СОВЕТ НАРОДНЫХ ДЕПУТАТОВ
КАШИРСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ВОРОНЕЖСКОЙ ОБЛАСТИ
Р А С П О Р Я Ж Е Н И Е
от 25.07.2018 № 8-рОД
с. Каширское
Об утверждении положения по
обеспечению безопасности
персональных данных при их
обработке в информационных
системах персональных данных
в Совете народных депутатов
Каширского муниципального
района Воронежской области
В целях исполнения Федерального закона N 152-ФЗ от 27 июля 2006 года «О персональных данных»:
1. Утвердить Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в Совете народных депутатов Каширского муниципального района Воронежской области согласно приложению.
2. Контроль за исполнением настоящего распоряжения оставляю за собой.
Глава Каширского муниципального района А.П. Воронов
Приложение
к распоряжению Совета народных депутатов Каширского
муниципального района
от 25.07.2018 № 8-рОД
Положение
по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в Совете народных депутатов Каширского муниципального района Воронежской области.
1.НАЗНАЧЕНИЕ ДОКУМЕНТА.
Настоящий документ определяет порядок организации и проведения работ по обеспечению безопасности персональных данных (далее ПДн) при их обработке в информационной системе персональных данных (далее ИСПДн) в Совете народных депутатов Каширского муниципального района (далее оператор) и содержит общие принципы защиты ПДн.
Данный документ направлен на достижение следующих целей:
- выполнение требований законодательства в области обеспечения безопасности ПДн;
- защита прав и свобод граждан РФ при обработке их ПДн в ИСПДн оператором;
- защита ПДн, обрабатываемых оператором, от несанкционированного доступа и от других несанкционированных действий.
2.ОБЛАСТЬ ДЕЙСТВИЯ.
Требования настоящего Положения распространяются на всех сотрудников оператора, которые участвуют в обработке ПДн, либо в организации обработки ПДн, а также на сотрудников, осуществляющих сопровождение, обслуживание и обеспечение функционирования ИСПДн.
Настоящий документ обязаны знать и использовать в работе все сотрудники оператора, а также другие лица, допущенные к работе в ИСПДн.
3.ОБЩИЕ ПОЛОЖЕНИЯ.
Настоящее Положение устанавливает требования по защите ПДн, принципы обработки ПДн в ИСПДн оператора.
Настоящее Положение разработано в соответствии со следующими нормативными актами:
- Федеральным законом Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
- Федеральным законом Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Постановлением Правительства Российской Федерации от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Совместным приказом от 13 февраля 2008 года ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи России № 20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
- Постановлением Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Положением о методах и способах защиты информации в ИСПДн, утвержденным приказом ФСТЭК России от 5 февраля 2010 г., №58.
- методическими документами ФСБ России, ФСТЭК России, Роскомнадзора.
Настоящее Положение является методологической основой для:
- формирования и проведения единой политики в области обеспечения безопасности ПДн;
- принятия управленческих решений и разработки практических мер по воплощению политики безопасности ПДн и выработки комплекса согласованных мер нормативно-правового, технического и организационно-технического характера, направленных на выявление, отражение и уменьшение угрозы безопасности персональных данных;
- координации деятельности при проведении работ по созданию, развитию и эксплуатации ИСПДн с соблюдением требований по обеспечению безопасности ПДн;
- разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ПДн в ИСПДн.
Принципы и требования по обеспечению безопасности ПДн распространяются:
- на все возможные формы существования информации, такие как:
физические поля (электрические, акустические, электромагнитные, оптические и т.п.);
носители на бумажной, магнитной, оптической и иной основе.
- на все возможные форматы представления ПДн, такие как:
документы;
голос;
изображения;
файлы;
почтовые сообщения;
базы данных;
записи базы данных;
другие информационные массивы.
Предотвращение несанкционированного и нелегитимного доступа к ИСПДн, технологиям и информационным ресурсам, результатом которого может стать уничтожение, модификация, искажение, копирование, распространение, блокирование ПДн требует применения комплекса правовых, организационных, организационно-технических мер защиты с использованием сертифицированных средств защиты информации.
Настоящее Положение определяет:
- роли, полномочия, ответственность за обеспечение безопасности ПДн, оператора;
- порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
- мероприятия по обеспечению безопасности ПДн;
- требования по управлению процессом обеспечения безопасности ПДн;
- требования к составу и содержанию документов оператора, регламентирующих защиту и работу с ПДн.
Целью создания системы (подсистемы) защиты персональных данных(СЗПДн) является исключение неправомерного или случайного доступа к ПДн, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также иных неправомерных действий.
В общем случае можно выделить следующие основные цели защиты ПДн, это обеспечение:
конфиденциальности ПДн;
целостности ПДн;
доступности ПДн;
неотказуемости.
Конкретный состав целей защиты ПДн зависит от конкретной ИСПДн и определяется по результатам разработки модели угроз и нарушителя безопасности ПДн.
К основным задачам в области обеспечения безопасности ПДн относится:
- определение новых ИСПДн;
- инвентаризация и управление изменениями в составе и структуре ИСПДн;
- сбор согласий на обработку ПДн с субъектов ПДн;
- разработка и актуализация Перечня сведений конфиденциального характера;
- уничтожение ПДн;
- управление взаимодействиями с внешними контрагентами по вопросам обработки ПДн;
- взаимодействие с субъектами ПДн по вопросам обработки их ПДн;
- классификация ИСПДн;
- разработка (актуализация) документации на систему (подсистему) защиты персональных данных (СЗПДн);
- выбор и внедрение необходимых и достаточных мер и средств защиты ПДн;
- эксплуатация системы (подсистемы) защиты персональных данных (СЗПДн) в соответствии с документацией на нее;
- контроль уровня защищенности ПДн;
- обучение персонала по вопросам защиты ПДн;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПДн;
- учет лиц, допущенных к обработке ПДн;
- взаимодействие с регуляторными органами по вопросам защиты ПДн;
- актуализация и подача уведомлений в уполномоченный орган по защите прав субъектов ПДн;
- аттестация (декларирование соответствия) по требованиям безопасности информации.
Обработка ПДн должна осуществляться в соответствии со следующими принципами:
- законности целей и способов обработки ПДн и добросовестности;
- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям оператора;
- соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
- достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
- недопустимости объединения созданных для несовместимых между собой целей баз данных ИСПДн.
Оператор должен проводить регулярный анализ соответствия процессов обработки ПДн указанным принципам. Данный анализ проводится в случае:
- создания новых ИСПДн;
- внесения изменений в технологические процессы, существующие в ИСПДн;
- изменения нормативной базы, затрагивающей принципы и (или) процессы обработки ПДн в ИСПДн оператора;
- проведения контрольных и проверочных мероприятий на предмет оценки соответствия процессов обработки ПДн заявленным принципам.
Отнесение сведений оператором к ПДн, безопасность которых должна обеспечиваться система (подсистема) защиты персональных данных (СЗПДн) представляет собой процесс обоснованного установления (документального оформления и утверждения) критериев их выделения из всей совокупности сведений, находящихся в обращении.
В качестве такого критерия у оператора разрабатывается и утверждается Перечень персональных данных, подлежащих защите в (указывается наименование оператора).
4. ОРГАНИЗАЦИОННАЯ СТРУКТУРА СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Система (подсистема) защиты персональных данных (СЗПДн) является частью общей системы обеспечения информационной безопасности оператора.
Основу организационной структуры системы (подсистемы) защиты персональных данных (СЗПДн), как правило, составляют следующие организационные структуры:
- руководство;
- ответственные за обеспечение безопасности ПДн;
- администраторы безопасности ИСПДн;
- ответственные за техническое сопровождение ИСПДн;
- структурные подразделения, участвующие в процессах обработки ПДн;
- сотрудники оператора.
Руководство осуществляет следующие основные функции в области обеспечения безопасности ПДн:
- обеспечивает общую организацию работ по защите ПДн;
- издает распоряжения по вопросам организации системы (подсистемы) защиты персональных данных( СЗПДн);
- утверждает Перечень сведений конфиденциального характера;
- назначает ответственных за обеспечение безопасности ПДн;
- утверждает список лиц, допущенных к обработке ПДн;
- рассматривает и утверждает нормативные документы оператора, регламентирующие обработку и защиту ПДн;
- заслушивает при необходимости ответственных за обеспечение безопасности ПДн и других должностных лиц о состоянии работ по защите ПДн.
Ответственные за обеспечение безопасности ПДн осуществляют следующие основные функции:
- разрабатывают Перечень сведений конфиденциального характера;
- участвуют в проведении классификации ИСПДн;
- распределяют ответственность по вопросам обработки и защиты ПДн;
- определяют допустимые сроки хранения ПДн по каждой категории ПДн;
- организуют подачу уведомлений в уполномоченный орган по защите прав субъектов ПДн;
- заслушивают руководителей структурных подразделений о
принимаемых мерах по состоянию и совершенствованию системы (подсистемы) защиты персональных данных (СЗПДн);
- организуют работы по разработке, изменению и уточнению политик, регламентов, стандартов в части защиты ПДн;
- осуществляют организацию плановых и внеплановых проверочных мероприятий;
- организуют выполнение требований по защите ПДн у оператора;
- проводят разработку и актуализацию локальных нормативных документов, регламентирующих защиту ПДн у оператора;
- проводит ознакомление сотрудников с нормативными документами в области защиты ПДн;
- проводят оценку эффективности принятых мер и применяемых средств защиты ПДн;
- проводят занятия с сотрудниками по изучению организационно-распорядительных документов по всему комплексу вопросов защиты ПДн;
- разрабатывают и актуализируют частные модели угроз
безопасности ПДн и технические задания на систему (подсистему) защиты персональных данных( СЗПДн);
- определяют необходимость обучения сотрудников по вопросам обеспечения безопасности ПДн, а также определяют формы и программы обучения сотрудников оператора в области защиты ПДн;
- контролируют выполнение сотрудниками требований по защите ПДн;
- организуют работы по сбору сведений об изменениях в составе и структуре ИСПДн;
- осуществляют контроль соответствия изменений в составе и архитектуре ИСПДн требованиям нормативных документов по защите ПДн, а также внутренних организационно-распорядительных документов оператора;
- контролируют исполнение требований по уничтожению ПДн;
- разрабатывают рекомендации по оптимизации существующих и новых информационных процессов обработки ПДн по критериям соответствия требованиям по защите ПДн и минимизации затрат на создание и эксплуатацию системы защиты ПДн;
- контролируют исполнение требований нормативных документов оператора в области обеспечения безопасности ПДн, структурными подразделениями и сотрудниками;
- организуют и осуществляют взаимодействие с регуляторами по вопросам защиты ПДн;
- участвуют в аттестации (декларировании соответствия) ИСПДн оператора по требованиям безопасности информации;
- управляют проектами по внедрению систем и средств защиты ПДн;
- контролируют ввод в действие, эксплуатацию системы
(подсистемы) защиты персональных данных (СЗПДн);
- проводят расследования инцидентов, связанных с нарушением безопасности ПДн, правил обработки ПДн, принимают меры по недопущению повторения нештатных ситуаций.
Администраторы безопасности ИСПДн осуществляют следующие основные функции:
- осуществляют сопровождение средств и систем защиты ПДн;
- проводят оперативный контроль функционирования средств и систем защиты ПДн;
- проводят резервирование ПДн;
- ведут учет носителей ПДн;
- осуществляют выявление и регистрацию попыток НСД к компонентам ИСПДн, информационным ресурсам;
- контролируют соответствие технических, программных и
программно-аппаратных средств ИСПДн требованиям, предъявляемым к ним средствами и систему (подсистему) защиты персональных данных (СЗПДн);
- осуществляют учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
- контролируют выполнение сотрудниками подразделения требований по защите ПДн;
- участвуют в расследованиях причин возникновения нештатных ситуаций;
- готовят предложения по совершенствованию системы
(подсистемы) защиты персональных данных (СЗПДн);
- выполняют комплекс мероприятий по защите информации при проведении ремонтных и регламентных работ;
- обеспечивают защиту ПДн при выводе из эксплуатации компонентов ИСПДн.
Ответственные за техническое сопровождение ИСПДн осуществляют следующие основные функции:
- осуществляют сопровождение технических средств и систем ИСПДн.
Структурные подразделения, участвующие в процессах обработки ПДн выполняют следующие основные функции:
- осуществляют взаимодействие с субъектами ПДн по вопросам обработки их ПДн;
- осуществляют уведомление субъектов ПДн в случаях, определенных нормативными актами;
- эксплуатируют систему (подсистему) защиты персональных
данных (СЗПДн) в соответствии с документацией на нее.
Сотрудники оператора выполняют следующие основные функции:
- соблюдают требования нормативных документов по защите ПДн;
- осуществляют обработку ПДн в соответствии с заданием и предоставленными полномочиями.
Конкретное распределение функций администраторов безопасности, ответственных за техническое сопровождение ИСПДн, сотрудников должно быть приведено в должностных инструкциях.
Распределение ролей, полномочий осуществляется в соответствии с Разрешительной системой доступа к информационным ресурсам, программным и техническим средствам информационных систем персональных данных.
5. ПОРЯДОК ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Работы по обеспечению безопасности ПДн при их обработке в ИСПДн являются неотъемлемой частью работ, выполняемых в рамках жизненного цикла ИСПДн, на следующих этапах:
- инициация проекта ИСПДн;
- планирование проекта ИСПДн;
- реализация проекта ИСПДн, в составе:
выбор технического решения - концепция реализации;
проектирование ИСПДн;
производство ИСПДн;
приемка ИСПДн;
внедрение ИСПДн;
передача системы в эксплуатацию;
документирование проекта.
- эксплуатация ИСПДн;
- модернизация ИСПДн;
- вывод из эксплуатации.
6.ДОПУСК ПЕРСОНАЛА К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
При допуске к ПДн оператор руководствуется утвержденным списком лиц, допущенных к обработке ПДн.
Перечень лиц, допущенных к обработке ПДн, составляется и корректируется ответственными за обеспечение безопасности ПДн на основании данных, подаваемых руководителями структурных подразделений оператора.
7. КОНТРОЛЬ ИЗМЕНЕНИЙ В СОСТАВЕ И СТРУКТУРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Все изменения в составе и структуре ИСПДн должны контролироваться и регламентироваться ответственными за обеспечение безопасности ПДн.
Контролю подлежат следующие изменения:
- внесение новых устройств в состав ИСПДн (автоматизированного рабочего места, серверов, сетевого и телекоммуникационного оборудования и т.п.);
- изменение мест включения существующих компонент ИСПДн;
- удаление устройства из состава ИСПДн;
- изменение мест установки устройства из состава ИСПДн;
- прокладка новых кабельных линий связи и внешних линий связи или удаление старых кабельных линий связи;
- существенное изменение состава и конфигурации системного и прикладного программного обеспечения, участвующего в обработке ПДн;
- создание новых и изменение существующих технологических процессов, связанных с обработкой ПДн.
Каждое изменение состава ИСПДн, типов технических средств, топологии ИСПДн должно отслеживаться и анализироваться на предмет соответствия требованиям по защите ИСПДн. При необходимости должна производиться модернизация системы (подсистемы) защиты персональных данных СЗПДн.
8. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ФИЗИЧЕСКОГО ДОСТУПА К ЭЛЕМЕНТАМ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Мероприятия по физическому контролю доступа включают:
- мероприятия по контролю доступа на территорию;
- мероприятия по контролю доступа в помещения с оборудованием ИСПДн;
- мероприятия по контролю доступа к техническим средствам ИСПДн;
- мероприятия по контролю перемещений физических компонентов ИСПДн.
Мероприятия по контролю доступа на территорию должны обеспечить контролируемое нахождение посетителей на территории оператора.
Нахождение в помещении лиц, не участвующих в технологических процессах обработки ПДн (обслуживающий персонал, другие сотрудники), должно производиться только в присутствии сотрудников, участвующих в соответствующих технологических процессах.
Расположение мониторов рабочих станций должно препятствовать их несанкционированному просмотру со стороны других лиц, не допущенных к обработке ПДн.
При выносе устройств, хранящих ПДн, за пределы контролируемой зоны для ремонта, замены и т.п. должно быть обеспечено гарантированное уничтожение информации, хранимой на этих устройствах.
9. РЕЗЕРВИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Резервирование ПДн должно обеспечить возможность восстановления информации при нарушении целостности основных хранилищ данных.
Резервированию должна подвергаться информация на серверах ИСПДн.
Резервирование должно осуществляться на различные носители информации с соответствующим уровнем надежности и долговечности.
Хранение резервных копий должно осуществляться в надежных сейфах (металлических шкафах). Хранение (по возможности) должно осуществляться в месте, территориально удаленном от основного хранилища информации.
Доступ к резервным копиям должен быть строго регламентирован.
10. КОНТРОЛЬ ЗА ОБЕСПЕЧЕНИЕМ НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Для обеспечения эффективности процесса обеспечения безопасности ПДн проводится:
- контроль за соблюдением требований по обработке и защите ПДн;
- контроль за соблюдением условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;
- контроль эффективности средств защиты ПДн.
Контрольные мероприятия могут быть:
- текущими;
- внезапными;
- плановыми внешними;
- плановыми внутренними.
Ответственность за текущий контроль эффективности обеспечения безопасности ПДн возлагается на администраторов безопасности ИСПДн.
Ответственность за плановый контроль эффективности обеспечения безопасности ПДн возлагается на ответственных за обеспечение безопасности ПДн. Данные проверки должны включаться в план аудитов информационной безопасности на год.
Для планового контроля эффективности системы (подсистемы) защиты персональных данных (СЗПДн) должны использоваться средства выявления уязвимостей информационной безопасности.
Внезапные проверки эффективности при необходимости могут проводиться специальными группами по решению ответственных за обеспечение безопасности ПДн.
При проведении контроля эффективности в общем случае должно проверяться:
- наличие установленных средств защиты информации;
- корректность настроек средств защиты информации;
- выполнение пользователями и администраторами требований инструктивных материалов по защите ПДн;
- исполнение требований к процедурам обработки ПДн (уничтожению ПДн, сбору согласий, допуску персонала к ПДн и т.п.);
- правильность организации работы с носителями ПДн;
- правильность обращения ключевой информации;
- соответствие системы (подсистемы) защиты персональных данных (СЗПДн) реальному положению дел у оператора.
11. РЕАГИРОВАНИЕ НА НЕШТАТНЫЕ СИТУАЦИИ.
Оператор должен проводить расследования инцидентов, связанных с несанкционированным доступом и другими несанкционированными действиями, затрагивающими безопасность ПДн.
В рамках данного процесса должны решаться следующие задачи:
- расследование инцидентов, связанных с безопасностью ПДн;
- ликвидация последствий инцидентов, связанных с безопасностью ПДн;
- принятие мер по недопущению возникновения подобных инцидентов в дальнейшем.