Читать книгу «Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов» онлайн полностью📖 — Ивана Андреевича Трещева — MyBook.

2.Положение о подразделении

УТВЕРЖДАЮ

Начальник ППО «Администрация президента»

по г. Москва

В. В. Путин

от «15» сентября 2017 г.

№ ______

Положение о подразделении по защите персональных данных

Комсомольск-на-Амуре

2017

Приказ

«15» сентября 2017г.

Г г. Комсомольск-на-Амуре

№1111

О проведении работ по защите персональных данных в первичной профсоюзной организации «Администрация президента»

В целях исполнения Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» в государственных органах:

П Р И К А З Ы В А Ю:

1) Назначить отдел информационных технологий ответственным за обеспечение защиты персональных данных, во главе с начальником отдела информационных технологий.

2) Осуществлять режим защиты персональных данных на основании принципов и положений:

а) Концепции информационной безопасности.

б) Политики информационной безопасности.

3) Осуществлять режим защиты персональных данных в отношении данных перечисленных в Перечне персональных данных, подлежащих защите.

4) Провести внутреннюю проверку, в срок до 2017 г., на предмет:

а) Классификации информационных систем обработки данных.

б) Определения режима обработки персональных данных в информационной системе.

в) Установления круга лиц участвующих в обработке персональных данных.

г) Выявления угроз безопасности персональных данных.

5) Разработать и внедрить:

а) План мероприятий по обеспечению защиты персональных данных.

б) Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

в) План внутренних проверок.

г) Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.

д) Инструкцию администратора безопасности информационных системах персональных данных.

е) Инструкцию пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.

6) Контроль за исполнением настоящего приказа возложить на начальника отдела безопасности.

Путин В. В. _________________

(подпись)

3.Положение о порядке организации и проведения работ по обеспечению безопасности ПДн

Приложение №1

УТВЕРЖДЕНО

Приказом ППО «Администрация президента»

по г. Москва

от «15» сентября 2017 г.

№ ______

ПОЛОЖЕНИЕ

о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в первичной профсоюзной организации «Администрация президента» по г. Москва

Комсомольск-на-Амуре

2017

Оглавление

1 Основные понятия и сокращения… 3

2 Общие положения… 6

3 Классификация информационных систем персональных данных… 7

4 Основные цели и задачи защиты информации на объекте информатизации организации… 4

5 Порядок определения защищаемой информации организации… 5

6 Технические каналы утечки защищаемой информации, циркулирующей на объекте информатизации Организации… 10

7 Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных… 11

8 Организация работ по защите информации на объекте информатизации организации… 13

9 Ответственность должностных лиц организации за обеспечение защиты информации, содержащей ПДн, на объекте информатизации… 17

10 Планирование работ по защите персональных данных… 20

11 Контроль состояния защиты персональных данных… 21

12 Аттестование информационных систем персональных данных… 22

13 Взаимодействие с другими организациями… 24

1. Основные понятия и сокращения

В настоящем Положении используются следующие основные понятия и сокращения:

Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор АС – лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.

Администратор безопасности АС – лицо, ответственное за защиту АС от несанкционированного доступа к информации.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа (ВП) – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы (ВТСС) – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных.

Доступ к персональным данным – возможность получения персональных данных и их использования.

Защита от несанкционированного доступа – предотвращение или существенное затруднение несанкционированного доступа.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов.

Контролируемая зона (КЗ) – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран – локальное (однокомпонентное) или функционально – распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Недекларированные возможности (НДВ) – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ {несанкционированные действия) (НСД) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим техническим характеристикам и функциональному предназначению.

Несанкционированный доступ к персональным данным (несанкционированные действия), (НСД) – доступ к персональным данным или действия с персональными данными, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Объект доступа – единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, вероисповедание, национальность, другая информация.

Побочные электромагнитные излучения и наводки (ПЭМИН) – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Пользователь ИСПДн – лицо, участвующее в функционировании ИСПДн или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить персональные данные или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

Программное (программно-математическое) воздействие (ПМВ) – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ

Ресурс информационной системы персональных данных – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы персональных данных.

Санкционированный доступ к персональным данным – доступ к персональным данным, не нарушающий правила разграничения доступа.

Средства вычислительной техники (СВТ) – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Система защиты информации – совокупность органов и (или) исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Система защиты персональных данных (СЗПДн) – комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности ПДн в ИСПДн.

Субъект доступа – лицо или процесс, действия которого регламентируются правилами разграничения доступа

Технический канал утечки информации – совокупность носителя персональных данных (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается информация, содержащая персональные данные.

Технические средства информационной системы персональных данных (ТСИСПДн) – средства вычислительной техники, информационновычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, приложения и т. п.), средства защиты информации.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации, содержащей персональные данные, по техническим каналам – неконтролируемое распространение персональных данных от носителя персональных данных через физическую среду до технического средства, осуществляющего перехват информации, содержащей персональные данные.

Целостность информации, содержащей персональные данные – способность средства вычислительной техники или информационной системы персональных данных обеспечивать неизменность информации, содержащей персональные данные, в условиях случайного и/или преднамеренного искажения (разрушения).

2. Общие положения

2.1. Положение о порядке организации и проведения работ по обеспечению безопасности ПДн при их обработке в Администрации президента России по г. Комсомольску-на-Амуре Хабаровского края (далее – Положение) относится к основополагающим документам, определяющим общие принципы организации работ по информационной безопасности ПДн в организации. Положение разработано в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ, постановлением Правительства РФ от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн», постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»; «Методикой определения актуальных угроз безопасности ПДн при их обработке в ИСПДн», утвержденной ФСТЭК России 14.02.08, «Базовой моделью угроз безопасности ПДн при их обработке в ИСПДн», утвержденной ФСТЭК России 15.02.08; Приказом ФСТЭК России от 05.02.2010 №58 (зарегистрированным в Минюсте России 19.02.2010 №16456) «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» и другими нормативными документами и определяет содержание и порядок осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн Администрации президента России по г. Комсомольску-на-Амуре Хабаровского края (далее – Организация), представляющих собой совокупность ПДн, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации.

2.2. Организация и проведение работ по обеспечению безопасности информации, содержащей ПДн, на объекте информатизации Организации проводится на основании законодательных и нормативных актов Российской Федерации в области защиты информации и настоящего Положения. Безопасность ПДн при их обработке в ИСПДн достигается путем исключения НСД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.

2.3. Требования настоящего Положения являются обязательными для исполнения в Организации, а также организациями, учреждениями и предприятиями, выполняющими работы по защите информации в Организации.

2.4. Положение определяет порядок организации и проведения работ по защите информации, содержащей ПДн, на объект информатизации как в период их создания, так и в процессе повседневной эксплуатации.

2.5. Принимаемые меры по защите информации на объекте информатизации должны обеспечивать выполнение действующих требований и норм по защите информации.

При обработке ПДн в ИСПДн должно быть обеспечено:

– проведение мероприятий, направленных на предотвращение НСД к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

– своевременное обнаружение фактов НСД к ПДн;

– недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

– возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;

– постоянный контроль за обеспечением уровня защищенности ПДн.

2.6. Разработка мер и обеспечение защиты информации на объекте информатизации осуществляются отделом безопасности Организации или ответственным за защиту информации работником.

Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в ИСПДн информационные технологии.

Для обеспечения безопасности ПДн при обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Методы и способы защиты ПДн в ИСПДн устанавливаются ФСТЭК России и ФСБ России в пределах их полномочий.

Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензии ФСТЭК России и ФСБ России на право проведения соответствующих работ.

Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн оценивается при проведении государственного контроля и надзора.

Согласование планируемых мер, контроль выполнения работ на местах, соответствия принятых мер и проводимых мероприятий по защите информации действующим требованиям и нормам производит отдел безопасности или администратор информационной безопасности.

2.7. Объект информатизации Организации должен соответствовать требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России.

Размещение ИСПДн и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

2.8. Защита информации организуется в соответствии с действующими нормативными документами ФСТЭК России.

...
5