Приложение N 8. Требования по обеспечению безопасности информации внешними пользователями при работе с информационными системами персональных данных. Постановление Министерства государственного управления, информационных технологий и связи Астраханской области от 20.04.2021 N 4-П "О работе в единой мультисервисной телекоммуникационной сети Правительства Астраханской области" (с изменениями и дополнениями)

Приложение N 8
к постановлению министерства
государственного управления,
информационных технологий и
связи Астраханской области
от 20.04.2021 N 4-П

Требования
по обеспечению безопасности информации внешними пользователями при работе с информационными системами персональных данных

1. Технические меры защиты

1.1. Требования по обеспечению безопасности информации внешними пользователями при работе с информационными системами персональных данных (далее - Требования) разработаны в соответствии с законодательством Российской Федерации в целях повышения уровня информационной безопасности информационных систем персональных данных единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - ЕМТС).

1.2. Внешними пользователями являются пользователи, подключенные к центральному коммутационному узлу ЕМТС посредством внешних каналов передачи данных (VPN, Internet и т.д.).

1.3. Информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.4. Для целей настоящих Требований используются понятия, определенные в Положении о единой мультисервисной телекоммуникационной сети Правительства Астраханской области, утвержденном распоряжением Правительства Астраханской области от 18.09.2013 N 424-Пр "О единой мультисервисной телекоммуникационной сети Правительства Астраханской области".

1.5. При работе с ИСПДн внешние пользователи должны руководствоваться настоящими Требованиями.

2. Технические меры защиты информации

2.1. Внешние пользователи при подключении к ИСПДн должны применять следующие средства защиты информации:

- средства защиты от несанкционированного доступа;

- средства антивирусной защиты;

- криптошлюзы для организации защищенного канала связи;

- межсетевой экран.

2.2. Используемые технические средства защиты информации должны иметь сертификаты ФСТЭК России и ФСБ России, соответствующие следующим классам:

- средства вычислительной техники не ниже 5 класса;

- межсетевые экраны не ниже 4 класса;

- устройства типа межсетевые экраны не ниже 3 уровня и 3 класса контроля отсутствия недекларированных возможностей ФСТЭК России;

- средства криптографической защиты информации должны обеспечивать защиту информации при передаче по внешним каналам связи по классу КСЗ;

- средства антивирусной защиты типа В не ниже класса 4 (автоматизированные рабочие места);

- средства антивирусной защиты типа Б не ниже класса 4 (сервера).

3. Организационные меры защиты информации

3.1. Для подключения к ИСПДн в организации должна иметься организационно-распорядительная документация, регламентирующая следующее:

- перечень сведений конфиденциального характера;

- перечень информационных систем персональных данных и лиц, допущенных к обработке персональных данных;

- перечень лиц, допущенных к неавтоматизированной обработке персональных данных;

- обязательство о соблюдении режима конфиденциальности персональных данных гражданина (при работе с персональными данными граждан);

- контроль и управление физическим доступом к техническим средствам защиты информации, а также в помещения и сооружения, в которых они установлены;

- учет средств криптографической защиты информации;

- хранение и учет съемных носителей информации с персональными данными;

- резервирование и восстановление работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;

- форму журнала приема и сдачи помещений под охрану;

- форму журнала учета применяемых СКЗИ, эксплуатационной и технической документации к ним;

- форму акта затирания информации;

- форму журнала учета ключей и атрибутов доступа;

- форму журнала учета съемных носителей информации;

- обязанности в должностных инструкциях пользователей/сотрудников выполнять требования законодательства Российской Федерации и локальных нормативных актов организации, регламентирующих вопросы защиты информации, а также меру ответственности, которую несут пользователи, за неисполнение данных требований;

- порядок оценки уязвимостей используемых средств защиты информации.

3.2. Дополнительной организационной мерой, необходимой к исполнению организацией-участником ЕМТС, является проведение работ по устранению выявленных ФСТЭК России уязвимостей в используемых сертифицированных средствах защиты информации.

3.3. Рекомендуемые организационные меры защиты информации в рамках Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных":

- политика обработки и обеспечения защиты персональных данных;

- приказ о назначении ответственного за организацию обработки персональных данных;

- перечень сведений, содержащих персональные данные и обрабатываемых в информационных системах персональных данных;

- регламент реагирования на запросы субъектов персональных данных по выполнению их законных прав;

- регламент мониторинга и контроля обработки персональных данных;

- регламент проведения технического обслуживания;

- регламент передачи персональных данных;

- форма журнала по учету мероприятий по контролю защищенности персональных данных;

- форма запроса на предоставление сведений о наличии персональных данных;

- форма журнала регистрации запросов на предоставление сведений о наличии персональных данных.