Карелия официальная. Официальный портал органов государственной власти Республики Карелия
 
  |О Карелии |Символика   |Нормативные документы |  Программы | Газета "Карелия" |Справочники |  
Карта портала Поиск Новое на сайте О портале
Политика информационной безопасности информационных систем персональных данных Администрации Главы Республики Карелия

Утверждена приказом
Руководителя Администрации
Главы Республики Карелия
от 14 июня 2017 г. N 109

1. Термины и определения

В настоящем документе используются следующие термины и их определения:

автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций;

аутентификация отправителя данных – подтверждение того, что отправитель полученных данных соответствует заявленному;

безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию;

блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи;

вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению;

вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных;

вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных;

доступ в операционную среду компьютера (информационной системы персональных данных) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ;

доступ к информации – возможность получения информации и ее использования;

защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;

информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации;

контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы;

нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных;

неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации;

несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных;

носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин;

обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

оператор (персональных данных) – государственный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПД (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;

перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов;

персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания;

пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования;

правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа;

программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства;

программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ;

раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных;

распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы;

специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных;

средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем;

субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа;

технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация;

трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации;

уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации;

целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Обозначения и сокращения

АВС – антивирусные средства;

АРМ – автоматизированное рабочее место;

ВТСС – вспомогательные технические средства и системы;

ИБ – информационная безопасность;

ИСПДн – информационная система персональных данных;

КЗ – контролируемая зона;

ЛВС – локальная вычислительная сеть;

МЭ – межсетевой экран;

НСД – несанкционированный доступ;

ОС – операционная система;

ПД – персональные данные;

ПМВ – программно-математическое воздействие;

ПО – программное обеспечение;

ПЭМИН – побочные электромагнитные излучения и наводки;

САЗ – система анализа защищенности;

СВТ – средства вычислительной техники;

СЗИ – средства защиты информации;

СЗПДн – система (подсистема) защиты персональных данных;

СКЗИ – система криптографической защиты информации;

СОВ – система обнаружения вторжений;

ТКУИ – технические каналы утечки информации;

УБПДн – угрозы безопасности персональных данных.

2. Введение

Настоящая Политика информационной безопасности (далее – Политика) Администрации Главы Республики Карелия (далее – Администрации) является официальным документом, в котором определена система обеспечения информационной безопасности Администрации.

Настоящая Политика определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных (СЗПДн) в Администрации. Политика определяет основные требования и базовые подходы к их реализации для достижения требуемого уровня безопасности информации, а также требования к сотрудникам, являющимися пользователями информационных систем персональных данных в Администрации, степень их ответственности, должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в Администрации.

Политика разработана в соответствии с системным подходом к обеспечению информационной безопасности. Системный подход предполагает проведение комплекса мероприятий, включающих исследование угроз информационной безопасности и разработку системы защиты ПД с позиции комплексного применения технических и организационных мер и средств защиты.

Под информационной безопасностью ПД понимается защищенность персональных данных в обрабатывающей их инфраструктуре от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам (субъектам ПД) или инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба от возможной реализации угроз безопасности ПД, а также к прогнозированию и предотвращению таких воздействий.

Политика служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности Администрации, а также организационных и распорядительных документов, обеспечивающих ее реализацию.

Политика является основой для:

- принятия управленческих решений и разработки практических мер по реализации политики и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз ПД;

- разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ПД в информационных системах персональных данных Администрации.

Основными нормативными правовыми и методическими документами, на которых базируется настоящая Политика, являются:

- Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных»;

- постановление Правительства Российской Федерации от 21 марта 2012 года №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

- постановление Правительства Российской Федерации от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Во исполнение настоящей Политики в Администрации утверждаются следующие локальные нормативные правовые акты:

- правила по обработке персональных данных в Администрации;

- положение по защите персональных данных в Администрации;

- перечень персональных данных, обрабатываемых в Администрации в связи с реализацией трудовых отношений, а также в связи с осуществлением государственных функций;

- перечень информационных систем персональных данных Администрации;

- модели угроз и модель нарушителя безопасности персональных данных при их обработке в информационных системах персональных данных Администрации;

- должностная инструкция ответственного за организацию обработки персональных данных в Администрации;

- инструкция пользователя информационных систем персональных данных;

- инструкция администратора безопасности информационных систем персональных данных;

- акты определения уровня защищенности персональных данных при их обработке в информационных системах Администрации;

- план проведения периодических проверок условий обработки персональных данных в Администрации;

- иные локальные документы Администрации, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.

3. Общие положения.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.

Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение, реагирование на УБПДн, предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

4. Область действия.

Выполнение положений настоящей Политики информационной безопасности является обязательным для всех сотрудников, являющихся пользователями информационных систем персональных данных Администрации.

5. Основные принципы обеспечения информационной безопасности информационных систем персональных данных Администрации.

Определенность целей. Функциональные цели и цели информационной безопасности информационных систем персональных данных Администрации должны быть явно определены. Неопределенность приводит к «расплывчатости», невозможности оценки адекватности принятых защитных мер.

Своевременность обнаружения проблем. Необходимо своевременно обнаруживать проблемы, потенциально способные повлиять на функциональные цели и цели информационной безопасности информационных систем персональных данных Администрации.

Прогнозируемость развития проблем. Необходимо выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.

Оценка влияния проблем на функциональные цели. Необходимо адекватно оценивать степень влияния выявленных проблем на функциональные цели информационных систем персональных данных Администрации.

Адекватность защитных мер. Необходимо выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.

Эффективность защитных мер. Необходимо эффективно реализовывать принятые защитные меры.

Использование опыта при принятии и реализации решений. Необходимо накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.

Контролируемость защитных мер. Необходимо применять только те защитные меры, правильность работы которых может быть проверена, при этом необходимо регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на функциональные цели и цели информационной безопасности информационных систем персональных данных Администрации.

6. Общие условия обработки персональных данных

6.1. Обработка персональных данных в Администрации осуществляется на основе следующих принципов:

Обработка персональных данных должна осуществляться на законной и справедливой основе.

Обработка персональных данных должна быть ограничена достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Допускается обработка исключительно тех персональных данных, которые отвечают целям их обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

Не допускается обработка персональных данных, излишних по отношению к заявленным целям обработки.

При обработке персональных данных должна быть обеспечена точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Неполные или неточные данные должны быть удалены или уточнены.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством.

По достижении целей обработки или в случае утраты необходимости в достижении этих целей, персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено федеральным законодательством.

6.2. Администрация при обработке персональных данных обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.3. Обеспечение безопасности персональных данных достигается, в частности:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

6.4. Перечень персональных данных, обрабатываемых в информационных системах персональных данных Администрации, утверждается Руководителем Администрации Главы Республики Карелия и по мере изменения состава обрабатываемых персональных данных подлежит пересмотру и уточнению.

6.5. Субъектами персональных данных, обработка которых осуществляется в информационных системах персональных данных Администрации, являются:

сотрудники Администрации;

субъекты персональных данных, не являющиеся сотрудниками Администрации с целью осуществления государственных функций.

6.6. Цели обработки персональных данных

Целями обработки персональных данных работников Администрации являются:

- организация учета персонала Администрации для обеспечения соблюдения требований действующих нормативных правовых актов;

- реализация Администрацией обязательств, в рамках трудовых правоотношений (на основании заключенных с работниками Администрации трудовых договоров и действующих нормативных правовых актов), а также обязательств, связанных с трудовыми правоотношениями, предусмотренных действующим законодательством Российской Федерации;

Целью обработки персональных данных физических лиц является осуществление возложенных на Администрацию государственных функций.

Целью обработки персональных данных представителей юридических лиц, заключивших с Администрацией договоры, является, заключение и исполнение Администрацией договора с юридическим лицом и взаимодействие с представителями юридических лиц, связанное с исполнением заключенных Администрацией договоров.

6.7. При определении объема и содержания обрабатываемых персональных данных субъектов ПД Администрация руководствуется вышеуказанными целями получения и обработки персональных данных.

6.8. Доступ работников Администрации к персональным данным, подлежащим обработке, разрешен только уполномоченным работникам в соответствии со Списком лиц, допущенных к самостоятельной работе в ИСПДн. При этом указанным лицам предоставляется доступ только к персональным данным, необходимым для выполнения их служебных обязанностей в пределах задач и функций их подразделений.

6.9. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым в информационных системах персональных данных Администрации, осуществляется в соответствии с Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» и определяется Положением об обработке персональных данных в Администрации.

6.10. Перечень информационных систем персональных данных Администрации утверждается Руководителем Администрации Главы Республики Карелия.

6.11. Организация и проведение мероприятий по обеспечению защиты персональных данных в Администрации осуществляется в соответствии с Положением по защите персональных данных в Администрации.

6.12. Общее руководство организацией работ по защите персональных данных в Администрации осуществляет ответственный за организацию обработки персональных данных в Администрации.

6.13. В целях обеспечения мероприятий, предусмотренных действующим законодательством Российской Федерации в области обработки персональных данных, в Администрации назначен работник, ответственный за:

- доведение до сведения работников Администрации положений законодательства Российской Федерации о персональных данных, локальных актов Администрации по вопросам обработки персональных данных, требований к защите персональных данных;

- осуществление внутреннего контроля за соблюдением Администрацией и работниками Администрации законодательства Российской Федерации о персональных данных при обработке персональных данных в информационных системах персональных данных Администрации, в том числе требований к защите персональных данных, обрабатываемых в информационных системах персональных данных Администрации;

6.14. Деятельность Администрации по обеспечению безопасности персональных данных контролируется уполномоченным органом по защите прав субъектов персональных данных.

7. Система защиты персональных данных.

Система защиты персональных данных (СЗПДн), строится на основании:

- акта определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных;

- модели угроз безопасности персональных данных;

- руководящих документов ФСТЭК и ФСБ России.

На основании этих документов определяется необходимый уровень защищенности ПД в информационных системах персональных данных Администрации. На основании анализа актуальных угроз безопасности ПД, описанного в Модели угроз безопасности персональных данных, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПД.

8. Меры, методы и средства обеспечения требуемого уровня защищенности.

Обеспечение требуемого уровня защищенности должно достигаться с использованием мер, методов и средств безопасности. Все меры обеспечения безопасности информационных систем персональных данных Администрации подразделяются на:

- законодательные (правовые);

- организационные (административные);

- физические;

- технические (аппаратные и программные).

8.1. Законодательные (правовые) меры защиты.

К законодательным (правовым) мерам защиты относятся действующие законы Российской Федерации, указы и нормативные акты, регламентирующие правила обращения с ПД, закрепляющие права и обязанности участников информационных отношений в процессе их обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию ПД, и являющиеся сдерживающим фактором для потенциальных нарушителей.

Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом информационных систем персональных данных.

8.2. Организационные (административные) меры защиты.

Организационные (административные) меры защиты – это меры организационного характера, регламентирующие процессы функционирования информационных систем персональных данных Администрации, использование ресурсов информационных систем персональных данных, деятельность обслуживающего персонала, таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Главная цель административных мер – сформировать основные подходы к защите информации и обеспечить их выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Реализация подходов к защите ПД в информационных системах персональных данных Администрации состоит из мер административного уровня и организационных (процедурных) мер защиты информации.

К административному уровню относятся решения руководства, затрагивающие деятельность информационных систем персональных данных в целом. Примером таких решений могут быть:

- принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности ПД, определение ответственных за ее реализацию;

- формулирование целей, постановка задач, определение направлений деятельности в области безопасности ПД;

- принятие решений по вопросам реализации программы безопасности, которые рассматриваются в Администрации;

- обеспечение нормативной (правовой) базы вопросов безопасности и т.п.

На организационном уровне определяются процедуры и правила достижения целей и решения задач информационной безопасности ПД. Эти правила определяют:

- какова область применения политики безопасности ПД;

- каковы роли, обязанности и ответственность должностных лиц, отвечающих за проведение политики безопасности ПД;

- кто имеет права доступа к ПД;

- какие меры и средства защиты использовать;

- какими мерами и средствами обеспечивается контроль за соблюдением введенного режима безопасности.

Организационные меры:

- учет лиц, допущенных к работе с персональными данными в информационных системах персональных данных Администрации; лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным;

- для выбора и реализации методов и способов защиты информации в информационных системах персональных данных Администрации требуется назначить структурное подразделение или должностное лицо (работника), ответственное за обеспечение безопасности персональных данных;

- обучение лиц, использующих средства защиты информации, применяемые в информационных системах персональных данных Администрации, правилам работы с ними;

- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

- размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПД;

- соблюдение требований регламента процессов обслуживания и осуществления модификации аппаратных и программных ресурсов информационных систем персональных данных Администрации;

- соблюдение требований регламента доступа в помещения с компонентами информационных систем персональных данных Администрации;

- соблюдение требований инструкций пользователей информационных систем персональных данных Администрации (администратора безопасности).

8.3. Физические меры защиты.

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.

8.4. Технические (аппаратно-программные) средства защиты ПД.

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем персональных данных и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными (административными) мерами и используемыми физическими средствами защиты:

- обеспечена физическая целостность всех компонент информационных систем персональных данных Администрации;

- каждый сотрудник (пользователь информационной системы персональных данных) или группа пользователей имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;

- сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальных помещениях, шкафах, и т.п.);

- администратором безопасности совместно с ответственным за обеспечение безопасности персональных данных осуществляется непрерывное управление и административная поддержка функционирования средств защиты.

9. Контроль эффективности системы защиты информационных систем персональных данных Администрации.

Контроль эффективности системы защиты информационных систем персональных данных Администрации должен осуществляется на периодической основе. Целью контроля эффективности является своевременное выявление ненадлежащих режимов работы информационных систем персональных данных (отключение средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а также прогнозирование и превентивное реагирование на новые угрозы безопасности ПД.

Контроль может проводиться как администратором безопасности, так и привлекаемыми для этой цели организациями, имеющими лицензию на этот вид деятельности, а также ФСТЭК России и ФСБ России в пределах их компетенции.

Контроль может осуществляться администратором безопасности как с помощью штатных средств системы защиты ПД, так и с помощью специальных программных средств контроля.

Оценка эффективности мер защиты ПД проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

10. Пользователи информационных систем персональных данных Администрации.

В информационных системах персональных данных Администрации можно выделить следующие группы пользователей, участвующих в обработке ПД:

- администратор безопасности (ИБ);

- операторы АРМ.

Администратор ИБ - сотрудник, ответственный за настройку, внедрение и сопровождение информационных систем персональных данных Администрации, функционирование СЗПДн. Обеспечивает функционирование подсистемы управления доступом информационной системы персональных данных и уполномочен осуществлять предоставление конечного пользователя (оператора АРМ) к элементам, хранящим персональные данные.

Администратор ИБ обладает следующим уровнем доступа и знаний:

- обладает полной информацией о системном и прикладном программном обеспечении информационных систем персональных данных Администрации;

- обладает полной информацией о технических средствах и конфигурации информационных систем персональных данных Администрации;

- имеет доступ ко всем техническим средствам обработки информации и данным информационных систем персональных данных Администрации;

- обладает правами конфигурирования и административной настройки технических средств информационных систем персональных данных Администрации;

- имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов информационных систем персональных данных Администрации;

- имеет права доступа к конфигурированию технических средств сети;

- имеет физический доступ к техническим средствам обработки информации и средствам защиты.

Администратор безопасности уполномочен:

- реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (оператор АРМ) получает возможность работать с элементами информационных систем персональных данных Администрации;

- осуществлять аудит средств защиты.

Оператор АРМ - пользователь, осуществляющий обработку ПД в информационной системе персональных данных Администрации. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн.

Оператор информационной системы персональных данных обладает следующим уровнем доступа и знаний:

- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПД;

- располагает конфиденциальными данными, к которым имеет доступ.

11. Требования к персоналу по обеспечению защиты ПД.

Все пользователи информационных систем персональных данных Администрации должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемому объекту и соблюдению принятого режима безопасности ПД.

Пользователи информационных систем персональных данных Администрации должны быть ознакомлены со сведениями настоящей Политики, принятых процедур работы с элементами информационных систем персональных данных Администрации и СЗПДн.

Пользователи информационных систем персональных данных Администрации, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

Пользователи информационных систем персональных данных Администрации должны следовать установленным процедурам поддержания режима безопасности ПД при выборе и использовании паролей (если не используются технические средства аутентификации).

Пользователи информационных систем персональных данных Администрации должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПД и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

Пользователям запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Пользователям запрещается разглашать защищаемую информацию, которая стала им известна при работе в информационных системах персональных данных Администрации.

При работе с ПД в информационных системах персональных данных Администрации пользователи обязаны обеспечить отсутствие возможности просмотра ПД третьими лицами с мониторов АРМ.

Пользователи информационных систем персональных данных Администрации обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы системы, могущих повлечь за собой угрозы безопасности ПД, а также о выявленных ими событиях, затрагивающих безопасность ПД, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПД.

12. Должностные обязанности пользователей информационных систем персональных Администрации.

Должностные обязанности пользователей информационных систем персональных данных Администрации описаны в следующих документах:

- инструкция администратора безопасности;

- инструкция пользователя информационной системы персональных данных Администрации.

13. Ответственность пользователей информационных систем персональных данных Администрации.

В соответствии со ст.24 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).

Администратор безопасности несет ответственность за все действия, совершенные от имени его учетной записи или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.

При нарушениях сотрудниками Администрации – пользователей информационных систем персональных данных правил, связанных с безопасностью ПД, они несут ответственность, установленную действующим законодательством Российской Федерации

Техническая поддержка портала
Создано 16 июня 2017. Отредактировано 16 июня 2017.
© Администрация Главы Республики Карелия, 1998-2016
При использовании материалов гиперссылка на портал обязательна.