Законы и постановления РФ

Распоряжение администрации г. Иркутска от 30.07.2009 N 031-10-818/9 “Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска“

Утратил силу в связи с изданием Распоряжения администрации г. Иркутска от 07.12.2010 N 031-10-1167/10.

АДМИНИСТРАЦИЯ ГОРОДА ИРКУТСКА

РАСПОРЯЖЕНИЕ

от 30 июля 2009 г. N 031-10-818/9

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ПОРЯДКЕ ОРГАНИЗАЦИИ

И ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ

ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ

СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ АДМИНИСТРАЦИИ Г. ИРКУТСКА

Руководствуясь Федеральным законом “О персональных данных“, ст. 16 Федерального закона “Об общих принципах организации местного самоуправления в Российской Федерации“, Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 N 781, Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от
15.09.2008 N 687, Порядком проведения классификации информационных систем персональных данных, утвержденным совместным Приказом Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 N 55/86/20, п. 4 Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных заместителем директора ФСТЭК России от 15.02.2008, ст.ст. 37, 38, 42 Устава города Иркутска:

1. Утвердить Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска (Приложение N 1).

2. Вице-мэру - председателю комитета по жилищно-коммунальному хозяйству администрации г. Иркутска Хиценко Н.С., первому заместителю мэра - председателю комитета по экономике и финансам администрации г. Иркутска Зюбр Г.Д., заместителю мэра - руководителю аппарата администрации г. Иркутска Войцехович Е.Е., заместителю мэра - председателю комитета по градостроительной политике администрации г. Иркутска Харитонову Е.А., заместителю мэра - председателю комитета по социальной политике и культуре администрации г. Иркутска Вобликовой В.Ф., заместителю мэра - председателю комитета по потребительскому рынку администрации г. Иркутска Третьякову А.А., заместителю мэра - председателю комитета по управлению муниципальным имуществом г. Иркутска Танкичевой А.В., заместителю мэра - председателю комитета по управлению Свердловским округом администрации г. Иркутска Воронцову Ю.В., заместителю мэра - председателю комитета по управлению Октябрьским округом администрации г. Иркутска Алферьевскому А.М., заместителю мэра - председателю комитета по управлению Ленинским округом администрации г. Иркутска Коноваленко В.А., заместителю мэра - председателю комитета по управлению Правобережным округом администрации г. Иркутска Гришаку Д.В., начальнику управления по информационной политике, связям со средствами
массовой информации и общественностью администрации г. Иркутска Терпуговой Е.А., начальнику управления по стратегическому развитию и инновационной политике администрации г. Иркутска Семенову Е.Ю.:

2.1. Ознакомить работников с настоящим распоряжением.

2.2. При обработке персональных данных в информационных системах персональных данных руководствоваться настоящим распоряжением.

3. Контроль за исполнением настоящего распоряжения возложить на начальника управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска В.И.Терновского.

Мэр города Иркутска

В.В.ЯКУБОВСКИЙ

Приложение N 1

к распоряжению

администрации города Иркутска

от 30 июля 2009 года

N 031-10-818/9

ПОЛОЖЕНИЕ

О ПОРЯДКЕ ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ

БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

АДМИНИСТРАЦИИ Г. ИРКУТСКА

1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

1.1. Автоматизированная информационная система (АС) - система, состоящая из работников и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

1.2. Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

1.3. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

1.4. Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

1.5. Вредоносная программа (ВП) - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

1.6. Доступ к персональным данным - возможность получения персональных данных и их использования.

1.7. Защита от несанкционированного доступа - предотвращение или существенное затруднение несанкционированного доступа.

1.8. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая
защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

1.9. Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

1.10. Информация - сведения (сообщения, данные) независимо от формы их представления.

1.11. Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.12. Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

1.13. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

1.14. Контролируемая зона (КЗ) - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

1.15. Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

1.16. Недекларированные возможности (НДВ) - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

1.17. Несанкционированный доступ к персональным данным (несанкционированные действия), (НСД) - доступ к персональным данным или действия с персональными данными, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

1.18. Обработка персональных данных - действия (операции) с персональными данными, включая сбор,
систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

1.19. Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

1.20. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

1.21. Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

1.22. Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

1.23. Побочные электромагнитные излучения и наводки (ПЭМИН) - электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

1.24. Пользователь ИСПДн - лицо, участвующее в функционировании ИСПДн или использующее результаты ее функционирования.

1.25. Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

1.26. Программная закладка - код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить персональные данные или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

1.27. Программное (программно-математическое) воздействие (ПМВ) - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

1.28. Ресурс информационной системы персональных данных - именованный элемент системного, прикладного или аппаратного обеспечения
функционирования информационной системы персональных данных.

1.29. Средства вычислительной техники (СВТ) - совокупность программных и технических элементов систем обработки персональных данных, способных функционировать самостоятельно или в составе других систем.

1.30. Санкционированный доступ к персональным данным - доступ к персональным данным, не нарушающий правила разграничения доступа.

1.31. Система защиты персональных данных (СЗПДн) - комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности ПДн в ИСПДн.

1.32. Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.

1.33. Технический канал утечки информации - совокупность носителя персональных данных (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается информация, содержащая персональные данные.

1.34. Технические средства информационной системы персональных данных (ТС) - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.

1.35. Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

1.36. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1.37. Утечка (защищаемой) информации, содержащей персональные данные, по техническим каналам - неконтролируемое распространение персональных данных от носителя персональных данных через
физическую среду до технического средства, осуществляющего перехват информации, содержащей персональные данные.

1.38. Целостность информации, содержащей персональные данные, - способность средства вычислительной техники или информационной системы персональных данных обеспечивать неизменность информации, содержащей персональные данные, в условиях случайного и/или преднамеренного искажения (разрушения).

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска (далее - положение) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом “Об информации, информационных технологиях и защите информации“, Федеральным законом “О персональных данных“, Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 N 781, Порядком проведения классификации информационных систем персональных данных, утвержденным совместным Приказом Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 N 55/86/20, и определяет содержание и порядок осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска, представляющих собой совокупность ПДн, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации.

2.2. Под техническими средствами, позволяющими осуществлять обработку ПДн, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации,
применяемые в ИСПДн.

2.3. Безопасность ПДн при их обработке в ИСПДн достигается путем исключения НСД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.

2.4. При обработке ПДн в ИСПДн должно быть обеспечено:

- проведение мероприятий, направленных на предотвращение НСД к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

- своевременное обнаружение фактов НСД к ПДн;

- недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

- возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;

- постоянный контроль за обеспечением уровня защищенности ПДн.

2.5. Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в ИСПДн информационные технологии. Для обеспечения безопасности ПДн при обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

2.6. Методы и способы защиты ПДн в ИСПДн устанавливаются ФСТЭК России и ФСБ России в пределах их полномочий.

2.7. Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн оценивается при проведении государственного контроля и надзора.

2.8. Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства.

2.9. Мероприятия по обеспечению безопасности ПДн при их обработке в
ИСПДн включают в себя:

- классификацию ИСПДн;

- определение угроз безопасности ПДн при их обработке в ИСПДн;

- разработку на их основе частной модели угроз применительно к конкретной ИСПДн;

- разработку на основе частной модели угроз СЗПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;

- проверку готовности средств защиты ПДн к использованию с составлением заключений о возможности их эксплуатации;

- установку и ввод в эксплуатацию средств защиты ПДн в соответствии с эксплуатационной и технической документацией;

- обучение лиц, использующих средства защиты ПДн, применяемые в ИСПДн, правилам работы с ними;

- учет применяемых средств защиты ПДн, эксплуатационной и технической документации к ним, носителей ПДн;

- учет лиц, допущенных к работе с ПДн в ИСПДн;

- контроль за соблюдением условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;

- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты ПДн, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

- описание СЗПДн.

2.10. Размещение ИСПДн, специальное оборудование и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

2.11. Лица, доступ которым к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании распоряжения администрации г. Иркутска.

2.12. Запросы пользователей ИСПДн на получение ПДн, включая лиц, указанных в п. 2.11 настоящего положения,
а также факты предоставления ПДн по этим запросам должны регистрироваться автоматизированными средствами ИСПДн в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется администраторами ИСПДн, а в случае необходимости может быть проверено работниками сектора защиты информации отдела мобилизационной подготовки управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска (далее - сектор защиты информации).

2.13. При обнаружении работниками сектора защиты информации нарушений в порядке обработки и защиты ПДн ставится в известность начальник управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска (далее - управление по МП и ГО).

2.14. Мэр г. Иркутска по представлению начальника управления по МП и ГО имеет право незамедлительно приостанавливать обработку ПДн в данной ИСПДн до выявления причин нарушений и устранения этих причин.

2.15. Финансирование мероприятий по защите ПДн осуществляется из бюджета г. Иркутска.

2.16. Настоящее положение не распространяется на ИСПДн, обрабатывающие ПДн, отнесенные в установленном порядке к сведениям, составляющим государственную тайну, а также информационные системы, обрабатывающие информацию с ограниченным доступом (конфиденциальную), не содержащую ПДн.

3. КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Классификация ИСПДн в администрации г. Иркутска осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн.

3.2. Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).

3.3. Состав, функциональное содержание методов и средств защиты зависит от вида и степени ущерба, возникающего вследствие реализации выявленных угроз безопасности ПДн. При этом ущерб возникает за счет неправомерного или случайного уничтожения, изменения, блокирования, копирования, распространения ПДн или от иных неправомерных действий с ними. В зависимости от объекта, причинение ущерба которому вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба: непосредственный и опосредованный.

3.3.1. Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:

- незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;

- потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;

- нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например - рассылка персонифицированных рекламных предложений и т.п.).

3.3.2. Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.

3.4. Классификация ИСПДн проводится комиссией, назначаемой распоряжением администрации г. Иркутска, в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, и иными руководящими документами по защите ПДн.

3.5. В состав такой комиссии в обязательном порядке входят работники сектора защиты информации, работники департамента информатизации аппарата администрации г. Иркутска (далее - департамент информатизации), а также должностные лица, на которые возложены обязанности определять право доступа к информационным системам персональных данных в администрации г. Иркутска.

3.6. Проведение классификации ИСПДн включает в себя следующие этапы:

- сбор и анализ исходных данных по ИСПДн;

- присвоение ИСПДн соответствующего класса и его документальное оформление.

3.7. При проведении классификации ИСПДн комиссией учитываются следующие исходные данные:

- категория обрабатываемых ПДн в ИСПДн;

- объем обрабатываемых ПДн (количество субъектов ПДн, ПДн которых обрабатываются в ИСПДн);

- заданные характеристики безопасности ПДн, обрабатываемых в ИСПДн;

- структура ИСПДн;

- наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;

- режим обработки ПДн;

- режим разграничения прав доступа к ИСПДн;

- местонахождение технических средств ИСПДн.

3.8. Исходные данные, указанные в п. 3.7 настоящего положения, представляются комиссии департаментом информатизации.

3.9. В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

3.10. Результаты классификации ИСПДн оформляются муниципальными актами, подписанными членами комиссии, и утверждаются мэром г. Иркутска.

3.11. Класс ИСПДн может быть пересмотрен:

- на основе проведенных сектором защиты информации анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИСПДн;

- по результатам мероприятий по контролю и надзору уполномоченными органами за выполнением требований по обеспечению безопасности ПДн при их обработке в ИСПДн.

4. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ОБЕСПЕЧЕНИЮ

БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по целям, задачам, месту и времени организационных и технических мероприятий между структурными подразделениями администрации г. Иркутска, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.

4.2. Разработка мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска осуществляется сектором защиты информации.

4.3. Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством РФ требованиям, обеспечивающим защиту ПДн.

4.4. Средства защиты ПДн, применяемые в ИСПДн, должны быть сертифицированы в соответствии с требованиями по безопасности ПДн.

4.5. Порядок организации и обеспечения безопасности ПДн в ИСПДн администрации г. Иркутска включает в себя:

4.5.1. Оценку обстановки.

Оценка обстановки проводится работниками сектора защиты информации и определяет возможные способы обеспечения безопасности ПДн. Она основывается на результатах комплексного обследования ИСПДн, по представленным департаментом информатизации данным об ИСПДн, в ходе которого, прежде всего, проводится категорирование ПДн по важности.

При оценке обстановки определяется необходимость обеспечения безопасности ПДн от угроз:

- уничтожения, хищения аппаратных средств ИСПДн, носителей информации путем физического доступа к элементам ИСПДн;

- утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН);

- перехвата при передаче по проводным (кабельным) линиям связи;

- хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств (в том числе ПМВ);

- воспрепятствования функционированию ИСПДн путем преднамеренного электромагнитного воздействия на ее элементы;

- непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.

При оценке обстановки учитывается степень ущерба, который может быть причинен в случае неправомерного использования соответствующих ПДн.

4.5.2. Обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты ПДн проводится в соответствии с действующим законодательством.

4.5.3. Разработку замысла обеспечения безопасности ПДн (осуществляется выбор основных способов защиты ПДн).

4.5.4. Выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты.

При выборе целесообразных способов обеспечения безопасности ПДн, обрабатываемых в ИСПДн, определяются организационные меры и технические (аппаратные, программные и программно-аппаратные) сертифицированные средства защиты.

В соответствии с выявленными сектором защиты информации угрозами безопасности ПДн осуществляется планирование и проведение мероприятий, направленных на обеспечение безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска.

Модель угроз применительно к конкретной ИСПДн разрабатывается сектором защиты информации в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 14.02.2008, на основе Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 15.02.2008, по представленным департаментом информатизации необходимым техническим данным об ИСПДн.

4.5.5. Решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты. Предусматривает подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения.

Контроль осуществляется в соответствии с разделом 8 настоящего положения и заключается в проверке сектором защиты информации выполнения требований нормативных документов по защите ПДн, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться сектором защиты информации в определенной части или на договорной основе сторонними организациями, имеющими соответствующие лицензии на деятельность по технической защите информации.

4.5.6. Обеспечение реализации принятого замысла защиты ПДн.

4.5.7. Планирование мероприятий по защите ПДн. Осуществляется в соответствии с разделом 7 настоящего положения.

4.5.8. Организацию и проведение работ по созданию СЗПДн в рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних лицензированных организаций, решение основных задач взаимодействия.

4.5.9. Разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.

4.5.10. Развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн.

4.5.11. Доработку СЗПДн по результатам опытной эксплуатации.

4.6. В целом обеспечение безопасности ПДн при их обработке в ИСПДн достигается реализацией совокупности организационных и технических мер, причем в интересах обеспечения безопасности ПДн в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных и методических документов по защите ПДн в автоматизированных системах, учитывая при этом, что ПДн отнесены к информации ограниченного доступа.

4.7. В связи с тем что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации.

5. МЕРОПРИЯТИЯ ПО ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ

ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ

СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. В целях осуществления технического обеспечения безопасности ПДн при их обработке в ИСПДн, в зависимости от класса ИСПДн в администрации г. Иркутска реализовываются следующие мероприятия:

- мероприятия по защите от НСД к ПДн при их обработке в ИСПДн;

- мероприятия по защите информации от утечки по техническим каналам.

5.2. Мероприятия по защите ПДн при их обработке в ИСПДн от НСД и неправомерных действий включают:

- управление доступом;

- регистрацию и учет;

- обеспечение целостности;

- контроль отсутствия НДВ;

- антивирусную защиту;

- обеспечение безопасного межсетевого взаимодействия ИСПДн;

- анализ защищенности;

- обна“ужение вторжений.

5.2.1. Подсистему управления доступом, регистрации и учета необходимо реализовывать на базе программных средств блокирования несанкционированных действий, сигнализации и регистрации. Это специальные, не входящие в ядро какой-либо операционной системы программные и программно-аппаратные средства защиты самих операционных систем, электронных баз ПДн и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для ИСПДн действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и имитации.

Средства диагностики осуществляют тестирование файловой системы и баз ПДн, постоянный сбор ПДн о функционировании элементов подсистемы обеспечения безопасности ПДн.

Средства уничтожения предназначены для уничтожения остаточных данных и могут предусматривать аварийное уничтожение данных в случае угрозы НСД, которая не может быть блокирована системой.

Средства сигнализации предназначены для предупреждения операторов при их обращении к защищаемым ПДн и для предупреждения администратора при обнаружении факта НСД к ПДн, искажении программных средств защиты, выходе или выводе из строя аппаратных средств защиты и о других фактах нарушения штатного режима функционирования ИСПДн.

Средства имитации моделируют работу с нарушителями при обнаружении попытки НСД к защищаемым ПДн или программным средствам. Имитация позволяет увеличить время на определение места и характера НСД, что особенно важно в территориально распределенных сетях, и дезинформировать нарушителя о месте нахождения защищаемых ПДн.

5.2.2. Подсистема обеспечения целостности реализуется преимущественно операционными системами и системами управления базами данных. Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций, встраиваемые в операционные системы и системы управления базами данных, основаны на расчете контрольных сумм, уведомлении о сбое в передаче пакета сообщения, повторе передачи непринятого пакета.

5.2.3. Подсистема контроля отсутствия НДВ реализуется в большинстве случаев на базе систем управления базами данных, средств защиты ПДн, антивирусных средств защиты ПДн.

5.2.4. Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку этой информации, применяются средства антивирусной защиты, обеспечивающие:

- обнаружение и (или) блокирование деструктивных вирусных воздействий на общесистемное и прикладное программное обеспечение, реализующее обработку ПДн, а также на ПДн;

- обнаружение и удаление неизвестных вирусов;

- обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.

При выборе средств антивирусной защиты необходимо учитывать следующие факторы:

- совместимость указанных средств со штатным программным обеспечением ИСПДн;

- степень снижения производительности функционирования ИСПДн по основному назначению;

- наличие средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора безопасности информации в ИСПДн;

- возможность оперативного оповещения администратора безопасности информации в ИСПДн обо всех событиях и фактах проявления ПМВ;

- наличие подробной документации по эксплуатации средства антивирусной защиты;

- возможность осуществления периодического тестирования или самотестирования средства антивирусной защиты;

- возможность наращивания состава средств защиты от ПМВ новыми дополнительными средствами без существенных ограничений работоспособности ИСПДн и “конфликта“ с другими типами средств защиты ПДн.

Описание порядка установки, настройки, конфигурирования и администрирования средств антивирусной защиты, а также порядка действий в случае выявления факта вирусной атаки или иных нарушений требований по защите от ПМВ должны быть включены в руководство администратора безопасности информации в ИСПДн.

5.2.5. Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии применяется межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами.

5.2.6. Подсистема анализа защищенности реализуется на основе использования средств тестирования (анализа защищенности) и контроля (аудита) безопасности ПДн.

Средства анализа защищенности применяются с целью контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяют оценить возможность проведения нарушителями атак на сетевое оборудование, контролируют безопасность программного обеспечения. Для этого они исследуют топологию сети, ищут незащищенные или несанкционированные сетевые подключения, проверяют настройки межсетевых экранов. Подобный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средства анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях.

В интересах выявления угроз НСД за счет межсетевого взаимодействия применяются системы обнаружения вторжений. Такие системы строятся с учетом особенностей реализации атак, этапов их развития и основаны на целом ряде методов обнаружения атак.

Для обнаружения вторжений в ИСПДн администрации г. Иркутска рекомендуется использовать системы обнаружения сетевых атак, использующие как сигнатурные методы анализа, так и методы выявления аномалий.

5.3. Для защиты ПДн от утечки по техническим каналам применяются организационные и технические мероприятия, направленные на исключение утечки акустической (речевой), видовой информации, а также утечки информации за счет ПЭМИН. При реализации технических мероприятий используются технические пассивные и активные средства защиты.

5.4. Перечень мероприятий по защите ПДн для определенной ИСПДн администрации г. Иркутска определяется сектором защиты информации в зависимости от ущерба, который может быть нанесен вследствие НСД или непреднамеренного доступа к ПДн в соответствии с действующим законодательством.

6. ОБЯЗАННОСТИ И ПРАВА ДОЛЖНОСТНЫХ ЛИЦ

6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной, гражданско-правовой, административной, уголовной и иной предусмотренной законодательством РФ ответственности.

6.2. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите ПДн в администрации г. Иркутска, являются:

- мэр г. Иркутска;

- заместитель мэра - руководитель аппарата администрации г. Иркутска;

- начальник управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска;

- заместитель руководителя аппарата - начальник департамента информатизации аппарата администрации г. Иркутска;

- начальник отдела мобилизационной подготовки управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска;

- заведующий сектором защиты информации отдела мобилизационной подготовки управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска;

- руководители структурных подразделений администрации г. Иркутска, ответственные за эксплуатацию защищаемых объектов информатизации;

- работники, допущенные к обработке ПДн в ИСПДн.

6.3. Начальник управления по МП и ГО отвечает за организацию защиты ПДн в администрации г. Иркутска, качественное и своевременное выполнение структурными подразделениями администрации г. Иркутска и должностными лицами установленных требований по защите ПДн.

6.4. Лица, ответственные за организацию, обеспечение и выполнение мероприятий по защите ПДн в администрации г. Иркутска, обязаны:

- не допускать проведения в администрации г. Иркутска работ и мероприятий, связанных с использованием ПДн без принятия необходимых мер по защите ПДн;

- определять объекты информатизации, предназначенные для работы с ПДн, организовывать их защиту;

- контролировать работу структурных подразделений администрации г. Иркутска и должностных лиц при обработке ПДн.

6.5. Заведующий сектором защиты информации отвечает за планирование работ по защите ПДн, своевременную разработку и реализацию мер по защите ПДн, организацию и проведение контроля состояния защиты ПДн в администрации г. Иркутска.

6.6. Заведующий сектором защиты информации обязан:

- разрабатывать проекты годовых планов работ по защите ПДн в администрации г. Иркутска, предусматривающих задачи структурным подразделениям администрации г. Иркутска по решению конкретных вопросов защиты ПДн, организацию их выполнения, а также контроль за их эффективностью;

- организовывать разработку и согласование проектов муниципальных правовых актов г. Иркутска, методической документации по защите ПДн в администрации г. Иркутска;

- согласовывать мероприятия по защите ПДн в ИСПДн с руководителями структурных подразделений администрации г. Иркутска;

- определять степень опасности технических каналов утечки информации, различных способов НСД к ПДн, их разрушения (уничтожения) или искажения;

- определять необходимые меры по защите ПДн, организовывать их разработку и реализацию;

- организовывать аттестацию ИСПДн;

- организовывать проведение периодического контроля эффективности мер защиты ПДн, учет и анализ результатов контроля;

- организовывать расследования нарушений в области защиты ПДн и разрабатывать предложения по устранению недостатков и предупреждению подобного рода нарушений;

- анализировать состояние работ по защите ПДн и разрабатывать предложения по совершенствованию системы защиты ПДн в администрации г. Иркутска;

- организовывать проведение занятий с руководящим составом и работниками администрации г. Иркутска по вопросам защиты ПДн.

6.7. Заведующий сектором защиты информации имеет право:

- контролировать деятельность структурных подразделений администрации г. Иркутска, должностных лиц и работников администрации г. Иркутска по выполнению ими требований по защите ПДн;

- участвовать в работе различного рода заседаний, комиссий, экспертных групп администрации г. Иркутска при рассмотрении вопросов защиты ПДн;

- вносить предложения начальнику управления по МП и ГО о приостановке работ с ПДн в случае нарушения требований по защите ПДн;

- готовить предложения о привлечении к проведению работ по защите ПДн сторонних организаций, имеющих лицензию на соответствующий вид деятельности.

6.8. Руководители структурных подразделений администрации г. Иркутска, эксплуатирующие ИСПДн, и работники администрации г. Иркутска, допущенные в установленном порядке к обработке ПДн, обязаны соблюдать установленные требования по обеспечению защиты ПДн.

6.9. Проведение работ с ПДн допускается только при выполнении требований настоящего положения и требований иных нормативных правовых актов по вопросам защиты ПДн.

6.10. В случае невыполнения требований настоящего положения, а также невыполнения требований иных нормативных правовых актов по вопросам защиты ПДн мэр г. Иркутска по представлению начальника управления по МП и ГО имеет право незамедлительно приостанавливать обработку ПДн в данной ИСПДн до выявления причин нарушений и устранения этих причин.

6.11. Ответственность за обеспечение установленных требований по защите ПДн возлагается на руководителей структурных подразделений администрации г. Иркутска и работников администрации г. Иркутска, эксплуатирующих ИСПДн.

6.12. Руководители структурных подразделений администрации г. Иркутска обязаны обеспечивать защиту ПДн в соответствии с настоящим положением и иными руководящими нормативными правовыми актами по защите ПДн.

6.13. Руководители структурных подразделений обязаны осуществлять постоянный контроль за подчиненными, разъяснять и требовать от подчиненных выполнения требований нормативных правовых актов по вопросам защиты ПДн.

6.14. В случае замеченных нарушений требований данного положения работником последний обязан немедленно сообщить об этом своему непосредственному руководителю либо работнику сектора защиты информации.

6.15. На первоначальном этапе создания ИСПДн в структурном подразделении администрации г. Иркутска по согласованию с его руководителем, а также с сектором защиты информации, департаментом информатизации аппарата администрации г. Иркутска (далее - департамент информатизации), хозяйственным управлением аппарата администрации г. Иркутска, а также иными структурными подразделениями администрации г. Иркутска приобретаются сертифицированные технические средства и системы, отвечающие требованиям безопасности ПДн.

6.16. Департаментом информатизации обеспечивается установка, подключение и настройка технических средств ИСПДн в соответствии с документацией к ним и планами организации и оснащения ИСПДн по согласованию с руководителем структурного подразделения администрации г. Иркутска, к которому имеет отношение ИСПДн.

6.17. Департаментом информатизации приобретаются лицензионные программные продукты и операционные системы, используемые в ИСПДн, по согласованию с руководителем структурного подразделения администрации г. Иркутска, к которому имеет отношение ИСПДн, а также с сектором защиты информации.

6.18. Работники департамента информатизации обеспечивают установку и настройку основных программных продуктов и операционных систем на технических средствах по согласованию с руководителем структурного подразделения администрации г. Иркутска, к которому имеет отношение ИСПДн, а также с сектором защиты информации.

6.19. Кроме того, департамент информатизации при эксплуатации и развертывании ИСПДн проводит следующие работы:

- по согласованию с руководителями структурных подразделений администрации г. Иркутска проводит анализ возможности решения определенных задач на ИСПДн и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств;

- установку (развертывание, обновление версий) программных средств, необходимых для решения в ИСПДн конкретных задач;

- удаление (затирание) программных пакетов, необходимость в использовании которых отпала;

- установку (развертывание) новых ИСПДн или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач (по согласованию с сектором защиты информации).

6.20. Сектор защиты информации с привлечением специалистов из других организаций, имеющих соответствующие лицензии ФСТЭК России и ФСБ России на проведение определенных работ по вопросам защиты информации, а в определенных случаях и с привлечением отдельных специалистов из других структурных подразделений администрации г. Иркутска обеспечивает установку и настройку сертифицированных средств защиты информации и аттестацию самого объекта информатизации (если требуется).

6.21. В процессе эксплуатации ИСПДн сектор защиты информации осуществляет следующие основные функции:

- контроль за обеспечением защиты ПДн в администрации г. Иркутска;

- своевременное обнаружение фактов несанкционированного доступа к ПДн;

- проводит работы по разработке, внедрению, совершенствованию и эксплуатации СЗПДн;

- организовывает аттестацию и контрольные проверки ИСПДн;

- устанавливает и вводит в эксплуатацию средства защиты ПДн в соответствии с эксплуатационной и технической документацией к ним;

- организовывает в установленном порядке расследования причин и условий появления нарушений по вопросам технической защиты ПДн и разрабатывает предложения по устранению недостатков и предупреждению подобного рода нарушений;

- проводит анализ возможности решения (а также совмещения) указанных задач в конкретных ИСПДн (с точки зрения обеспечения безопасности) и принимает решение об отнесении их к той или иной группе по степени защищенности;

- обеспечивает проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности ПДн;

- определяет организацию, методики и средства контроля эффективности противодействия попыткам НСД к информации и незаконного вмешательства в процесс функционирования ИСПДн.

6.22. Любые планируемые изменения в составе основных или вспомогательных технических средств, изменения в системе электропитания, связи, заземления или конструкции ИСПДн должны быть в обязательном порядке согласовываться с сектором защиты информации.

6.23. Иные права и обязанности структурных подразделений и работников администрации г. Иркутска приведены в соответствующих положениях о структурных подразделениях администрации г. Иркутска и должностных инструкциях работников.

6.24. Права субъекта ПДн определяются гл. 3 Федерального закона “О персональных данных“ от 27.07.2006 N 152-ФЗ.

6.25. Эксплуатация ИСПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписанием на эксплуатацию технических средств, а также требованиями соответствующих документов по вопросам защиты ПДн.

7. ПЛАНИРОВАНИЕ РАБОТ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Основные мероприятия и работы по защите ПДн в ИСПДн администрации г. Иркутска являются составной частью плана основных мероприятий по защите информации в администрации г. Иркутска (далее - план основных мероприятий по защите информации), разрабатываемого на очередной календарный год.

7.2. Планирование работ по защите информации, требования к содержанию плана, порядок разработки, согласования, утверждения и оформления плана, порядок отчетности и контроля за его выполнением определяются действующим законодательством Российской Федерации.

7.3. План основных мероприятий по защите информации определяет перечень основных проводимых организационно-технических мероприятий по защите информации (в том числе ПДн) в администрации г. Иркутска с указанием:

- сроков выполнения мероприятий;

- ответственных работников за исполнением соответствующих пунктов плана основных мероприятий по защите информации.

7.4. В план основных мероприятий по защите информации включаются:

- мероприятия по категорированию и аттестации объектов информатизации;

- работы по защите объектов информатизации от утечки информации по техническим каналам и НСД (созданию СЗСИ);

- мероприятия по контролю состояния защиты информации;

- мероприятия по обучению и повышению квалификации работников, допущенных к обработке ПДн.

7.5. План основных мероприятий по защите информации на очередной календарный год разрабатывается заведующим сектором защиты информации.

7.6. Согласованный с заинтересованными лицами план основных мероприятий по защите информации утверждается распоряжением администрации г. Иркутска не позднее 25 декабря текущего года.

7.7. Утвержденный план основных мероприятий по защите информации в установленном порядке ставится на учет и хранится в отделе мобилизационной подготовки управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска. К плану основных мероприятий по защите информации допускается ограниченный круг лиц (при необходимости могут быть сделаны выписки из плана и доведены до исполнителей в части касающейся).

7.8. Контроль за выполнением работ по защите информации в администрации г. Иркутска возлагается на начальника управления по МП и ГО.

7.9. Форма отчетности о выполнении текущих мероприятий плана основных мероприятий по защите информации определяется муниципальным правовым актом г. Иркутска.

7.10. Отчет о результатах выполнения запланированных мероприятий по защите информации за текущий год подготавливается сектором защиты информации, согласовывается с начальником отдела мобилизационной подготовки управления по МП и ГО, подписывается начальником управления по МП и ГО и представляется мэру г. Иркутска.

8. КОНТРОЛЬ СОСТОЯНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Контроль состояния защиты ПДн в администрации г. Иркутска осуществляется с целью своевременного выявления и предотвращения утечки информации, содержащей ПДн по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на ПДн и оценки защиты ПДн от технических средств разведки (далее - контроль).

8.2. Контроль заключается в проверке выполнения требований действующего законодательства по вопросам защиты ПДн, в оценке обоснованности и эффективности принятых мер по защите ПДн и осуществляется сектором защиты информации, в том числе с применением контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.

8.3. Контроль эффективности внедренных мер и средств защиты ПДн должен проводиться в соответствии с требованиями предписаний на эксплуатацию технических средств, требований эксплуатационной документации на сертифицированные средства ПДн, требований других нормативных документов не реже одного раза в год.

8.4. Обязательным является контроль средств защиты ПДн при вводе их в эксплуатацию после проведения ремонта средств защиты ПДн при изменениях условий и расположения или эксплуатации.

8.5. Контроль защиты информации в администрации г. Иркутска организуется начальником управления по МП и ГО.

8.6. К проведению контрольных мероприятий могут привлекаться ответственные работники за эксплуатацию ИСПДн.

8.7. Для проведения некоторых мероприятий контроля (измерение сопротивления защитного заземления, выявление опасных каналов утечки информации, проверка исправности и работоспособности средств защиты информации, оценка эффективности защищенности информации и т.п.) в случае невозможности или экономической нецелесообразности их выполнения силами работников администрации г. Иркутска могут привлекаться лицензированные сторонние организации.

8.8. Организация привлечения сторонних организаций для проведения контроля возлагается на заведующего сектором защиты информации.

8.9. Контроль состояния и эффективности защиты ПДн может осуществляться в соответствии с планом основных мероприятий по защите информации на текущий год или носить внеплановый (внезапный) характер и может проводиться как с использованием контрольно-измерительной аппаратуры (оценка эффективности защищенности ИСПДн, контроль работоспособности средств защиты и т.п.), так и без ее применения (контроль соответствия условий эксплуатации ИСПДн, контроль соответствия требованиям организационно-распорядительной документации и т.п.).

8.10. Результаты периодического контроля оформляются отдельными протоколами или актами.

8.11. По всем выявленным нарушениям требований по защите ПДн заведующий сектором защиты информации и в пределах предоставленных ему прав и своих функциональных обязанностей обязан добиваться их немедленного устранения.

8.12. Руководители структурных подразделений администрации г. Иркутска, в чьем ведении находятся ИСПДн, и ответственные за их эксплуатацию, обязаны принять все необходимые меры по немедленному устранению выявленных нарушений. При невозможности их немедленного устранения они обязаны прекратить работы с ПДн и организовать работы по устранению выявленных нарушений.

8.13. Исполнители, проводящие обработку ПДн в ИСПДн, обязаны выполнять требования по защите ПДн и ответственного за эксплуатацию ИСПДн по устранению допущенных ими нарушений норм и требований по защите ПДн и несут персональную ответственность за соблюдение требований по защите ПДн в ходе проведения работ.

8.14. Сопровождение системы защиты информации от НСД на стадии эксплуатации ИСПДн, включая ведение служебной информации (генерацию и смену паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием системы защиты ПДн от НСД, контроль соответствия общесистемной программной среды эталону (контроль целостности программного обеспечения) и приемку включаемых в ИСПДн новых программных средств, а также контроль за ходом технологического процесса обработки ПДн путем регистрации и анализа действий работников (пользователей) по системному журналу, осуществляется администратором безопасности ИСПДн.

8.15. Администратором безопасности ИСПДн назначается работник департамента информатизации.

8.16. Учет, хранение и выдача работникам паролей и ключей для системы защиты ПДн от НСД, оперативный контроль за действиями работников, использующих ИСПДн, осуществляют работники департамента информатизации аппарата администрации г. Иркутска.

8.17. Общий контроль, внеплановый контроль и методическое обеспечение работников, допущенных к обработке ПДн, осуществляется сектором защиты информации.

8.18. Защита ПДн считается эффективной, если принимаемые меры защиты соответствуют установленным требованиям или нормам руководящих документов по защите ПДн.

8.19. Несоответствие мер установленным требованиям или нормам по защите ПДн является нарушением.

8.20. Нарушения по степени важности делятся по трем категориям:

- первая - невыполнение требований или норм по защите ПДн, в результате чего имелась или имеется реальная возможность их утечки по техническим каналам;

- вторая - невыполнение требований по защите ПДн, в результате чего создаются предпосылки к их утечке по техническим каналам;

- третья - невыполнение других требований по защите ПДн.

8.21. При обнаружении нарушений первой категории в ИСПДн необходимо:

- немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры;

- организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц;

- сообщить в сектор защиты информации о вскрытых нарушениях и принятых мерах.

8.22. Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер сектором защиты информации.

8.23. При обнаружении нарушений второй и третьей категорий руководители структурных подразделений администрации г. Иркутска обязаны принять необходимые меры по их устранению в сроки, согласованные с сектором защиты информации.

8.24. Контроль за устранением этих нарушений осуществляется сектором защиты информации.

8.25. На аттестованных по требованиям безопасности информации объектах информатизации контроль со стороны органов, проводивших аттестацию, должен проводиться ежегодно с оформлением необходимых документов по результатам контрольной проверки.

9. АТТЕСТОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Под аттестацией ИСПДн по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - Аттестата соответствия подтверждается, что объект (ИСПДн) соответствует требованиям стандартов или иных нормативных документов по защите ПДн, утвержденных ФСТЭК России, ФСБ России или другими органами государственного управления в пределах их компетенции.

9.2. Наличие действующего Аттестата соответствия дает право обработки ПДн соответствующей категории и объема в ИСПДн и на период времени, установленный в Аттестате соответствия.

9.3. ИСПДн классифицированные по 1 и 2 классу подлежат обязательной аттестации.

9.4. Аттестация по требованиям безопасности информации предшествует началу обработки ПДн и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты ПДн.

9.5. При аттестации ИСПДн подтверждается ее соответствие требованиям по защите информации от утечки по возможным физическим каналам и НСД к ней, за исключением проведения специальных проверок технических средств на отсутствие электронных “закладок“.

9.6. Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты ПДн требуемому уровню безопасности ПДн.

9.7. Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккредитованным органом по аттестации из компетентных специалистов в необходимых для конкретной ИСПДн, по согласованной с заявителем программе испытаний.

9.8. Программа испытаний разрабатывается на основе анализа исходных данных об ИСПДн, представляемых департаментом информатизации, моделью актуальных угроз ИСПДн, разработанной сектором защиты информации, и должна включать необходимые виды испытаний, определенные методическими рекомендациями для соответствующих видов объектов информатизации, а также определять сроки, условия и методики проведения испытаний.

9.9. Программа испытаний может уточняться и корректироваться в процессе испытаний по согласованию с заявителем и руководителем аттестационной комиссии.

9.10. Для проведения испытаний администрация г. Иркутска представляет аттестационной комиссии следующие исходные данные и документацию:

- техническое задание на ИСПДн;

- технический паспорт на ИСПДн;

- приемосдаточную документацию на ИСПДн;

- акт классификации ИСПДн;

- состав технических и программных средств, входящих в ИСПДн;

- планы размещения технических средств и систем;

- состав и схемы размещения средств защиты ПДн;

- план контролируемой зоны;

- схемы прокладки линий передачи данных;

- схемы и характеристики систем электропитания и заземления технических средств;

- перечень защищаемых в ИСПДн ресурсов;

- организационно-распорядительная документация разрешительной системы доступа работников к защищаемым ресурсам ИСПДн;

- описание технологического процесса обработки ПДн в ИСПДн;

- технологические инструкции работникам (пользователям) ИСПДн и администратору безопасности ИСПДн;

- инструкции по эксплуатации средств защиты ПДн;

- предписания на эксплуатацию технических средств;

- протоколы специальных исследований технических средств;

- сертификаты соответствия требованиям безопасности ПДн на средства и системы обработки и передачи ПДн, используемые средства защиты ПДн;

- данные по уровню подготовки кадров, обеспечивающих защиту ПДн;

- данные о техническом обеспечении средствами контроля эффективности защиты ПДн и их метрологической поверке;

- нормативную и методическую документацию по защите ПДн и контролю эффективности защиты ПДн.

9.11. Приведенный общий перечень исходных данных и документации может уточняться администрацией г. Иркутска в зависимости от особенностей аттестуемой ИСПДн по согласованию с аттестационной комиссией.

9.12. Аттестационные испытания ИСПДн проводятся до полного их завершения в соответствии с программой испытаний вне зависимости от промежуточных результатов испытаний.

9.13. Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования ИСПДн и технологии обработки ПДн, могущих повлиять на характеристики, определяющие безопасность ПДн (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки ПДн, средства и меры защиты), на срок, устанавливаемый нормативными правовыми документами ФСТЭК России.

9.14. В случае изменений условий и технологии обработки ПДн ответственные за эксплуатацию ИСПДн лица обязаны известить об этом заведующего сектором защиты информации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.

10. ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ОРГАНИЗАЦИЯМИ

10.1. Взаимодействие по вопросам защиты ПДн администрации г. Иркутска со сторонними организациями (при необходимости) организуется заведующим сектором защиты информации с целью:

- обеспечения администрации г. Иркутска недостающими и вновь разработанными руководящими, нормативно-методическими и иными материалами по вопросам защиты ПДн;

- обеспечения средствами защиты ПДн;

- выполнения организационных и технических мероприятий в области защиты ПДн, на проведение которых у администрации г. Иркутска отсутствует соответствующее разрешение либо отсутствуют технические средства и подготовленные работники (специалисты);

- выполнения организационных и технических мероприятий в области“защиты ПДн, выполнение которых силами администрации г. Иркутска экономически невыгодно;

- контроля эффективности проводимых мероприятий по защите ПДн.

10.2. Привлекаемая для оказания услуг в области защиты ПДн сторонняя организация должна иметь лицензию на соответствующий вид деятельности.

10.3. Перечень совместно выполняемых организационных и технических мероприятий в области защиты ПДн определяется с учетом планируемых работ по созданию (реконструкции) ИСПДн и включается в себя план основных мероприятий по защите ПДн.

10.4. С привлекаемой организацией администрация г. Иркутска заключает двусторонний договор (соглашение, контракт) в соответствии с постановлением мэра г. Иркутска от 20.09.2006 N 031-06-1250/6 “О Порядке подготовки, заключения и исполнения договоров, соглашений, контрактов в администрации г. Иркутска, муниципальных учреждениях, муниципальных унитарных предприятиях г. Иркутска“.

Начальник управления по мобилизационной

подготовке и гражданской обороне

администрации г. Иркутска

В.И.ТЕРНОВСКИЙ

Начальник отдела мобилизационной

подготовки управления по мобилизационной

подготовке и гражданской обороне

администрации г. Иркутска

Б.В.КУРЧИНСКИЙ