Постановление Главы Чернушинского муниципального района Пермского края от 15.04.2015 N 318 "Об утверждении Правил проведения внутреннего контроля и проверок соответствия обработки персональных данных требованиям к защите персональных данных в администрации Чернушинского муниципального района"

В соответствии с федеральными законами от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами", постановляю:

1. Утвердить прилагаемые Правила проведения внутреннего контроля и проверок соответствия обработки персональных данных требованиям к защите персональных данных в администрации Чернушинского муниципального района (далее - Правила).

2. Общему отделу администрации муниципального района довести данные Правила до сведения руководителей отраслевых (функциональных) органов администрации муниципального района.

3. Возложить на руководителей отраслевых (функциональных) органов персональную ответственность за организацию и проведение внутренних проверок и принятие мер для устранения выявленных нарушений.

4. Контроль за исполнением данного постановления возложить на управляющего делами администрации Чернушинского муниципального района Кузнецову Л.А.

Глава муниципального района

М.В. Шестаков

Правила
проведения внутреннего контроля и проверок соответствия обработки персональных данных требованиям к защите персональных данных в администрации Чернушинского муниципального района
(утв. постановлением главы муниципального района от 15 апреля 2015 г. N 318)

1. Настоящими Правилами осуществления внутреннего контроля и проверок соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в администрации Чернушинского муниципального района (далее - Администрация) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.

3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

4. Данные Правила используются для проведения проверок в администрации Чернушинского муниципального района и ее отраслевых (функциональных) органах.

5. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации организовывается проведение периодических проверок условий обработки персональных данных.

6. Проверки проводятся не реже одного раза в год.

7. Проверки осуществляются комиссией, состав которой утверждается распоряжением главы Администрации или руководителем отраслевого (функционального) органа администрации муниципального района.

8. В проведении проверки не может участвовать муниципальный служащий, прямо или косвенно заинтересованный в её результатах.

9. Проверки соответствия обработки персональных данных установленным требованиям в Администрации проводятся на основании утвержденного постановлением главы муниципального района плана мероприятий по организации защиты персональных данных или на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.

10. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:

- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- состояние учета машинных носителей персональных данных;

- соблюдение правил доступа к персональным данным;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление мероприятий по обеспечению целостности персональных данных.

11. Члены комиссии имеют право:

- запрашивать у сотрудников Администрации информацию, необходимую для реализации полномочий;

- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

12. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, готовится отчет проверки (форма отчета и пример отчета прилагаются (приложение 1).

Приложение 1
к Правилам проведения внутреннего
контроля и проверок соответствия обработки
персональных данных требованиям к защите
персональных данных в администрации
Чернушинского муниципального района

Форма

Отчет
о проведении внутренней проверки

Внутренняя проверка (далее - Проверка) произведена на основании распоряжения N (номер распоряжения о проведении внутренней проверки).

Проверка проводилась (дата проведения проверки) на территории Учреждения (наименование учреждения) по адресу: (адрес учреждения).

Проверка проводилась в соответствии с принципами и положениями Концепции информационной безопасности в администрации Чернушинского муниципального района и Политики информационной безопасности администрации Чернушинского муниципального района.

В ходе проверки были выявлены следующие ИСПДн:

(список выявленных ИСПДн, например, "1С: Бухгалтерия").

В ходе проверки для каждой ИСПДн определялось:

состав и структура объектов защиты;

конфигурация и структура ИСПДн;

режим обработки ПДн;

перечень лиц, участвующих в обработке ПДн;

права доступа лиц, допущенных к обработке ПДн;

угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность;

существующие меры защиты ПДн;

список необходимых мер защиты ПДн.

Данные Проверки служат основой для других нормативно-организационных документов.

Данные о составе и структуре объектов защиты отражаются в Перечне персональных данных, подлежащих защите.

Данные о составе и структуре обрабатываемых персональных данных, конфигурации ИСПДн и режиме обработке являются основой для составления Акта классификации информационной системы, обрабатывающей персональные данные.

Данные о лицах, допущенных к обработке ПДн, и уровне их доступа отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным.

Данные об угрозах безопасности ПДн служат основной для составления Модели угроз безопасности персональных данных.

Данные о существующих и необходимых мерах защиты ПДн служат основной для составления Плана мероприятий по обеспечению защиты ПДн.

Пример отчета о проведенной
внутренней проверке

1. Информационная система персональных данных "1С: Бухгалтерия"

1.1. Структура ИСПДн

Таблица 1. Параметры ИСПДн

Заданные характеристики безопасности персональных данных	Специальная информационная система
Структура информационной системы	Автоматизированное рабочее место
Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена	Имеется
Режим обработки персональных данных	Многопользовательская
Режим разграничения прав доступа пользователей	Система с разграничением прав доступа
Местонахождение технических средств информационной системы	Все технические средства находятся в пределах Российской Федерации
Дополнительная информация	К персональным данным предъявляется требование целостности и доступности

1.2. Состав и структура персональных данных

В ИСПДн обрабатываются следующие персональные данные:

паспортные данные сотрудников;

должность;

оклад.

Исходя из состава обрабатываемых персональных данных, можно сделать вывод, что они относятся к 2 категории персональных данных, т.е. к данным, позволяющим идентифицировать субъекта персональных данных и получить о нем дополнительную информацию.

Объем обрабатываемых персональных данных, не превышает 1000 записей о субъектах персональных данных.

В соответствии с Порядком проведения классификации ИСПДн, утвержденного приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, на основании категории и объема обрабатываемых персональных данных - ИСПДн "1С: Бухгалтерия" классифицируется как специальная ИСПДн класса K3.

Так же в ИСПДн существуют следующие объекты защиты:

технологическая информация:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

технические средства обработки:

общее и специальное программное обеспечение, участвующее в обработке ПДн (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

средства защиты ПДн:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

каналы информационного обмена и телекоммуникации;

объекты и помещения, в которых размещены компоненты ИСПДн.

1.3. Структура обработки ПДн

В ИСПДн "1С: Бухгалтерия" обработка персональных данных происходит следующим образом:

сотрудник авторизуется на своем рабочем месте в ОС Microsoft Windows XP;

сотрудник авторизуется в "1С: Бухгалтерия";

сотрудник вносит персональные данные о сотрудниках;

данные отправляются в Федеральную налоговую службу и удаляются с АРМ.

1.4. Режим обработки ПДн

В ИСПДн "1С: Бухгалтерия" обработка персональных данных осуществляется в многопользовательском режиме с разграничением прав доступа.

Режим обработки предусматривает следующие действия с персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, предоставление, обезличивание, блокирование, уничтожение персональных данных.

Все пользователи ИСПДн имеют собственные роли. Список типовых ролей представлен в таблице.

Таблица 2. Матрица доступа

Группа	Уровень доступа к ПДн	Разрешенные действия
Администраторы ИСПДн	Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладает полной информацией о технических средствах и конфигурации ИСПДн. Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн. Обладает правами конфигурирования и административной настройки технических средств ИСПДн.	сбор систематизация накопление хранение уточнение использование уничтожение
Администратор безопасности	Обладает правами Администратора ИСПДн. Обладает полной информацией об ИСПДн. Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн. Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).	сбор систематизация накопление хранение уточнение использование уничтожение
Операторы ИСПДн с правами записи	Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн.	сбор систематизация накопление хранение уточнение использование уничтожение
Операторы ИСПДн с правами чтения	Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ к подмножеству ПДн.	использование

В ИСПДн осуществляют работу следующие сотрудники:

Таблица 3. Перечень сотрудников

N	Роль	ФИО сотрудника	Подразделение
1.	Администратор ИСПДн	Иванов И.И.
2.	Администратор ИСПДн	Петров П.П.
3.	Оператор	Сидорова А.А.

1.5 Угрозы безопасности ПДн

При обработке персональных данных в ИСПДн можно выделить следующие угрозы:

1.5.1. Угрозы от утечки по техническим каналам:

- Угрозы утечки акустической информации;

- Угрозы утечки видовой информации;

- Угрозы утечки информации по каналам ПЭМИН.

1.5.2. Угрозы несанкционированного доступа к информации путем физического доступа к элементам ИСПДн, носителям персональных данных, ключам и атрибутам доступа:

- Кража и уничтожение носителей информации;

- Кража физических носителей ключей и атрибутов доступа;

- Утрата носителей информации;

- Утрата и компрометация ключей и атрибутов доступа.

1.5.3. Угрозы несанкционированного доступа к информации с использованием программно-аппаратных и программных средств:

- Доступ к информации, ее модификация и уничтожение лицами, не имеющими прав доступа;

- Утечка информации через порты ввода/вывода;

- Воздействие вредоносных программ (вирусов);

- Установка ПО, не связанного с исполнением служебных обязанностей;

- Внедрение или сокрытие недекларированных возможностей системного ПО и ПО для обработки персональных данных;

- Создание учетных записей теневых пользователей и неучтенных точек доступа в систему.

1.5.4. Угрозы несанкционированного доступа к информации по каналам связи:

- Угроза "Анализ сетевого трафика" с перехватом информации за пределами контролируемой зоны;

- Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.;

- Угрозы выявления паролей по сети;

- Угрозы типа "Отказ в обслуживании";

- Угрозы внедрения по сети вредоносных программ;

- Утечка информации, передаваемой с использованием протоколов беспроводного доступа;

- Перехват, модификация закрытого ключа ЭЦП;

- Угрозы удаленного запуска приложений.

1.5.5. Угрозы антропогенного характера:

- Разглашение информации;

- Сокрытие ошибок и неправомерных действий пользователей и администраторов;

- Угроза появления новых уязвимостей вследствие невыполнения ответственными лицами своих должностных обязанностей;

- Угроза нарушения политики предоставления и прекращения доступа;

- Непреднамеренная модификация (уничтожение) информации;

- Непреднамеренное отключение средств защиты.

1.5.6. Угрозы воздействия непреодолимых сил:

- Стихийное бедствие;

- Выход из строя аппаратно-программных средств;

- Аварии (пожар, потоп, случайное отключение электричества).

Анализ вероятности реализации, реализуемости, опасности и актуальности угроз представлен в Модели угроз.

1.6. Существующие меры защиты

Существующие в ИСПДн технические меры защиты представлены в таблице ниже.

Таблица 4. Меры защиты

Элемент ИСПДн	Программное средство обработки ПДн	Установленные средства защиты
АРМ пользователя	ОС Windows XP Браузер	Средства ОС: управление и разграничение доступа пользователей; регистрацию и учет действий с информацией. Антивирус Касперский регистрацию и учет действий с информацией; обеспечивать целостность данных; производить обнаружений вторжений.
СУБД	1С: Бухгалтерия	Средства БД Средства ОС: управление и разграничение доступа пользователей; регистрацию и учет действий с информацией; обеспечивать целостность данных; производить обнаружений вторжений.

В ИСПДн введены следующие организационные меры защиты:

- в Учреждении осуществляется контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания;

- ведется учет носителей информации;

- носители информации хранятся в сейфе;

- в Учреждении существует ответственный сотрудник за обеспечение безопасности ПДн;

- в Учреждении проводятся периодические внутренние проверки режима безопасности ПДн;

- введена парольная политика, устанавливающая сложность ключей и атрибутов доступа (паролей), а так же их периодическую смену;

- пользователи осведомлены и проинструктированы о порядке работы и защиты персональных данных;

- осуществляется резервное копирование защищаемой информации;

- в помещениях, где расположены элементы ИСПДн, установлена пожарная сигнализация.

1.7. Необходимые меры защиты

На основании анализа актуальности выявленных угроз безопасности, для достижения требуемого уровня защиты рекомендуется осуществить следующие мероприятия:

- установка антивирусной защиты;

- парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;

- назначить ответственного за безопасность персональных данных из числа сотрудников учреждения;

- инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн, а так же с ключами и атрибутами доступа;

- осуществление резервирования ключевых элементов ИСПДн;

- изолирование портов ввода/вывода;

- организация разграничения прав пользователей на установку стороннего ПО, установку аппаратных средств, подключения мобильных устройств и внешних носителей, установку и настройку элементов ИСПДн и средств защиты.