Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Распоряжение администрации города Иркутска от 7 декабря 2010 г. N 031-10-1167/10 "Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г.Иркутска"
- Приложение N 1. Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г.Иркутска
Приложение N 1. Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г.Иркутска
Информация об изменениях:
Распоряжением администрации г.Иркутска от 7 апреля 2014 г. N 031-10-251/14 в настоящее приложение внесены изменения
Приложение N 1
к Распоряжению администрации г.Иркутска
от 7 декабря 2010 г. N 031-10-1167/10
Положение
о порядке организации и проведения работ
по обеспечению безопасности персональных данных при их обработке
в информационных системах персональных данных
администрации г.Иркутска
С изменениями и дополнениями от:
31 октября 2011 г., 25 мая 2012 г., 7 апреля 2014 г.
1. Термины, определения и сокращения
1.1. Автоматизированная информационная система (АС) - система, состоящая из работников и комплекса средств автоматизации их деятельности, реализующая информационную технологию выполнения установленных функций.
1.2. Администратор информационной системы персональных данных (администратор ИСПДн) - лицо, ответственное за сопровождение программного обеспечения информационной системы персональных данных.
1.3. Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
1.4. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.5. Вредоносная программа (ВП) - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
1.6. Доступ к персональным данным - возможность получения персональных данных и их использования.
1.7. Защита от несанкционированного доступа - предотвращение или существенное затруднение несанкционированного доступа.
1.8. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
1.9. Информация - сведения (сообщения, данные) независимо от формы их представления;
1.10. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.11. Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
1.12. Конфиденциальность персональных данных - обязательное для выполнения оператором и иным лицом, получившим доступ к персональным данным требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.13. Несанкционированный доступ к персональным данным (несанкционированные действия), (НСД) - доступ к персональным данным или действия с персональными данными, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
1.14. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.15. Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
1.16. Оператор - муниципальный орган, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.17. Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
1.18. Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.19. Пользователь ИСПДн - лицо, участвующее в функционировании ИСПДн или использующее результаты ее функционирования.
1.20. Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
1.21. Ресурс информационной системы персональных данных - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы персональных данных.
1.22. Средства вычислительной техники (СВТ) - совокупность программных и технических элементов систем обработки персональных данных, способных функционировать самостоятельно или в составе других систем.
1.23. Санкционированный доступ к персональным данным - доступ к персональным данным, не нарушающий правила разграничения доступа.
1.24. Система защиты персональных данных (СЗПДн) - комплекс организационных мер и программно-технических средств обеспечения безопасности ПДн в ИСПДн.
1.25. Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
1.26. Технический канал утечки информации - совокупность носителя персональных данных (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается информация, содержащая персональные данные.
1.27. Технические средства информационной системы персональных данных (ТС) - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
1.28. Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
1.29. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
1.30. Утечка (защищаемой) информации, содержащей персональные данные, по техническим каналам - неконтролируемое распространение персональных данных от носителя персональных данных через физическую среду до ТС, осуществляющего перехват информации, содержащей персональные данные.
1.31. Целостность информации, содержащей персональные данные, - способность средства вычислительной техники или информационной системы персональных данных обеспечивать неизменность информации, содержащей персональные данные, в условиях случайного и/или преднамеренного искажения (разрушения).
2. Общие положения
2.1. Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г.Иркутска (далее - положение) разработано в соответствии с Конституцией Российской Федерации, федеральным законом "Об информации, информационных технологиях и о защите информации", федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", и определяет содержание и порядок осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска.
2.2. Настоящее Положение не регулирует вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы обеспечения безопасности информации с ограниченным доступом (конфиденциальной), не содержащей ПДн.
2.3. Организация обеспечения безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации, возлагается на руководителей структурных подразделений администрации г.Иркутска, согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства Российской Федерации от 15.09.2008 г. N 687, и распоряжению администрации г.Иркутска от 17.12.2010 N 031-10-1228/10 "Об организации обработки персональных данных, осуществляемой без использования средств автоматизации в администрации г.Иркутска.
2.4. Безопасность ПДн при их обработке в ИСПДн администрации г.Иркутска достигается путем исключения НСД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
2.5. Безопасность ПДн при их обработке в ИСПДн администрации г.Иркутска обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на ТС обработки ПДн), а также используемые в ИСПДн администрации г.Иркутска информационные технологии.
2.6. Для обеспечения безопасности ПДн, при их обработке в ИСПДн администрации г.Иркутска осуществляется защита речевой информации и информации, обрабатываемой ТС, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
2.7. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
2.8. Методы и способы защиты ПДн в ИСПДн администрации г.Иркутска устанавливаются Федеральной службой по техническому и экспортному контролю России и Федеральной службой безопасности России в пределах их полномочий.
2.9. Выбор методов, способов и средств защиты информации осуществляется в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации, на основе определяемых департаментом информатизации комитета по экономике администрации г.Иркутска (далее - ДИ) угроз безопасности ПДн (модели угроз).
2.10. Модель угроз разрабатывается на основе методических документов, принятых Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации.
2.11. Выбранные и реализованные в соответствии с п.2.9. настоящего Положения методы и способы защиты информации в ИСПДн администрации г.Иркутска должны обеспечивать нейтрализацию предполагаемых угроз безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска в составе создаваемой СЗПДн.
2.12. Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска оценивается при проведении государственного контроля и надзора.
2.13. Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска, проводимые ДИ, включают в себя:
- определение требуемого уровня защищенности в соответствии с разделом 3 настоящего положения;
- определение угроз безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска;
- разработку СЗПДн на основе частной модели угроз (СЗПДн обеспечивает нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего уровня защищенности ИСПДн администрации г.Иркутска);
- разработку СЗПДн на основе частной модели угроз (СЗПДн обеспечивает нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн администрации г.Иркутска);
- проверку готовности средств защиты ПДн к использованию с составлением заключений о возможности их эксплуатации;
- установку и ввод в эксплуатацию средств защиты ПДн в соответствии с эксплуатационной и технической документацией;
- обучение лиц, использующих средства защиты ПДн, применяемые в ИСПДн администрации г.Иркутска, правилам работы с ними;
- учет применяемых средств защиты ПДн, эксплуатационной и технической документации к ним, носителей ПДн;
- учет лиц, допущенных к работе с ПДн в ИСПДн администрации г.Иркутска;
- контроль за соблюдением условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;
- составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты ПДн, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- описание СЗПДн.
2.14. Учет всех защищаемых носителей информации (как отчуждаемых (дискеты, диски и т.п), так и неотчуждаемых (жесткие магнитные диски в составе системных блоков и т.п.)), на которых хранятся ПДн, должен быть организован в каждом структурном подразделении администрации г.Иркутска руководителями соответствующих структурных подразделений администрации г.Иркутска. Каждому защищаемому носителю информации присваивается свой учетный номер по журналу следующей типовой формы:
|
N п/п |
Дата, регистрационный номер |
Учетный номер, откуда поступил |
Тип защищаемого носителя информации |
Расписка в получении (ф.и.о., подпись, дата) |
Расписка в обратном приеме (ф.и.о., подпись, дата) |
Место хранения |
Отметка об уничтожении защищаемого носителя информации |
|
|
|
|
|
|
|
|
|
Присвоенный защищаемому носителю информации номер проставляется также и на самом носителе.
2.15. Уничтожение ПДн осуществляется в следующих случаях:
- при выявлении неправомерных действий с ПДн и в случае невозможности устранения допущенных нарушений соответствующие ПДн уничтожаются в срок, не превышающий трех рабочих дней с даты такого выявления. Об устранении допущенных нарушений или об уничтожении ПДн руководитель соответствующего структурного подразделения администрации г.Иркутска обязан в срок, не превышающий пяти рабочих дней с даты устранения допущенных нарушений или уничтожения ПДн, уведомить субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, - также указанный орган;
- в случае достижения цели обработки ПДн, либо утраты необходимости в такой цели, соответствующие ПДн уничтожаются в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено федеральными законами. Руководитель соответствующего структурного подразделения администрации г.Иркутска обязан в срок, не превышающий пяти рабочих дней с даты уничтожения ПДн, уведомить об уничтожении ПДн субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, - также указанный орган;
- в случае отзыва субъектом ПДн согласия на обработку своих ПДн соответствующие ПДн уничтожаются в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между администрацией г.Иркутска и субъектом ПДн. Об уничтожении ПДн руководитель соответствующего структурного подразделения администрации г.Иркутска обязан уведомить субъекта персональных данных в срок, не превышающий пяти рабочих дней с даты уничтожения ПДн.
2.16. Размещение ИСПДн администрации г.Иркутска, специальное оборудование и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
2.17. Лица, доступ которым к ПДн, обрабатываемым в ИСПДн администрации г.Иркутска, необходим для выполнения служебных (должностных) обязанностей, допускаются к соответствующим ПДн, в порядке установленном распоряжением администрации г.Иркутска от 25.06.2009 г N 031-10-686/9 "О предоставлении доступа к информационным ресурсам корпоративной информационной вычислительной сети (КИВС) администрации г.Иркутска".
2.18. Запросы пользователей ИСПДн администрации г.Иркутска на получение ПДн, включая лиц, указанных в п.2.17 настоящего положения, а также факты предоставления ПДн по этим запросам должны регистрироваться автоматизированными средствами ИСПДн в электронном журнале обращений. Содержание электронного журнала обращений проверяется администраторами ИСПДн администрации г.Иркутска и работниками ДИ не реже чем один раз в месяц.
2.19. При обнаружении лицами, указанными в п. 4.2 настоящего Положения, нарушений в порядке обработки и защиты ПДн ставится в известность заместитель председателя комитета - начальник ДИ.
2.20. Вице-мэр города Иркутска по представлению начальника отдела мобилизационной подготовки и защиты информации администрации г.Иркутска (далее - ОМПЗИ) имеет право незамедлительно приостанавливать обработку ПДн в ИСПДн администрации г.Иркутска до выявления причин нарушений и устранения этих причин.
2.21. Финансирование мероприятий по защите ПДн в администрации г.Иркутска осуществляется из бюджета г.Иркутска.
3. Определение уровней защищенности информационных систем персональных данных
3.1. Определение уровней защищенности ИСПДн администрации г.Иркутска (далее - УЗ) осуществляется с учетом категорий и объема ПДн, категорий субъектов ПДн, типа актуальных угроз безопасности ПДн в ИСПДн администрации города Иркутска с целью определения требований по защите ПДн в ИСПДн администрации г.Иркутска.
3.2. Определение УЗ осуществляется на этапе создания ИСПДн администрации г.Иркутска или в ходе эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).
3.3. Определение УЗ осуществляется комиссией, назначаемой распоряжением администрации города Иркутска.
3.4. Определение УЗ осуществляется в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
3.5. В состав комиссии, назначаемой в соответствии с п. 3.3 настоящего Положения, входят работники ДИ и должностные лица, на которые в соответствии с распоряжением администрации города Иркутска от 12.04.2013 N 031-10-263/13 "О предоставлении доступа к муниципальным информационным системам органов местного самоуправления города Иркутска" возложены обязанности определять право доступа к ИСПДн администрации г.Иркутска.
3.6. Определение УЗ включает в себя следующие этапы:
- сбор и анализ исходных данных по ИСПДн администрации г.Иркутска;
- присвоение ИСПДн администрации г.Иркутска соответствующего УЗ и его документальное оформление.
3.7. При определении УЗ комиссией учитываются следующие исходные данные:
- наличие актуальных угроз безопасности ПДн, связанных с недекларированными возможностям системного или прикладного программного обеспечения ИСПДн администрации г.Иркутска, а также не связанных с недекларированными возможностями программного обеспечения ИСПДн администрации г.Иркутска;
- тип информационной системы в соответствии с пунктом 5 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 N 1119;
- количество субъектов ПДн, являющихся работниками или должностными лицами администрации города Иркутска;
- количество субъектов ПДн, не являющихся работниками или должностями лицами администрации города Иркутска;
- иные сведения, которые могут потребоваться для определения УЗ.
3.8. Исходные данные, указанные в п.3.7 настоящего Положения, предоставляются ДИ.
3.9. В случае выявления в составе ИСПДн администрации г.Иркутска подсистем, являющихся отдельными ИСПДн, для ИСПДн, в которую входят отдельные ИСПДн, присваивается наиболее высокий УЗ, присвоенный отдельной подсистеме. При этом, наиболее высоким УЗ является первый, наиболее низким - четвертый.
3.10. Результаты определения УЗ оформляются соответствующим актом, подписанным членами комиссии и утвержденным вице-мэром города Иркутска. Акты хранятся в ДИ.
3.11. УЗ может быть пересмотрен:
- в случае изменения состава актуальных угроз безопасности ПДн в ИСПДн администрации г.Иркутска, типа ИСПДн администрации г.Иркутска и иных сведений, использованных для определения УЗ;
- по результатам мероприятий по контролю уполномоченными органами за выполнением требований по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г.Иркутска.
4. Обязанности и права должностных лиц
4.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной, административной, уголовной и иной, предусмотренной законодательством Российской Федерации ответственности.
4.2. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите ПДн, обрабатываемых в ИСПДн администрации г.Иркутска, являются:
- вице-мэр города Иркутска;
- заместитель председателя комитета - начальник ДИ;
- лицо, ответственное за защиту ПДн в ИСПДн администрации г.Иркутска;
- обладатели, администраторы и операторы муниципальных информационных систем органов местного самоуправления города Иркутска (относящихся к ИСПДн администрации г.Иркутска) в соответствии с распоряжением администрации города Иркутска от 12.04.2013 N 031-10-263/13 "О предоставлении доступа к муниципальным информационным системам органов местного самоуправления города Иркутска";
- должностные лица и работники, допущенные к обработке ПДн в ИСПДн администрации г.Иркутска.
4.3. Вице-мэр города Иркутска:
- осуществляет общее руководство работами по защите ПДн в ИСПДн администрации г.Иркутска;
- устанавливает обязанности руководителей структурных подразделений администрации города Иркутска и должностных лиц, ответственных за защиту ПДн в ИСПДн администрации г.Иркутска;
- утверждает положения и инструкции по организации работ по защите ПДн в ИСПДн администрации г.Иркутска;
- из числа работников ДИ назначает лиц, ответственных за защиту ПДн в ИСПДн администрации г.Иркутска;
4.4. Заместитель председателя комитета - начальник ДИ:
- осуществляет методическое руководство и координацию работ по защите ПДн в ИСПДн в администрации г.Иркутска;
- контролирует работу структурных подразделений администрации города Иркутска, работников и должностных лиц, допущенных к обработке ПДн;
- организует разработку руководящих и распорядительных документов по защите ПДн в ИСПДн администрации г.Иркутска;
- организует и проводит занятия по изучению документов по защите ПДн в ИСПДн администрации г.Иркутска;
- организует обеспечение и доведение до работников и должностных лиц администрации города Иркутска действующих руководящих, организационно-распорядительных и нормативно-методических документов по защите ПДн в ИСПДн администрации г.Иркутска;
- готовит предложения о привлечении к проведению работ по защите ПДн в ИСПДн администрации г.Иркутска на договорной основе организаций, имеющих лицензию на соответствующий вид деятельности;
- готовит предложения вице-мэру города Иркутска по финансированию мероприятий по защите ПДн в ИСПДн администрации г.Иркутска;
- участвует в проверках состояния защиты ПДн в ИСПДн администрации г.Иркутска;
- определяет ответственных лиц из числа работников департамента информатизации за обеспечение безопасности ПДн в соответствующей ИСПДн администрации г.Иркутска;
- контролирует работу структурных подразделений администрации города Иркутска, работников и должностных лиц, допущенных к обработке ПДн.
4.5. Лицо, ответственное за защиту ПДн в ИСПДн администрации г.Иркутска:
- определяет основные мероприятия по комплексной защите ПДн в ИСПДн администрации г.Иркутска;
- проводит работу по выявлению возможных каналов утечки ПДн в ИСПДн администрации г.Иркутска;
- разрабатывает руководящие и распорядительные документы по защите ПДн в ИСПДн администрации г.Иркутска;
- анализирует информацию, циркулирующую в ТС и системах, определяет возможные технические каналы ее утечки в ИСПДн администрации г.Иркутска;
- определяет реальную опасность перехвата ПДн ТС разведки, НСД к ним, разрушения (уничтожения) и искажения, разрабатывает соответствующие меры по их защите;
- вносит предложения вице-мэру города Иркутска о приостановке работ в случае обнаружения утечки (предпосылок к утечке) ПДн из ИСПДн администрации г.Иркутска;
- подготавливает годовые отчеты о состоянии работ по технической защите ПДн в ИСПДн администрации г.Иркутска;
- разрабатывает предложения по дальнейшему совершенствованию СЗПДн;
- непосредственно участвует в разработке инструкций и методических рекомендаций по работе с ПДн, в том числе при ее обработке с использованием ТС;
- проводит занятия с работниками и должностными лицами структурных подразделений администрации города Иркутска по вопросам защиты ПДн в ИСПДн администрации г.Иркутска при использовании ТС;
- участвует в проверках состояния защиты ПДн в ИСПДн администрации г.Иркутска.
4.6. Иные лица, указанные в п. 4.2 настоящего Положения, обязаны:
- не допускать проведения в администрации города Иркутска работ и мероприятий, связанных с использованием ПДн, обрабатываемых в ИСПДн администрации г.Иркутска, без принятия необходимых мер по защите ПДн;
- определять объекты информатизации, предназначенные для работы с ПДн, и информировать об этом начальника ДИ в письменной форме;
- строго соблюдать организационно-распорядительные документы о порядке обработки и защиты ПД в ИСПДн администрации г.Иркутска;
- совместно с ДИ осуществлять администрирование и обслуживание программно-технических средств защиты ПДн в ИСПДн администрации г.Иркутска, следить за их работоспособностью и исправностью;
- своевременно информировать и согласовывать в письменной форме с заместителем председателя комитета - начальником ДИ предстоящие изменения в условиях эксплуатации соответствующей ИСПДн администрации г.Иркутска.
4.7. Проведение работ с ПДн допускается только при выполнении требований настоящего Положения и требований иных нормативных правовых актов по вопросам защиты ПДн.
4.8. В случае обнаружения нарушений требований данного положения работником последний обязан немедленно сообщить об этом своему непосредственному руководителю либо работнику ДИ.
4.9. На первоначальном этапе создания ИСПДн в структурном подразделении администрации города Иркутска по согласованию с его руководителем, а также с заместителем председателя комитета - начальником ДИ, хозяйственным управлением аппарата администрации города Иркутска, а также иными структурными подразделениями администрации города Иркутска, приобретаются сертифицированные ТС и системы, отвечающие требованиям безопасности ПДн.
4.10. ДИ обеспечивается установка, подключение и настройка ТС в соответствии с документацией к ним и планами организации и оснащения ИСПДн администрации г.Иркутска по согласованию с руководителем структурного подразделения администрации города Иркутска, к которому имеет отношение ИСПДн администрации г.Иркутска.
4.11. ДИ приобретаются лицензионные программные продукты и операционные системы, используемые в ИСПДн администрации г.Иркутска, по согласованию с руководителем структурного подразделения администрации города Иркутска, к которому имеет отношение ИСПДн администрации г.Иркутска.
4.12. Работники ДИ обеспечивают установку и настройку основных программных продуктов и операционных систем на ТС по согласованию с руководителем структурного подразделения администрации города Иркутска, к которому имеет отношение ИСПДн администрации г.Иркутска, а также с СЗИ.
4.13. ДИ при эксплуатации и развертывании ИСПДн в администрации города Иркутска проводит следующие работы:
- по согласованию с руководителями структурных подразделений администрации города Иркутска проводит анализ возможности решения определенных задач в ИСПДн администрации г.Иркутска и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств;
- установку (развертывание, обновление версий) программных средств, необходимых для решения конкретных задач в ИСПДн администрации города Иркутска;
- удаление (затирание) программных пакетов, необходимость в использовании которых отсутствует;
- установку (развертывание) новых ИСПДн в администрации города Иркутска или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач.
4.14. ДИ с привлечением специалистов из других организаций, имеющих соответствующие лицензии ФСТЭК России и ФСБ России на проведение определенных работ по вопросам защиты информации, либо с привлечением отдельных работников из других структурных подразделений администрации города Иркутска, обеспечивает установку и настройку сертифицированных средств защиты информации и иные мероприятия, относящиеся к защите ПДн в ИСПДн администрации г.Иркутска.
4.15. Любые планируемые изменения в составе основных или вспомогательных ТС, изменения в системе электропитания, связи, заземления или конструкции ИСПДн администрации г.Иркутска должны в обязательном порядке в письменной форме согласовываться с заместителем председателя комитета - начальником ДИ.
4.16. Эксплуатация ИСПДн в администрации города Иркутска осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписанием на эксплуатацию ТС, а также требованиями соответствующих документов по вопросам защиты ПДн.
5. Планирование работ по защите персональных данных
5.1. Для подготовки и реализации организационных и технических мероприятий по защите ПДн в ИСПДн администрации г.Иркутска, а также для увязки этих мероприятий с планами работ структурных подразделений администрации г.Иркутска составляется План работ по защите информации с ограниченным доступом в администрации г.Иркутска на соответствующий год (далее - годовой план).
5.2. Годовой план составляется заместителем председателя комитета - начальником ДИ под руководством начальника ОМПЗИ и утверждается распоряжением администрации г.Иркутска.
5.3. В годовом плане указываются:
- планируемые работы по защите ПДн в ИСПДн администрации г.Иркутска и контролю ее эффективности;
- ответственные лица за выполнение указанных работ;
- сроки выполнения работ.
5.4. Контроль за выполнением годового плана возлагается на заместителя председателя комитета - начальник ДИ администрации г.Иркутска.
По результатам выполнения годового плана заместитель председателя комитета - начальник ДИ под руководством заместителя председателя комитета - начальник ДИ администрации г.Иркутска составляет отчет, утверждаемый распоряжением администрации г.Иркутска.
5.5. Отчет должен содержать:
- результаты проведенных мероприятий по защите ПДн в ИСПДн администрации г.Иркутска за отчетный период;
- результаты анализа полноты выполнения плана;
- анализ состояния защиты ПДн в ИСПДн администрации г.Иркутска;
- предложения по повышению эффективности защиты ПДн в ИСПДн администрации г.Иркутска.
6. Контроль состояния защиты персональных данных
6.1. Контроль состояния защиты ПДн в ИСПДн администрации г.Иркутска осуществляется заместителем председателя комитета - начальником ДИ с целью проверки выполнения нормативных документов по вопросам защиты ПДн, своевременного выявления и предотвращения утечки ПДн по техническим каналам и НСД к ним.
6.2. Повседневный контроль выполнения организационных и технических мероприятий, направленных на обеспечение защиты ПДн в ИСПДн администрации г.Иркутска, проводится руководителями структурных подразделений администрации г.Иркутска.
6.3. При обнаружении в структурном подразделении администрации г.Иркутска нарушений обработки ПДн с использованием средств вычислительной техники, руководитель структурного подразделения администрации г.Иркутска принимает решение о прекращении работ на рабочем месте, где обнаружены нарушения, и принимает меры по их устранению в сроки, согласованные с начальником ОМПЗИ администрации г.Иркутска.
6.4. Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер.
7. Взаимодействие с другими организациями
7.1. Взаимодействие по вопросам защиты ПДн со сторонними организациями в администрации г.Иркутска организуется заместителем председателя комитета - начальником ДИ с целью:
- обеспечения администрации г.Иркутска недостающими и вновь разработанными руководящими, нормативно-методическими и иными документами по вопросам защиты ПДн;
- обеспечения ТС средствами защиты;
- выполнения организационных и технических мероприятий в области защиты ПДн, на проведение которых у администрации г.Иркутска отсутствует соответствующее разрешение (лицензия), либо отсутствуют ТС и подготовленные работники (специалисты);
- контроля эффективности проводимых мероприятий по защите Пдн.
7.2. Привлекаемая для оказания услуг в области защиты информации сторонняя организация должна иметь лицензию на соответствующий вид деятельности.
7.3. Перечень совместно выполняемых организационных и технических мероприятий в области защиты информации определяется с учетом планируемых работ по созданию (модернизации) ИСПДн администрации г.Иркутска и включается в годовой план, составленный в соответствии с разделом 5 настоящего Положения.
7.4. С привлекаемой организацией администрация г.Иркутска заключает двусторонний договор (соглашение, контракт) в соответствии с постановлением мэра г.Иркутска от 20.09.2006 N 031-06-1250/6 "О порядке подготовки, заключения и исполнения договоров, соглашений, контрактов в администрации г.Иркутска, муниципальных учреждениях, муниципальных унитарных предприятиях г.Иркутска".
|
Начальник управления по мобилизационной |
В.И.Терновский |
|
Начальник отдела защиты информации |
А.Н.Лузгин |
|
<< Назад |
||
|
Содержание Распоряжение администрации города Иркутска от 7 декабря 2010 г. N 031-10-1167/10 "Об утверждении Положения о порядке... |