Приложение N 1. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Рязанской городской Думы. Постановление Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 24.11.2010 N 96 "Об информационной безопасности и защите персональных данных в Рязанской городской Думе" (с изменениями и дополнениями)

Приложение N 1

к постановлению

главы муниципального образования,

председателя Рязанской городской Думы

от 24 ноября 2010 г. N 96

Положение
об обеспечении безопасности персональных данных
при их обработке в информационных системах
персональных данных Рязанской городской Думы

С изменениями и дополнениями от:

3 мая 2011 г., 12 июля 2013 г.

1. Общие положения

1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Рязанской городской Думы (далее - ИСПДн), за исключением персональных данных муниципальных служащих Рязанской городской Думы.

2. Понятия, используемые в настоящем Положении, применяются в значениях, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", а также Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

3. Безопасность персональных данных при их обработке в ИСПДн достигается путем исключения несанкционированного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.

4. При обработке персональных данных в ИСПДн должны быть обеспечены:

1) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

2) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

3) постоянный контроль за обеспечением уровня защищенности персональных данных.

5. Безопасность персональных данных при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и технические средства.

6. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПДн включают в себя:

1) классификацию ИСПДн;

2) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

3) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

4) проверку готовности средств защиты информации к использованию;

5) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

6) проведение инструктажа должностных лиц, допущенных к работе с персональными данными в информационной системе, по работе со средствами защиты информации, применяемыми в информационной системе;

7) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

8) учет лиц, допущенных к работе с персональными данными в информационной системе;

9) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

10) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

11) описание системы защиты персональных данных.

Информация об изменениях:

Постановлением Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 3 мая 2011 г. N 44 пункт 7 раздела 1 настоящего приложения изложен в новой редакции

См. текст пункта в предыдущей редакции

7. Перечень должностных лиц, допущенных к работе с персональными данными в ИСПДн для выполнения служебных обязанностей, утверждается постановлением главы муниципального образования, председателя Рязанской городской Думы.

Информация об изменениях:

Постановлением Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 12 июля 2013 г. N 69 в пункт 8 раздела 1 настоящего приложения внесены изменения

См. текст пункта в предыдущей редакции

8. Запросы пользователей ИСПДн на получение персональных данных, включая лиц, указанных в пункте 7 настоящего Положения, а также факты предоставления персональных данных по этим запросам должны регистрироваться автоматизированными средствами ИСПДн (иными автоматизированными средствами) в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется работниками отделом автоматизированных систем управления делами Рязанской городской Думы.

2. Классификация информационных систем персональных данных

9. Классификация ИСПДн Рязанской городской Думы осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием персональных данных с целью установления методов и способов защиты, необходимых для обеспечения безопасности персональных данных.

10. Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).

11. Состав, функциональное содержание методов и средств защиты зависит от вида и степени ущерба, возникающего вследствие реализации выявленных угроз безопасности персональных данных. При этом ущерб возникает за счет неправомерного или случайного уничтожения, изменения, блокирования, копирования, распространения персональных данных или от иных неправомерных действий с ними.

Информация об изменениях:

Постановлением Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 12 июля 2013 г. N 69 в пункт 12 раздела 2 настоящего приложения внесены изменения

См. текст пункта в предыдущей редакции

12. Классификация ИСПДн проводится отделом автоматизированных систем управления делами Рязанской городской Думы в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20.

13. Проведение классификации ИСПДн включает в себя следующие этапы:

- сбор и анализ исходных данных по ИСПДн;

- присвоение ИСПДн соответствующего класса и его документальное оформление.

14. При проведении классификации ИСПДн учитываются следующие исходные данные:

- категория обрабатываемых персональных данных в ИСПДн;

- объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в ИСПДн);

- заданные характеристики безопасности персональных данных, обрабатываемых в ИСПДн;

- структура ИСПДн;

- наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;

- режим обработки персональных данных;

- режим разграничения прав доступа к ИСПДн;

- местонахождение технических средств ИСПДн,

15. В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

Информация об изменениях:

Постановлением Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 12 июля 2013 г. N 69 в пункт 16 раздела 2 настоящего приложения внесены изменения

См. текст пункта в предыдущей редакции

16. Результаты классификации ИСПДн отражаются в акте, утверждаемом управляющим делами - начальником управления делами Рязанской городской Думы.

17. Класс ИСПДн может быть пересмотрен:

Информация об изменениях:

Постановлением Главы муниципального образования - город Рязань, председателя Р