III. Последовательность действий должностных лиц органов власти автономного округа, ответственных за организацию обработки персональных данных, обеспечения безопасности персональных данных при их обработке в информационных системах, в том числе и государственных информационных системах
3.1. Должностные лица ОГВ, ответственные за организацию обработки ПДн, обеспечение безопасности персональных данных при их обработке в информационных системах должны обладать следующей актуальной информацией в отношении каждой ИС, в которой обрабатываются ПДн:
цель обработки ПДн;
категории ПДн;
категории субъектов ПДн, информация о которых обрабатываются в ИС;
правовое основание обработки ПДн;
перечень действий с ПДн, общее описание используемых способов обработки ПДн;
описание мер, обеспечения безопасности ПДн, в том числе сведения
о наличии шифровальных (криптографических) средств и наименования этих средств;
дата начала обработки ПДн;
срок или условие прекращения обработки ПДн;
сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки.
3.2. Первоочередной задачей лиц, ответственного за организацию обработки ПДн и обеспечения безопасности ПДн при их обработке в ИС является организация работ по разработке и поддержанию в актуальном состоянии следующих документов:
перечень ПДн, обрабатываемых в органе власти в связи
с реализацией трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций;
перечень ИС, в том числе ГИС. По каждой ИС, зафиксированной
в перечне, проводится анализ, по результатам которого определяется перечень серверного, коммутационного и сетевого оборудования; перечень используемого программного обеспечения; наличие средств защиты информации, а также сведения об их сертификации;
должностные инструкции подразделений и (или) должностных лиц ответственных за организацию обработки ПДн в ОГ и обеспечение безопасности ПДн при их обработке в ИС. Должностня инструкция определяет задачи, функции и полномочия ответственных лиц в части обеспечения безопасности ПДн;
правила работы с обезличенными данными и перечень должностей служащих ОГВ, ответственных за проведение мероприятий
по обезличиванию обрабатываемых ПДн. Кроме того, оператор должен осуществлять обезличивание ПДн, обрабатываемых в информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ;
порядок доступа служащих органа власти в помещения, в которых ведется обработка ПДн;
перечень должностей ОГВ, доступ которых к ПДн, обрабатываемым в ИС, включая ГИС, необходим для выполнения служебных обязанностей по осуществлению обработки ПДн либо осуществлению доступа к ПДн. Лица, допущенные к обработке ПДн учитываются в журнале учета допуска к работе пользователей в информационных системах, в котором отражаются перечень информационных ресурсов, к которым пользователи допущены;
типовое обязательство служащего ОГВ, непосредственно осуществляющего обработку ПДн, в случае расторжения с ним трудового контракта, прекратить обработку ПДн, ставших известными ему в связи с исполнением должностных обязанностей;
типовая форма согласия на обработку ПДн ОГВ, иных субъектов ПДн, а также типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн;
правила обработки ПДн, устанавливающие процедуры, направленные
на выявление и предотвращение нарушений законодательства Российской Федерации в ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
правила рассмотрения запросов субъектов ПДн или их представителей;
правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора.
Во исполнение вышеизложенного, в Органе власти разрабатывается «Положение об обработке персональных данных в Органе власти Ханты-Мансийского автономного округа – Югры».
В общем виде положение должно содержать:
общий порядок организации работ по обеспечению безопасности ПДн
при их обработке в ИСПДн;
организационную структуру системы обеспечения безопасности ПДн;
обязанности должностных лиц, эксплуатирующих ИСПДн, в части обеспечения безопасности ПДн при их обработке в ИСПДн;
порядок предоставления информации органам государственной власти, физическим и юридическим лицам;
порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации и нарушения порядка предоставления ПДн, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, разработку
и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
порядок приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления;
порядок обучения администраторов средств (систем) защиты информации, в том числе средств антивирусной защиты, и первичного инструктажа пользователей;
порядок организации ведения и периодической проверки электронного журнала обращений пользователей информационной системы к ПДн;
правила парольной защиты;
правила антивирусной защиты;
правила обновления общесистемного и прикладного программного обеспечения ИСПДн;
порядок контроля за соблюдением условий использования СЗИ.
Типовая форма Положения приведена в приложении 1 к Типовому Приказу Органа власти о назначении ответственных лиц и формирования системы защиты ПДн в Органе власти.
По решению оператора Положение может дополняться другими разделами.
Ряд указанных выше требований может издаваться в виде отдельных документов.
Например, могут быть разработаны следующие документы:
положение об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Органа власти Ханты-Мансийского автономного округа – Югры, определяющая требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности гражданских служащих и работников, ответственных за обеспечение безопасности ПДн в ИСПДн. Типовая форма Положения приведена в приложении 2 к Типовому Приказу Органа власти о назначении ответственных лиц и формирования системы защиты ПДн в Органе власти;
положение о порядке выявления и реагирования на инциденты ИБ;
инструкция пользователя информационных систем;
инструкция по организации антивирусной защиты;
инструкция администратора безопасности информационных систем;
инструкция по организации парольной защиты.
Кроме того, ответственным за обеспечение безопасности ПДн разрабатываются следующие документы с учетом выполнения требований по сохранности носителей ПДн и средств защиты информации, а также исключения возможности проникновения и неконтролируемого пребывания посторонних лиц:
инструкция, определяющая порядок охраны и внутриобъектового режима порядок допуска лиц в помещения, в которых ведется обработка ПДн, в том числе в помещения серверных и хранилища носителей информации;
приказ (распоряжение) об определении контролируемой зоны, в пределах которой исключено пребывание посторонних лиц, не имеющих постоянного или разового пропуска.
3.3. В целях осуществления внутреннего контроля соответствия обработки ПДн установленным требованиям ответственным за организацию обработки ПДн должно быть предусмотрено проведение мероприятий по методическому руководству и контролю за полнотой и эффективностью принятых мер обеспечения безопасности ПДн в подчиненных организациях и обособленных структурных подразделениях, а также проведение периодических проверок условий обработки ПДн в ОГВ.
Проверки осуществляются ответственным за организацию обработки ПДн в ОГВ либо комиссией, образуемой руководителем ОГВ. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю ОГВ докладывает ответственный за организацию обработки ПДн в ОГВ либо председатель комиссии.
Типовая форма «Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными актами в Органе власти Ханты-Мансийского автономного округа – Югры» приведена в приложении 8 к Типовому Приказу Органа власти о назначении ответственных лиц и формирования системы защиты ПДн в Органе власти.
Кроме того, должно быть организовано ознакомление служащих ОГВ, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе
с требованиями к защите ПДн, документами, определяющими политику оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн и (или) и их периодическое обучение на специализированных курсах повышения квалификации по вопросам защиты информации ограниченного доступа.
3.4. Ответственным за организацию обработки ПДн должно быть организовано использование СЗИ, предназначенных для обеспечения безопасности ПДн при их обработке в ИСПДн, в обязательном порядке сертифицированных ФСТЭК России и ФСБ России (для криптографических средств защиты информации).
Признаком сертифицированного СЗИ является наличие специального защитного знака, наносимого непосредственно на технические средства защиты, а также на магнитные или оптические носители с дистрибутивами программных средств защиты. Контроль маркирования СЗИ специальными защитными знаками осуществляют испытательные лаборатории, производившие сертификационные испытания данных средств защиты.
В комплект поставки СЗИ должны входить формуляр, правила пользования этими средствами (инструкции по установке и настройке, инструкции администратору
и пользователю).
Реестр сертифицированных средств защиты информации размещен
на официальном сайте ФСТЭК России: www.fstec.ru.
СЗИ, предназначенные для обеспечения безопасности ПДн при
их обработке в информационных системах, эксплуатационная и техническая документация к ним подлежат учету в журналах поэкземплярного учета СЗИ, эксплуатационной и технической документации к ним, в которых отражается:
подлежат учету в журналах учета СЗИ, в которых отражается:
индексы и наименования СЗИ;
серийные (заводские) номера;
номера специальных защитных знаков;
номера и сроки действия сертификатов на СЗИ;
наименования организаций, установивших СЗИ;
место установки СЗИ;
наименование и номера эксплуатационной и технической документации
к средства защиты.
Журнал в установленном порядке регистрируется в делопроизводстве.
Перед вводом в эксплуатацию СЗИ ответственным за организацию обработки ПДн должна проводиться оценка готовности данных средств
к использованию с составлением заключений о возможности их эксплуатации, утверждаемых руководителем ОГВ.
3.5. С целью обеспечения возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД, ответственным
за организацию обработки ПДн должно быть организовано резервирование обрабатываемых ПДн. Периодичность и порядок проведения резервирования
и восстановления ПДн определяется инструкцией (регламентом, положением), в которой отражается:
должностные лица, ответственные за проведение резервирования;
периодичность создания резервных копий;
перечень информационных ресурсов, общесистемного и специализированного программного обеспечения, программного обеспечения средств защиты информации, подлежащих резервированию;
требования, предъявляемые к носителям зарезервированной информации;
места, порядок хранения и выдачи носителей зарезервированной информации;
порядок восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
порядок восстановления работоспособности технических средств, а также общесистемного и прикладного программного обеспечения информационных систем вследствие сбоев или НСД.
При этом, при определении периодичности резервирования информации ответственным за организацию обработки ПДн необходимо учитывать объем обновляемых ПДн, а также возможный ущерб от нарушения функционирования конкретной информационной системы.
3.6. Все магнитные, оптические и другие машинные носители ПДн подлежат обязательному учету. На носители информации наносится маркировка, позволяющая идентифицировать и организовать их учет. Машинные носители информации, в том числе с резервными копиями ПДн, регистрируются в журнале учета машинных носителей ПДн, в котором отражается:
тип и емкость носителя;
учетный номер носителя;
место установки (использования) носителя;
дата установки носителя;
ответственное должностное лицо;
сведения о списании носителя и уничтожении информации.
Уничтожение информации с бумажных и магнитных носителей информации должно осуществляться средствами гарантированного уничтожения информации.
Ответственными за организацию обработки ПДн и обеспечение безопасности ПДн должна быть организована периодическая проверка наличия, сохранности и соблюдения правил хранения машинных носителей ПДн с оформлением соответствующих актов проверки.
3.7. Обработка ПДн в ОГВ может вестись без использования средств автоматизации. Для этого ответственным за организацию обработки ПДн в частности необходимо:
определить места хранения ПДн (материальных носителей)
с определением категорий ПДн. Условия хранения должны обеспечивать сохранность персональных данных и исключать НСД к ним доступ. Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ с доведением данной информации под роспись;
разработать и утвердить правила обработки ПДн, осуществляемой без использования средств автоматизации (должны определять порядок уточнения, уничтожения, меры по обеспечению раздельной обработки, типовых формах
и журналах и порядке их ведения).
3.8. Лицо, ответственное за организацию обработки ПДн, должно организовывать опубликование документа, определяющего политику ОГВ
в отношении обработки ПДн, и сведений о реализуемых требованиях к защите ПДн на официальном сайте ОГВ в течение 10 дней после их утверждения, а также осуществлять контроль за актуальностью таких документов, опубликованных на официальном сайте органа власти.
3.9. В рамках взаимодействия ОГВ с Роскомнадзором, лицо, ответственное за обработку ПДн, должно организовывать подготовку
и направление в соответствующее территориальное управление Роскомнадзора уведомлений об обработке ПДн. Уведомления должны направляться
в течение 10 рабочих дней с даты возникновения изменений.
IV. Мероприятия по обеспечению безопасности ПДн
при их обработке в ИСПДн и ГИС ПДн
4.1. В ходе обеспечения безопасности ПДн в ГИС ПДн и ИСПДн принципиально следует различать два подхода:
защита каждой отдельной ГИС ПДн или ИСПДн;
создание единой системы защиты информации в ГИС ПДн или ИСПДн.
Каждый из подходов имеет свои достоинства и недостатки. Рекомендации по выбору подхода для руководителя ОГВ должны формироваться ответственным за организацию обработки ПДн, содержащихся в информационных системах и лицом, ответственным за непосредственное выполнение мероприятий по защите информации.
В общем случае, для органа власти следует выбирать второй подход, который позволит унифицировать систему защиты, организовать централизованное управление в ней и уменьшить трудоемкость мероприятий.
4.2. Система защиты ПДн при их обработке в ИСПДн создается в соответствии с Постановлением Правительства Российской Федерации № 1119 и Приказом ФСТЭК России № 21 и должна быть направлена на нейтрализацию актуальных угроз безопасности информации.
В соответствии с Приказом ФСТЭК России № 21, меры по обеспечению безопасности ПДн при их обработке ГИС принимаются в соответствии
с Приказом ФСТЭК России № 17.
Учитывая, что меры по обеспечению безопасности ПДн и порядок
их выбора, установленные приказом ФСТЭК России № 21, аналогичны мерам защиты информации и порядку их выбора, установленным приказом ФСТЭК России № 17, то для обеспечения безопасности ПДн, обрабатываемых в ГИС, достаточно руководствоваться Приказом ФСТЭК России № 17.
Таким образом, для обеспечения безопасности ПДн при их обработке в ГИС в дополнение к Приказу ФСТЭК России № 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности ПДн), установленными Постановлением Правительства Российской Федерации № 1119.
4.3. Работы по обеспечению безопасности информации в любой информационной системе (ГИС или ИСПДн) начинаются со сбора исходных данных, а именно:
основание для создания и эксплуатации информационной системы (правовые акты Российской Федерации, субъектов Российской Федерации, правовой акт руководителя ОГВ);
виды обрабатываемой информации (общедоступная, ограниченного распространения);
категория обрабатываемых в информационной системе ПДн;
принадлежность обрабатываемых ПДн сотрудникам оператора или нет;
объем обрабатываемых ПДн (количество субъектов ПДн, ПДн которых обрабатывается в информационной системе);
тип угроз, актуальных для информационных систем.
На основании данной информации осуществляется отнесение информационной системы к ГИС, к ГИС ПДн или к иной ИС в которой обрабатываются ПДн (ИСПДн).
Защита ПДн при их обработке в ГИС ПДн обеспечивается путем выполнения обладателем информации (заказчиком) и (или) оператором требований к организации защиты информации, содержащейся
в информационной системе, и требований к мерам защиты информации, содержащейся в информационной системе.
4.4. В общем случае последовательность действий по обеспечению безопасности информации в информационных системах включает следующие этапы:
формирование требований к защите информации, содержащейся
в информационной системе;
разработка системы защиты информации информационной системы;
внедрение системы защиты информации информационной системы;
аттестация информационной системы по требованиям защиты информации (для ГИС) или оценка эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн (для ИСПДн) и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации информационной системы;
обеспечение защиты информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации.
4.4.1. Формирование требований к защите информации, содержащейся
в информационной системе, осуществляется обладателем информации (заказчиком).
Формирование требований к защите информации, содержащейся
в информационной системе, включает в себя:
определение класса защищенности ГИС или уровня защищенности ПДн для ИСПДн;
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
определение требований к системе защиты информации информационной системы.
4.4.1.1. Определение уровня защищенности ПДн для ИСПДн или класса защищенности ГИС ПДн осуществляется по результатам анализа исходных данных определенных в Постановлении Правительства Российской Федерации № 1119 и Приказа ФСТЭК России № 17, в соответствии с
|
