Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 24 ноября 2010 г. N 96 "Об информационной безопасности и защите персональных данных в Рязанской городской Думе" (с изменениями и дополнениями)
- Приложение N 1. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Рязанской городской Думы
Приложение N 1. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Рязанской городской Думы
Приложение N 1
главы муниципального образования,
председателя Рязанской городской Думы
от 24 ноября 2010 г. N 96
Положение
об обеспечении безопасности персональных данных
при их обработке в информационных системах
персональных данных Рязанской городской Думы
С изменениями и дополнениями от:
3 мая 2011 г., 12 июля 2013 г.
1. Общие положения
1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Рязанской городской Думы (далее - ИСПДн), за исключением персональных данных муниципальных служащих Рязанской городской Думы.
2. Понятия, используемые в настоящем Положении, применяются в значениях, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", а также Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
3. Безопасность персональных данных при их обработке в ИСПДн достигается путем исключения несанкционированного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.
4. При обработке персональных данных в ИСПДн должны быть обеспечены:
1) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
2) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
3) постоянный контроль за обеспечением уровня защищенности персональных данных.
5. Безопасность персональных данных при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и технические средства.
6. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПДн включают в себя:
1) классификацию ИСПДн;
2) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
3) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
4) проверку готовности средств защиты информации к использованию;
5) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
6) проведение инструктажа должностных лиц, допущенных к работе с персональными данными в информационной системе, по работе со средствами защиты информации, применяемыми в информационной системе;
7) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
8) учет лиц, допущенных к работе с персональными данными в информационной системе;
9) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
10) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
11) описание системы защиты персональных данных.
Информация об изменениях:
Постановлением Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 3 мая 2011 г. N 44 пункт 7 раздела 1 настоящего приложения изложен в новой редакции
7. Перечень должностных лиц, допущенных к работе с персональными данными в ИСПДн для выполнения служебных обязанностей, утверждается постановлением главы муниципального образования, председателя Рязанской городской Думы.
Информация об изменениях:
Постановлением Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 12 июля 2013 г. N 69 в пункт 8 раздела 1 настоящего приложения внесены изменения
8. Запросы пользователей ИСПДн на получение персональных данных, включая лиц, указанных в пункте 7 настоящего Положения, а также факты предоставления персональных данных по этим запросам должны регистрироваться автоматизированными средствами ИСПДн (иными автоматизированными средствами) в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется работниками отделом автоматизированных систем управления делами Рязанской городской Думы.
2. Классификация информационных систем персональных данных
9. Классификация ИСПДн Рязанской городской Думы осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием персональных данных с целью установления методов и способов защиты, необходимых для обеспечения безопасности персональных данных.
10. Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).
11. Состав, функциональное содержание методов и средств защиты зависит от вида и степени ущерба, возникающего вследствие реализации выявленных угроз безопасности персональных данных. При этом ущерб возникает за счет неправомерного или случайного уничтожения, изменения, блокирования, копирования, распространения персональных данных или от иных неправомерных действий с ними.
Информация об изменениях:
Постановлением Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 12 июля 2013 г. N 69 в пункт 12 раздела 2 настоящего приложения внесены изменения
12. Классификация ИСПДн проводится отделом автоматизированных систем управления делами Рязанской городской Думы в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20.
13. Проведение классификации ИСПДн включает в себя следующие этапы:
- сбор и анализ исходных данных по ИСПДн;
- присвоение ИСПДн соответствующего класса и его документальное оформление.
14. При проведении классификации ИСПДн учитываются следующие исходные данные:
- категория обрабатываемых персональных данных в ИСПДн;
- объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в ИСПДн);
- заданные характеристики безопасности персональных данных, обрабатываемых в ИСПДн;
- структура ИСПДн;
- наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;
- режим обработки персональных данных;
- режим разграничения прав доступа к ИСПДн;
- местонахождение технических средств ИСПДн,
15. В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
Информация об изменениях:
Постановлением Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 12 июля 2013 г. N 69 в пункт 16 раздела 2 настоящего приложения внесены изменения
16. Результаты классификации ИСПДн отражаются в акте, утверждаемом управляющим делами - начальником управления делами Рязанской городской Думы.
17. Класс ИСПДн может быть пересмотрен:
Информация об изменениях:
Постановлением Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 12 июля 2013 г. N 69 в подпункт 1 пункта 17 раздела 2 настоящего приложения внесены изменения
1) на основе проведенных отделом автоматизированных систем управления делами Рязанской городской Думы анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной ИСПДн;
2) по результатам мероприятий по контролю и надзору уполномоченными органами за выполнением требований по обеспечению безопасности персональных данных при их обработке в ИСПДн.
3. Организация и проведение мероприятий
по обеспечению безопасности персональных данных
Информация об изменениях:
Постановлением Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 12 июля 2013 г. N 69 в пункт 18 раздела 3 настоящего приложения внесены изменения
18. Отдел автоматизированных систем управления делами Рязанской городской Думы;
1) осуществляет проверку готовности средств защиты информации к использованию с составлением соответствующих актов, утверждаемых управляющим делами - начальником управления делами;
2) осуществляет установку и ввод в эксплуатацию средств защиты информации;
3) организует и проводит инструктаж должностных лиц, допущенных к работе с персональными данными в информационной системе, по работе со средствами защиты информации, применяемыми в информационной системе;
4) ведет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
5) ведет учет лиц, допущенных к работе с персональными данными в ИСПДн;
6) осуществляет контроль за обеспечением безопасности персональных данных, соблюдением условий использования средств защиты информации.
4. Контроль за обеспечением безопасности персональных данных
19. Контроль состояния защиты персональных данных в ИСПДн осуществляется с целью своевременного выявления и предотвращения утечки информации, содержащей персональные данные, по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на персональные данные и оценки защиты персональных данных от несанкционированных действий (далее - контроль).
20. Контроль заключается в проверке выполнения требований действующего законодательства в сфере защиты персональных данных, в оценке обоснованности и эффективности принятых мер по защите персональных данных.
Информация об изменениях:
Постановлением Главы муниципального образования - город Рязань, председателя Рязанской городской Думы от 12 июля 2013 г. N 69 пункт 21 раздела 4 настоящего приложения изложен в новой редакции
21. Контроль за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных организуется и проводится в соответствии с правилами осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных, утвержденными постановлением главы муниципального образования, председателя Рязанской городской Думы.