых к средствам защиты информации, автоматизированных систем персональных данных, информационно – телекоммуникационным сетям, используемым при обработке персональных данных;
  • надежным хранением пользователями ИСПДн носителей персональных данных и средств защиты информации;
  • сообщением должностным лицам, обеспечивающую безопасность персональных данных, о ставших известными пользователям ИСПДн попытках посторонних лиц получить персональные данные, сведения об используемых средствах защиты информации и т.п.;
  • своевременным возвращением уполномоченным лицам носителей персональных данных, уничтожением персональных данных по достижению целей их использования, при увольнении пользователей ИСПДн или отстранении их от исполнения обязанностей, связанных с использованием персональных данных;
  • немедленным уведомлением должностных лиц, обеспечивающих безопасность персональных данных, о фактах утраты или недостачи носителей персональных данных, средств защиты информации и о других фактах, которые могут привести к нарушению конфиденциальности персональных данных, разглашению иных защищаемых сведений ограниченного доступа, а также о причинах и условиях возможной утечки таких сведений.
  • Лицам, доступ которых к персональным данным, необходим для выполнения служебных (трудовых) обязанностей, запрещается:
  • получать, обрабатывать персональные данные субъектов персональных данных о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
  • обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;
  • осуществлять голосовой ввод (вывод) персональных данных в автоматизированную систему персональных данных.
  • Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации должна осуществляться в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007г. №781, нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
  • Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации:
  • при отсутствии установленных и настроенных сертифицированных средств защиты информации;
  • при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.
  • Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

  • Схема организации работ по защите персональных данных представлена на рисунке.

 

5.      Методы и способы защиты персональных данных

  • Работы по обеспечению безопасности персональных данных при их обработке в ИСПДн являются неотъемлемой частью работ по созданию ИСПДн. Результатом этих работ должно быть создание системы (подсистемы) защиты персональных данных ИСПДн.
  • Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПДн должны носить плановый характер и отражаться в ежегодно утверждаемом «Плане мероприятий по организации обработки и обеспечению безопасности персональных данных», разрабатываемым должностным лицом, ответственным за обеспечение безопасности персональных данных, и утверждаемых главой Администрации.
  • Методами и способами защиты информации от несанкционированного доступа являются:
  • реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам, описанной в документе «Положение о разрешительной системе допуска пользователей и обслуживающего персонала к информационным ресурсам и системе защиты персональных данных» (Приложение №7);
  • ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
  • регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
  • учёт и хранение съёмных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
  • резервирование технических средств, дублирование массивов и носителей информации;
  • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  • использование защищенных каналов связи;
  • размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
  • организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
  • предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
  • Разрешительная система допуска пользователей (обслуживающего персонала) к информационным ресурсам информационной системы и связанным с ее использованием работам, документам должна осуществляться на основании распоряжения главы Администрации.
  • Посторонние лица не допускаются к работе на компьютерах Администрации. Персональный компьютер, на котором ведётся обработка персональных данных, закрепляется руководителем Администрации за конкретным работником.
  • Ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также к местам хранения носителей информации достигается путём введения мероприятий контроля физического доступа лиц, не допущенных к обработке персональных данных в защищаемые помещения, и организационными мероприятиями с целью исключения возможности неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц, особенно в нерабочее время.

Запрещается осуществлять ввод и обработку персональных данных в присутствии посторонних лиц, если возможен визуальный обзор этих данных.

  • Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации должно осуществляться путем назначения прав доступа пользователей только к тем модулям и папкам, разделам и директориям, работа с которыми разрешена конкретному пользователю.

Вход в информационную систему, обрабатывающую персональные данные, должен быть защищён индивидуальным паролем длиной не менее восьми символов. Пользователь не имеет права разглашать этот пароль.

В случае обнаружения факта, что пароль стал известен другим лицам, пользователю необходимо доложить о данном факте администратору безопасности и прекратить обработку сведений, содержащих персональные данные до особого указания.

Порядок  работы со средствами защиты информации изложен в «Руководстве пользователя средств защиты информации».

  • Регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц должны осуществляться путем использования соответствующих механизмов сертифицированных средств защиты от несанкционированного доступа, установленных на все средства вычислительной техники, обрабатывающие персональные данные.
  • Учёт и хранение съёмных носителей информации и их обращение, исключающее хищение, подмену и уничтожение должны осуществляться на основании установленных в Администрации правил. Места хранения съёмных носителей персональных данных определяются распоряжением Администрации.

Все съемные носители информации должны быть учтены в «Журнале учёта съемных носителей персональных данных» с помощью их маркировки и выданы ответственным лицам под роспись.  Ответственные лица обязаны использовать съёмные носители информации только по их прямому назначению и обеспечить их хранение в сейфах или других местах, исключающих доступ к ним посторонних лиц.

Перед началом работы с любым внешним носителем информации проводится контроль носителя на наличие вирусов. При выявлении вирусов или других вредоносных программ, необходимо принять меры по его удалению средствами сертифицированного антивирусного программного обеспечения, а в случае невозможности лечения зараженного объекта —  прекратить работу с данным внешним носителем информации  и доложить о данном факте администратору безопасности.

  • С целью обеспечения возможности незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, должно быть организовано их резервирование. При определении периодичности резервирования информации необходимо учитывать объем обновляемых персональных данных, а также возможный ущерб от нарушения функционирования конкретной ИСПДн.

Ответственные за сохранность персональных данных должны резервировать технические средства, обрабатывающие персональные данные, дублировать  массивы персональных данных в соответствии с утвержденными графиками.

  • Использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия для защиты персональных данных предписано законодательными актами РФ.

Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету в  «Журнале учёта средств защиты информации, эксплуатационной и технической документации к ним» (Приложение №10).

  • Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств защиты. При выходе линий и каналов связи, по которым передается защищаемая информация, за пределы контролируемой зоны, использование в качестве каналов связи сети интернет — использование защищенных каналов связи является обязательным условием. Для защиты передаваемых данных должно быть обеспечено шифрование данных с использованием российских сертифицированных криптоалгоритмов, используя сертифицированные ФСБ России средства защиты информации.
  • Размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории позволяет защитить их от несанкционированного доступа посторонних лиц, не допущенных к обработке персональных данных.
  • Организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных, предполагает введение режима ограничения доступа путем организации охраны помещений, оборудования помещений охранной сигнализацией, а также наличием надёжных замков и решёток на окнах.

Эти мероприятия должны обеспечить сохранность носителей персональных данных и средств защиты информации, а также исключить возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

  • Предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок осуществляется путём обязательного применения на всех АРМ, обрабатывающих персональные данные, сертифицированных средств антивирусной защиты и регулярным обновлением антивирусных баз данных.
  • Передача сведений, содержащих персональные данные, может осуществляться только в случае, если лицо, получающее сведения, содержащие персональные данные имеет право на их получение. Передача сведений, содержащих персональные  данные, обязательно регистрируется в письменном виде с подписью лиц, передающих и принимающих персональные данные в «Журнале регистрации внутренних и исходящих документов, содержащих персональные данные».
  • Входящие документы, содержащие персональные данные, должны регистрироваться в  «Журнале приема и регистрации входящих документов, содержащих персональные данные» и передаваться лицу, ответственному за их обработку, под роспись.
  • Выгрузку сведений, содержащих персональные данные, на внешние носители информации, разрешается выполнять только лицам, уполномоченным на эти действия.

6.      Мероприятия по защите при обработке персональных данных без использования средств автоматизации

  • Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
  • При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
  • Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
  • Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.
  • Электронные носители информации, содержащие персональные данные, должны учитываться в журнале учёта, хранения и обращения съёмных носителей информации.
  • Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

При необходимости уничтожения персональных данных уничтожается материальный носитель, содержащий уничтожаемые персональные данные.

  • Документы и внешние (съёмные) электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Администрацией.

7.      Порядок предоставления  доступа к персональным данным

  • Внутренний доступ к персональным данным субъекта персональных данных имеют уполномоченные работники Администрации, которым эти данные необходимы для выполнения должностных обязанностей.
  • Пользователь информационной системы персональных данных имеет доступ только к персональным данным, необходимым ему для выполнения задач по должностному предназначению. При этом обеспечивается конфиденциальность персональных данных, обрабатываемых другими пользователями.  Порядок доступа пользователей к информационной системе персональных данных Администрации определяется руководителем в «Положении о разрешительной системе допуска пользователей и обслуживающего персонала к информационным ресурсам и системе защиты персональных данных» (Приложение №7).
  • Разрешительная система доступа пользователей к информационным ресурсам ИСПДн организуется и поддерживается ответственным за обеспечение безопасности персональных данных и администратором информационной безопасности ИСПДн в виде Регламента разграничения прав доступа и матрицы доступа и реализуется с помощью средств защиты от несанкционированного доступа. Матрица доступа должна отражать полномочия пользователей по выполнению конкретных действий в отношении информационных ресурсов информационной системы персональных данных (чтение, запись, корректировка, удаление).

8.      Порядок модернизации системы защиты персональных данных

  • При модернизации информационной системы персональных данных должны быть выполнены следующие основные мероприятия по обеспечению безопасности (контролю уровня защищенности) персональных данных при их обработке:
  • корректировка модели угроз безопасности персональных данных и обоснование требований по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн;
  • разработка перечня мероприятий по защите персональных данных в соответствии с уровнем защищенности ИСПДн;
  • выбор способов, мер и средств защиты персональных данных в соответствии с мероприятиями по защите;
  • разработка технического задания (ТЗ) на СЗПДн;
  • корректировка документов, регламентирующих вопросы организации обеспечения безопасности персональных данных и эксплуатации системы защиты в ИСПДн;
  • проведение работ по оценке соответствия ИСПДн требованиям безопасности персональных данных.

Проведение работ по оценке соответствия ИСПДн требованиям безопасности персональных данных при создании и изменении ИСПДн для государственных учреждений, органов государственной власти и местного самоуправления является обязательным.

9.      Порядок контроля эффективности мер по защите персональных данных

  • Контрольные функции по оценке эффективности принятых мер по защите персональных данных Администрации осуществляет ответственный за обеспечение безопасности персональных данных в соответствии с утвержденным «Планом внутренних проверок состояния защиты персональных данных» (Приложение №1).
  • В ходе контроля за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации анализируется и оценивается:
  • организация и обеспечение безопасности персональных данных при их обработке в ИСПДн;
  • условия использования средств защиты информации, включая соблюдение правил пользования ими;
  • выполнение комплекса организационно-технических мероприятий по обеспечению безопасности персональных данных при их обработке в ИСПДн;
  • достигнутый уровень защищенности персональных данных и его соответствие заявленному.
  • При этом выполняются следующие работы:
  • мониторинг применения организационных и технических мер защиты персональных данных, обрабатываемых в автоматизированных системах Администрации;
  • оценка эффективности принятых мер по защите персональных данных;
  • определение корректирующих мер по защите персональных данных (при обнаружении недостаточной эффективности применяемых).
  • Мероприятия по контролю соблюдения требований по обработке персональных данных планируются, исходя из утверждаемого руководителем Администрации «Плана внутренних проверок состояния защиты персональных данных», и учитываются в «Журнале учёта мероприятий по контролю соблюдения требований по обработке персональных данных» (Приложение №9).
  • В соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005г №66 для организации обмена информацией конфиденциального характера участниками которого являются государственные органы и подведомственные предприятия Администрации, для организации поэкземплярного учета, контроля за соблюдением правил пользования средств криптографических защиты информации и условий их использования, работы с ключевой информацией СКЗИ в целях выполнения требований законодательства РФ для защиты персональных данных в информационных системах Администрации распоряжением администрации должны быть назначены работники, допущенные к работе с ключами средств криптографической защиты информации.
  • С целью учёта всех средств защиты информации, имеющихся в Администрации, должен вестись «Журнал учёта средств защиты информации, эксплуатационной и технической документации к ним» (Приложение №10).
  • Ответственный за обеспечение безопасности персональных данных  имеет право:
  • запрашивать у работников Администрации, обрабатывающих персональные данные, информацию, необходимую для реализации своих полномочий, и получать такую информацию, за исключением персональных данных;
  • требовать от работников Администрации уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
  • принимать в установленном порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
  • По окончании работ по защите информации, установки и настройки средств защиты информации на все элементы ИСПДн система, обрабатывающая персональные данные, должна пройти аттестационные испытания по требованиям безопасности информации ФСТЭК России. В ходе проведения работ по аттестации должно быть выдано Заключение о возможности эксплуатации системы защиты информации автоматизированной системы и о возможности выдать аттестат соответствия. Форма Заключения приведена в Приложении №12 к настоящему Положению.

10.   Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

  • Администрация, в соответствии со своими полномочиями,  владеющая информацией о персональных данных субъектов (служащих Администрации, граждан муниципального образования Петровское сельское поселение), получающая и использующая такую информацию, несет ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
  • Лица, ответственные за обеспечение безопасности персональных данных, а также служащие муниципального органа, осуществляющие обработку персональных данных, должны быть ознакомлены с документами, регламентирующими организацию и обеспечение безопасности персональных данных, под роспись и несут ответственность за несоблюдение ими требований этих документов, повлекшее нарушение конфиденциальности персональных данных в соответствии с законодательством Российской Федерации.
  • Работники Администрации, виновные в нарушении норм, регулирующих сбор, обработку, передачу, хранение и защиту персональных данных, несут предусмотренную законодательством Российской Федерации ответственность. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

11.  Заключение

Выполнение мероприятий данного Положения позволит выполнить администрации муниципального образования Петровское сельское поселение  (как оператору персональных данных) требования Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» (ст. 19 «Меры по обеспечению безопасности персональных данных при их обработке»), других нормативных правовых документов, и исключить следующие возможные негативные последствия:

  • санкции, связанные с невыполнением требований государства по обеспечению безопасности персональных данных (клиентов, партнеров, работников Администрации и пр.);
  • влияние на репутацию администрации муниципального образования Петровское сельское поселение как недобросовестного оператора персональных данных;
  • финансовый ущерб, вследствие исков, связанных с ненадлежащим исполнением администрацией муниципального образования Петровское сельское поселение обязанностей по обеспечению безопасности персональных данных;
  • негативные социальные последствия, связанные с ненадлежащей защитой персональных данных.