Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Распоряжение администрации города Иркутска от 7 декабря 2010 г. N 031-10-1167/10 "Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г.Иркутска"
- Приложение N 1. Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г.Иркутска
Приложение N 1. Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г.Иркутска
Приложение N 1
к Распоряжению администрации г.Иркутска
от 7 декабря 2010 г. N 031-10-1167/10
Положение
о порядке организации и проведения работ
по обеспечению безопасности персональных данных при их обработке
в информационных системах персональных данных
администрации г.Иркутска
С изменениями и дополнениями от:
31 октября 2011 г.
1. Термины, определения и сокращения
1.1. Автоматизированная информационная система (АС) - система, состоящая из работников и комплекса средств автоматизации их деятельности, реализующая информационную технологию выполнения установленных функций.
1.2. Администратор информационной системы персональных данных (администратор ИСПДн) - лицо, ответственное за сопровождение программного обеспечения информационной системы персональных данных.
1.3. Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Информация об изменениях:
Распоряжением администрации г.Иркутска от 31 октября 2011 г. N 031-10-1064/11 пункт 1.4 настоящего приложения изложен в новой редакции
1.4. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.5. Вредоносная программа (ВП) - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
1.6. Доступ к персональным данным - возможность получения персональных данных и их использования.
1.7. Защита от несанкционированного доступа - предотвращение или существенное затруднение несанкционированного доступа.
1.8. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
1.9. Информация - сведения (сообщения, данные) независимо от формы их представления;
Информация об изменениях:
Распоряжением администрации г.Иркутска от 31 октября 2011 г. N 031-10-1064/11 пункт 1.10 настоящего приложения изложен в новой редакции
1.10. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.11. Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информация об изменениях:
Распоряжением администрации г.Иркутска от 31 октября 2011 г. N 031-10-1064/11 пункт 1.12 настоящего приложения изложен в новой редакции
1.12. Конфиденциальность персональных данных - обязательное для выполнения оператором и иным лицом, получившим доступ к персональным данным требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.13. Несанкционированный доступ к персональным данным (несанкционированные действия), (НСД) - доступ к персональным данным или действия с персональными данными, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Информация об изменениях:
Распоряжением администрации г.Иркутска от 31 октября 2011 г. N 031-10-1064/11 пункт 1.14 настоящего приложения изложен в новой редакции
1.14. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.15. Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Информация об изменениях:
Распоряжением администрации г.Иркутска от 31 октября 2011 г. N 031-10-1064/11 пункт 1.16 настоящего приложения изложен в новой редакции
1.16. Оператор - муниципальный орган, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.17. Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Информация об изменениях:
Распоряжением администрации г.Иркутска от 31 октября 2011 г. N 031-10-1064/11 пункт 1.18 настоящего приложения изложен в новой редакции
1.18. Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.19. Пользователь ИСПДн - лицо, участвующее в функционировании ИСПДн или использующее результаты ее функционирования.
1.20. Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
1.21. Ресурс информационной системы персональных данных - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы персональных данных.
1.22. Средства вычислительной техники (СВТ) - совокупность программных и технических элементов систем обработки персональных данных, способных функционировать самостоятельно или в составе других систем.
1.23. Санкционированный доступ к персональным данным - доступ к персональным данным, не нарушающий правила разграничения доступа.
1.24. Система защиты персональных данных (СЗПДн) - комплекс организационных мер и программно-технических средств обеспечения безопасности ПДн в ИСПДн.
1.25. Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
1.26. Технический канал утечки информации - совокупность носителя персональных данных (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается информация, содержащая персональные данные.
1.27. Технические средства информационной системы персональных данных (ТС) - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
1.28. Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Информация об изменениях:
Распоряжением администрации г.Иркутска от 31 октября 2011 г. N 031-10-1064/11 пункт 1.29 настоящего приложения изложен в новой редакции
1.29. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
1.30. Утечка (защищаемой) информации, содержащей персональные данные, по техническим каналам - неконтролируемое распространение персональных данных от носителя персональных данных через физическую среду до ТС, осуществляющего перехват информации, содержащей персональные данные.
1.31. Целостность информации, содержащей персональные данные, - способность средства вычислительной техники или информационной системы персональных данных обеспечивать неизменность информации, содержащей персональные данные, в условиях случайного и/или преднамеренного искажения (разрушения).
2. Общие положения
2.1. Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г.Иркутска (далее - положение) разработано в соответствии с Конституцией Российской Федерации, федеральным законом "Об информации, информационных технологиях и о защите информации", федеральным законом "О персональных данных", Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 г. N 781, Порядком проведения классификации информационных систем персональных данных, утвержденным совместным приказом Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. N 55/86/20, Положением о методах и способах защиты информации в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 05.02.2010 г. N 58 и определяет содержание и порядок осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска.
2.2. Настоящее Положение не регулирует вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы обеспечения безопасности информации с ограниченным доступом (конфиденциальной), не содержащей ПДн.
2.3. Организация обеспечения безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации, возлагается на руководителей структурных подразделений администрации г.Иркутска, согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства Российской Федерации от 15.09.2008 г. N 687.
2.4. Безопасность ПДн при их обработке в ИСПДн администрации г.Иркутска достигается путем исключения НСД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
2.5. Безопасность ПДн при их обработке в ИСПДн администрации г.Иркутска обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на ТС обработки ПДн), а также используемые в ИСПДн администрации г.Иркутска информационные технологии.
2.6. Для обеспечения безопасности ПДн, при их обработке в ИСПДн администрации г.Иркутска осуществляется защита речевой информации и информации, обрабатываемой ТС, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
2.7. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
2.8. Методы и способы защиты ПДн в ИСПДн администрации г.Иркутска устанавливаются Федеральной службой по техническому и экспортному контролю России и Федеральной службой безопасности России в пределах их полномочий.
2.9. Выбор и реализация методов и способов защиты информации в ИСПДн администрации г.Иркутска осуществляются, согласно Положению о методах и способах защиты информации в информационных системах персональных данных, утвержденному приказом ФСТЭК России от 05.02.2010 г. N 58, на основе определяемых отделом защиты информации управления по мобилизационной подготовке и гражданской обороне администрации г.Иркутска (далее - ОЗИ) угроз безопасности ПДн (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с разделом 3 настоящего Положения.
2.10. Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с п.2 постановления Правительства Российской Федерации от 17.11.2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
2.11. Выбранные и реализованные в соответствии с п.2.9. настоящего Положения методы и способы защиты информации в ИСПДн администрации г.Иркутска должны обеспечивать нейтрализацию предполагаемых угроз безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска в составе создаваемой СЗПДн.
2.12. Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска оценивается при проведении государственного контроля и надзора.
2.13. Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска, проводимые ОЗИ совместно с работниками департамента информатизации комитета по экономике администрации г.Иркутска (далее - департамент информатизации), включают в себя:
- классификацию ИСПДн администрации г.Иркутска;
- определение угроз безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска;
- разработку на основе определенных угроз безопасности ПДн частной модели угроз применительно к конкретной ИСПДн администрации г.Иркутска;
- разработку СЗПДн на основе частной модели угроз (СЗПДн обеспечивает нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн администрации г.Иркутска);
- проверку готовности средств защиты ПДн к использованию с составлением заключений о возможности их эксплуатации;
- установку и ввод в эксплуатацию средств защиты ПДн в соответствии с эксплуатационной и технической документацией;
- обучение лиц, использующих средства защиты ПДн, применяемые в ИСПДн администрации г.Иркутска, правилам работы с ними;
- учет применяемых средств защиты ПДн, эксплуатационной и технической документации к ним, носителей ПДн;
- учет лиц, допущенных к работе с ПДн в ИСПДн администрации г.Иркутска;
- контроль за соблюдением условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;
- составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты ПДн, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- описание СЗПДн.
2.14. Учет всех защищаемых носителей информации (как отчуждаемых (дискеты, диски и т.п), так и неотчуждаемых (жесткие магнитные диски в составе системных блоков и т.п.)), на которых хранятся ПДн, должен быть организован в каждом структурном подразделении администрации г.Иркутска руководителями соответствующих структурных подразделений администрации г.Иркутска. Каждому защищаемому носителю информации присваивается свой учетный номер по журналу следующей типовой формы:
|
N п/п |
Дата, регистрационный номер |
Учетный номер, откуда поступил |
Тип защищаемого носителя информации |
Расписка в получении (ф.и.о., подпись, дата) |
Расписка в обратном приеме (ф.и.о., подпись, дата) |
Место хранения |
Отметка об уничтожении защищаемого носителя информации |
|
|
|
|
|
|
|
|
|
Присвоенный защищаемому носителю информации номер проставляется также и на самом носителе.
2.15. Уничтожение ПДн осуществляется в следующих случаях:
- при выявлении неправомерных действий с ПДн и в случае невозможности устранения допущенных нарушений соответствующие ПДн уничтожаются в срок, не превышающий трех рабочих дней с даты такого выявления. Об устранении допущенных нарушений или об уничтожении ПДн руководитель соответствующего структурного подразделения администрации г.Иркутска обязан в срок, не превышающий пяти рабочих дней с даты устранения допущенных нарушений или уничтожения ПДн, уведомить субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, - также указанный орган;
- в случае достижения цели обработки ПДн, либо утраты необходимости в такой цели, соответствующие ПДн уничтожаются в срок, не превышающий трех рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено федеральными законами. Руководитель соответствующего структурного подразделения администрации г.Иркутска обязан в срок, не превышающий пяти рабочих дней с даты уничтожения ПДн, уведомить об уничтожении ПДн субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, - также указанный орган;
- в случае отзыва субъектом ПДн согласия на обработку своих ПДн соответствующие ПДн уничтожаются в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между администрацией г.Иркутска и субъектом ПДн. Об уничтожении ПДн руководитель соответствующего структурного подразделения администрации г.Иркутска обязан уведомить субъекта персональных данных в срок, не превышающий пяти рабочих дней с даты уничтожения ПДн.
2.16. Размещение ИСПДн администрации г.Иркутска, специальное оборудование и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
2.17. Лица, доступ которым к ПДн, обрабатываемым в ИСПДн администрации г.Иркутска, необходим для выполнения служебных (должностных) обязанностей, допускаются к соответствующим ПДн, в порядке установленном распоряжением администрации г.Иркутска от 25.06.2009 г N 031-10-686/9 "О предоставлении доступа к информационным ресурсам корпоративной информационной вычислительной сети (КИВС) администрации г.Иркутска".
2.18. Запросы пользователей ИСПДн администрации г.Иркутска на получение ПДн, включая лиц, указанных в п.2.17 настоящего положения, а также факты предоставления ПДн по этим запросам должны регистрироваться автоматизированными средствами ИСПДн в электронном журнале обращений. Содержание электронного журнала обращений проверяется администраторами ИСПДн администрации г.Иркутска и работниками ОЗИ не реже чем один раз в месяц.
2.19. При обнаружении администраторами ИСПДн либо работниками ОЗИ нарушений в порядке обработки и защиты ПДн, ставится в известность начальник ОЗИ.
2.20. Мэр г.Иркутска по представлению начальника управления по мобилизационной подготовке и гражданской обороне администрации г.Иркутска (далее - управление по МП и ГО) имеет право незамедлительно приостанавливать обработку ПДн в ИСПДн администрации г.Иркутска до выявления причин нарушений и устранения этих причин.
2.21. Порядок и сроки проведения мероприятий по созданию новых ИСПДн администрации г.Иркутска, реконструкции находящихся в эксплуатации ИСПДн администрации г.Иркутска, порядок и сроки проведения ремонтных, либо отладочных работ, работ по замене программных или ТС соответствующей ИСПДн администрации г.Иркутска, в обязательном порядке письменно согласовываются с начальником управления по МП и ГО.
2.22. Финансирование мероприятий по защите ПДн в администрации г.Иркутска осуществляется из бюджета г.Иркутска.
3. Классификация информационных систем персональных данных
3.1. Классификация ИСПДн администрации г.Иркутска осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн.
3.2. Классификация ИСПДн администрации г.Иркутска проводится на этапе создания ИСПДн в администрации г.Иркутска или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).
3.3. Классификация ИСПДн администрации г.Иркутска проводится комиссией, назначаемой распоряжением администрации г.Иркутска, в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, и иными руководящими документами по защите ПДн.
3.4. В состав комиссии, назначаемой в соответствии с п.3.3 настоящего Положения, в обязательном порядке входят работники ОЗИ, работники департамента информатизации, а также должностные лица, на которые в соответствии с распоряжением администрации г.Иркутска от 25.06.2009 г N 031-10-686/9 "О предоставлении доступа к информационным ресурсам корпоративной информационной вычислительной сети (КИВС) администрации г.Иркутска" возложены обязанности определять право доступа к ИСПДн администрации г.Иркутска.
3.5. Проведение классификации ИСПДн администрации г.Иркутска включает в себя следующие этапы:
- сбор и анализ исходных данных по ИСПДн администрации г.Иркутска;
- присвоение ИСПДн администрации г.Иркутска соответствующего класса и его документальное оформление.
3.6. При проведении классификации ИСПДн администрации г.Иркутска комиссией учитываются следующие исходные данные:
- категория ПДн, обрабатываемых в ИСПДн администрации г.Иркутска;
- объем обрабатываемых ПДн (количество субъектов обрабатываемых ПДн) в ИСПДн администрации г.Иркутска;
- заданные характеристики безопасности ПДн, обрабатываемых в ИСПДн администрации г.Иркутска;
- структура ИСПДн администрации г.Иркутска;
- наличие подключений ИСПДн администрации г.Иркутска к сетям связи общего пользования и (или) сетям международного информационного обмена;
- режим обработки ПДн;
- режим разграничения прав доступа к ИСПДн администрации г.Иркутска;
- местонахождение ТС.
3.7. Исходные данные, указанные в п.3.6 настоящего положения, представляются комиссии департаментом информатизации.
3.8. В случае выделения в составе ИСПДн администрации г.Иркутска подсистем, каждая из которых является ИСПДн администрации г.Иркутска, для ИСПДн администрации г.Иркутска в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
3.9. Результаты классификации ИСПДн администрации г.Иркутска оформляются соответствующими актами, подписанными членами комиссии и утверждаются мэром г.Иркутска. Акты хранятся в ОЗИ.
3.10. Класс ИСПДн администрации г.Иркутска может быть пересмотрен:
- на основе проведенных ОЗИ анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИСПДн администрации г.Иркутска;
- по результатам мероприятий по контролю уполномоченными органами за выполнением требований по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска.
4. Обязанности должностных лиц
4.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной, административной, уголовной и иной, предусмотренной законодательством Российской Федерации, ответственности.
4.2. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите ПДн, обрабатываемых в ИСПДн администрации г.Иркутска, являются:
- Мэр г.Иркутска;
- Начальник управления по МП и ГО;
- Начальник департамента информатизации комитета по экономике администрации г.Иркутска;
- Начальник ОЗИ;
- Лица, определяющие право доступа к информационным ресурсам ИСПДн администрации г.Иркутска в соответствием# с распоряжением администрации г.Иркутска от 25.06.2009 N 031-10-686/9 "О предоставлении доступа к информационным ресурсам корпоративной информационной вычислительной сети (КИВС) администрации г.Иркутска";
- Лица, назначенные в соответствием# с распоряжением администрации г.Иркутска от 25.06.2009 N 031-10-686/9 "О предоставлении доступа к информационным ресурсам корпоративной информационной вычислительной сети (КИВС) администрации г.Иркутска" ответственными за сопровождение программного обеспечения ИСПДн, ведение баз данных и эксплуатацию ИСПДн администрации г.Иркутска;
- Должностные лица и работники, допущенные к обработке ПДн в ИСПДн администрации г.Иркутска.
4.3. Мэр города Иркутска:
- осуществляет общее руководство работами по защите ПДн в ИСПДн администрации г.Иркутска;
- устанавливает обязанности руководителей структурных подразделений администрации г.Иркутска и должностных лиц, ответственных за защиту ПДн в ИСПДн администрации г.Иркутска;
- утверждает положения и инструкции по организации работ по защите ПДн в ИСПДн администрации г.Иркутска;
- назначает в установленном порядке должностных лиц, ответственных за защиту ПДн в ИСПДн администрации г.Иркутска;
4.4. Начальник управления по МП и ГО:
- осуществляет методическое руководство и координацию работ по защите ПДн в ИСПДн в администрации г.Иркутска;
- контролирует работу структурных подразделений администрации г.Иркутска, работников и должностных лиц, допущенных к обработке ПДн;
- организует разработку руководящих и распорядительных документов по защите ПДн в ИСПДн администрации г.Иркутска;
- организует и проводит занятия по изучению документов по защите ПДн в ИСПДн администрации г.Иркутска;
- организует обеспечение и доведение до работников и должностных лиц администрации г.Иркутска действующих руководящих, организационно-распорядительных и нормативно-методических документов по защите ПДн в ИСПДн администрации г.Иркутска;
- готовит предложения о привлечении к проведению работ по защите ПДн в ИСПДн на договорной основе организаций, имеющих лицензию на соответствующий вид деятельности, в администрации г.Иркутска;
- готовит предложения мэру города Иркутска по финансированию мероприятий по защите ПДн в ИСПДн администрации г.Иркутска;
- участвует в проверках состояния защиты ПДн в ИСПДн администрации г.Иркутска.
4.5. Начальник департамента информатизации комитета по экономике администрации г.Иркутска:
- определяет ответственных лиц из числа работников департамента информатизации, за обеспечение безопасности ПДн в соответствующей ИСПДн;
- контролирует работу структурных подразделений администрации г.Иркутска, работников и должностных лиц допущенных к обработке ПДн;
- своевременно информирует и согласовывает в письменной форме с начальником управления по МП и ГО предстоящие изменения в условиях эксплуатации соответствующей ИСПДн;
- по запросу начальника управления по МП и ГО организует сбор и предоставление необходимой информации о структуре, топологии и особенностях эксплуатации соответствующей ИСПДн.
4.6. Начальник ОЗИ:
- определяет основные мероприятия по комплексной защите ПДн в ИСПДн администрации г.Иркутска;
- проводит работу по выявлению возможных каналов утечки ПДн в ИСПДн администрации г.Иркутска;
- разрабатывает руководящие и распорядительные документы по защите ПДн в ИСПДн администрации г.Иркутска;
- анализирует информацию, циркулирующую в ТС и системах, определяет возможные технические каналы ее утечки в ИСПДн администрации г.Иркутска;
- определяет реальную опасность перехвата ПДн ТС разведки, НСД к ним, разрушения (уничтожения) и искажения, разрабатывает соответствующие меры по их защите;
- совместно с начальником управления по МП и ГО вносит предложения мэру города Иркутска о приостановке работ в случае обнаружения утечки (предпосылок к утечке) ПДн из ИСПДн;
- подготавливает годовые отчеты о состоянии работ по технической защите ПДн в ИСПДн администрации г.Иркутска;
- разрабатывает предложения по дальнейшему совершенствованию СЗПДн;
- непосредственно участвует в разработке инструкций и методических рекомендаций по работе с ПДн, в том числе при их обработке с использованием ТС;
- проводит занятия с работниками и должностными лицами структурных подразделений администрации г.Иркутска по вопросам защиты ПДн в ИСПДн администрации г.Иркутска при использовании ТС;
- участвует в проверках состояния защиты ПДн в ИСПДн администрации г.Иркутска.
4.7. Иные лица, указанные в п.4.2 настоящего Положения обязаны:
- не допускать проведения в администрации г.Иркутска работ и мероприятий, связанных с использованием ПДн, обрабатываемых в ИСПДн администрации г.Иркутска, без принятия необходимых мер по защите ПДн;
- определять объекты информатизации, предназначенные для работы с ПДн, и информировать об этом начальника управления по МП и ГО в письменной форме;
- строго соблюдать организационно-распорядительные документы о порядке обработке и защиты ПД в ИСПДн;
- совместно с ОЗИ осуществлять администрирование и обслуживание программно-технических средств защиты ПДн в ИСПДн, следить за их работоспособностью и исправностью;
- своевременно информировать и согласовывать в письменной форме с начальником управления по МП и ГО предстоящие изменения в условиях эксплуатации соответствующей ИСПДн.
4.8. Проведение работ с ПДн, допускается только при выполнении требований настоящего Положения и требований иных нормативных правовых актов по вопросам защиты ПДн.
4.9. В случае замеченных нарушений требований данного положения работником, последний, обязан немедленно сообщить об этом своему непосредственному руководителю, либо работнику ОЗИ.
4.10. На первоначальном этапе создания ИСПДн в структурном подразделении администрации г.Иркутска по согласованию с его руководителем, а также с начальником управления по МП и ГО, начальником департамента информатизации комитета по экономике администрации г.Иркутска, хозяйственным управлением аппарата администрации г.Иркутска, а также иными структурными подразделениями администрации г.Иркутска приобретаются сертифицированные ТС и системы, отвечающие требованиям безопасности ПДн.
4.11. Департаментом информатизации обеспечивается установка, подключение и настройка ТС в соответствии с документацией к ним и планами организации и оснащения ИСПДн по согласованию с руководителем структурного подразделения администрации г.Иркутска, к которому имеет отношение ИСПДн.
4.12. Департаментом информатизации приобретаются лицензионные программные продукты и операционные системы, используемые в ИСПДн, по согласованию с руководителем структурного подразделения администрации г.Иркутска, к которому имеет отношение ИСПДн, а также с ОЗИ.
4.13. Работники департамента информатизации обеспечивают установку и настройку основных программных продуктов и операционных систем на ТС по согласованию с руководителем структурного подразделения администрации г.Иркутска, к которому имеет отношение ИСПДн, а также с ОЗИ.
4.14. Департамент информатизации при эксплуатации и развертывании ИСПДн в администрации г.Иркутска проводит следующие работы:
- по согласованию с руководителями структурных подразделений администрации г.Иркутска проводит анализ возможности решения определенных задач в ИСПДн администрации г.Иркутска и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств;
- установку (развертывание, обновление версий) программных средств, необходимых для решения конкретных задач в ИСПДн администрации г.Иркутска;
- удаление (затирание) программных пакетов, необходимость в использовании которых отпала;
- установку (развертывание) новых ИСПДн в администрации г.Иркутска или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач (по согласованию с ОЗИ).
4.15. ОЗИ с привлечением специалистов из других организаций, имеющих соответствующие лицензии ФСТЭК России и ФСБ России на проведение определенных работ по вопросам защиты информации, либо с привлечением отдельных работников из других структурных подразделений администрации г.Иркутска обеспечивает установку и настройку сертифицированных средств защиты информации и иные мероприятия, относящиеся к защите ПДн в ИСПДн администрации г.Иркутска.
4.16. Любые планируемые изменения в составе основных или вспомогательных ТС, изменения в системе электропитания, связи, заземления или конструкции ИСПДн должны быть в обязательном порядке в письменной форме согласовываться# с начальником управления по МП и ГО.
4.17. Права субъекта ПДн определены гл.3 федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных".
4.18. Эксплуатация ИСПДн в администрации г.Иркутска осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписанием на эксплуатацию ТС, а также требованиями соответствующих документов по вопросам защиты ПДн.
5. Планирование работ по защите персональных данных
5.1. Для подготовки и реализации организационных и технических мероприятий по защите ПДн в ИСПДн администрации г.Иркутска, а также для увязки этих мероприятий с планами работ структурных подразделений администрации г.Иркутска составляется План работ по защите информации с ограниченным доступом в администрации г.Иркутска на соответствующий год (далее - годовой план).
5.2. Годовой план составляется начальником ОЗИ под руководством начальника управления по МП и ГО и утверждается распоряжением администрации г.Иркутска.
5.3. В годовом плане указываются:
- планируемые работы по защите ПДн в ИСПДн администрации г.Иркутска и контролю ее эффективности;
- ответственные лица за выполнение указанных работ;
- сроки выполнения работ.
5.4. Контроль за выполнением годового плана возлагается на начальника управления по МП и ГО администрации г.Иркутска.
По результатам выполнения годового плана начальник ОЗИ под руководством начальника управления по МП и ГО администрации г.Иркутска составляет отчет, утверждаемый распоряжением администрации г.Иркутска.
5.5. Отчет должен содержать:
- результаты проведенных мероприятий по защите ПДн в ИСПДн администрации г.Иркутска за отчетный период;
- результаты анализа полноты выполнения плана;
- анализ состояния защиты ПДн в ИСПДн администрации г.Иркутска;
- предложения по повышению эффективности защиты ПДн в ИСПДн администрации г.Иркутска.
6. Контроль состояния защиты персональных данных
6.1. Контроль состояния защиты ПДн в ИСПДн администрации г.Иркутска осуществляется начальником ОЗИ с целью проверки выполнения нормативных документов по вопросам защиты ПДн, своевременного выявления и предотвращения утечки ПДн по техническим каналам и НСД к ним.
6.2. Повседневный контроль выполнения организационных и технических мероприятий, направленных на обеспечение защиты ПДн в ИСПДн администрации г.Иркутска, проводится руководителями структурных подразделений администрации г.Иркутска.
6.3. При обнаружении в структурном подразделении администрации г.Иркутска нарушений обработки ПДн с использованием средств вычислительной техники, руководитель структурного подразделения администрации г.Иркутска принимает решение о прекращении работ на рабочем месте, где обнаружены нарушения, и принимает меры по их устранению в сроки, согласованные с начальником управления по МП и ГО администрации г.Иркутска.
6.4. Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер.
7. Взаимодействие с другими организациями
7.1. Взаимодействие по вопросам защиты ПДн со сторонними организациями в администрации г.Иркутска организуется начальником ОЗИ с целью:
- обеспечения администрации г.Иркутска недостающими и вновь разработанными руководящими, нормативно-методическими и иными документами по вопросам защиты ПДн;
- обеспечения ТС средствами защиты;
- выполнения организационных и технических мероприятий в области защиты ПДн, на проведение которых у администрации г.Иркутска отсутствует соответствующее разрешение (лицензия), либо отсутствуют ТС и подготовленные работники (специалисты);
- контроля эффективности проводимых мероприятий по защите Пдн.
7.2. Привлекаемая для оказания услуг в области защиты информации сторонняя организация должна иметь лицензию на соответствующий вид деятельности.
7.3. Перечень совместно выполняемых организационных и технических мероприятий в области защиты информации определяется с учетом планируемых работ по созданию (модернизации) ИСПДн администрации г.Иркутска и включается в годовой план, составленный в соответствии с разделом 5 настоящего Положения.
7.4. С привлекаемой организацией администрация г.Иркутска заключает двусторонний договор (соглашение, контракт) в соответствии с постановлением мэра г.Иркутска от 20.09.2006 N 031-06-1250/6 "О порядке подготовки, заключения и исполнения договоров, соглашений, контрактов в администрации г.Иркутска, муниципальных учреждениях, муниципальных унитарных предприятиях г.Иркутска".
|
Начальник управления по мобилизационной |
В.И.Терновский |
|
Начальник отдела защиты информации |
А.Н.Лузгин |
|
<< Назад |
||
|
Содержание Распоряжение администрации города Иркутска от 7 декабря 2010 г. N 031-10-1167/10 "Об утверждении Положения о порядке... |