Приложение 2. Регламент обработки и обеспечения безопасности персональных данных, содержащихся в Государственной информационной системе обеспечения градостроительной деятельности Республики Крым. Приказ Министерства строительства и архитектуры Республики Крым от 08.11.2021 N 396 "Об организационных мерах защиты информации, обрабатываемой в Государственной информационной системе обеспечения градостроительной деятельности Республики Крым"

Приложение 2
к приказу Министерства строительства
и архитектуры Республики Крым
от 08.11.2021 N 396

Регламент
обработки и обеспечения безопасности персональных данных, содержащихся в Государственной информационной системе обеспечения градостроительной деятельности Республики Крым

1. Общие положения

Регламент Министерства строительства и архитектуры Республики Крым в отношении обработки и обеспечения безопасности персональных данных в Государственной информационной системе обеспечения градостроительной деятельности Республики Крым (далее - Регламент) принят в целях защиты информации, в том числе персональных данных (далее - ПДн), обрабатываемых в Государственной информационной системе обеспечения градостроительной деятельности Республики Крым (далее - Оператор).

Регламент определяет права и обязанности государственных гражданских служащих Министерства строительства и архитектуры Республики Крым (далее - Сотрудников) Оператора, порядок использования указанных данных в служебных целях, а также порядок обработки ПДн.

Настоящий Регламент разработан на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, пункта 2 и 3 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

Положения Регламента распространяются на отношения по обработке и защите ПДн, полученных Оператором как до, так и после утверждения Регламента, за исключением случаев, когда по причинам правового, организационного и иного характера положения Регламента не могут быть распространены на отношения по обработке и обеспечению безопасности ПДн, полученных до его утверждения. Лица из числа сотрудников Оператора, уполномоченные на обработку ПДн, обеспечивающие обработку ПДн в соответствии с требованиями Федерального закона N 152-ФЗ, других правовых актов Российской Федерации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение мер по обеспечению безопасности этих ПДн, назначаются приказами министра строительства и архитектуры Республики Крым.

Если в отношениях с Оператором участвуют законные представители субъектов ПДн, то Оператор становится оператором ПДн лиц, представляющих указанных субъектов. Положения Регламента и другие локальные акты Оператора распространяются на случаи обработки и обеспечения безопасности ПДн законных представителей субъектов ПДн, даже если эти лица в локальных актах прямо не упоминаются, но фактически участвуют в правоотношениях с Оператором.

1.1. Основные термины и определения

В настоящем Регламенте применяются термины и определения, установленные Федеральным законом N 152-ФЗ, Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", а также руководящими документами ФСТЭК России, регулирующими вопросы обработки и обеспечения безопасности ПДн.

Сотрудник - Государственный гражданский служащий Министерства строительства и архитектуры Республики Крым.

Оператор - Министерство строительства и архитектуры Республики Крым.

Система - Государственная информационная система обеспечения градостроительной деятельности Республики Крым (далее - ГИСОГД РК).

1.2. Документы, которыми руководствуется Оператор при обработке ПДн

Оператор при обработке ПДн руководствуется документами, указанными в разделе 6 Политики Министерства строительства и архитектуры Республики Крым в отношении обработки и обеспечения безопасности персональных данных в ГИСОГД РК.

Сотрудник Оператора, ответственный за обеспечение безопасности информации в ГИСОГД РК (далее - Администратор безопасности информации) в своей работе помимо документов, указанных в разделе 6 Политики Министерства строительства и архитектуры Республики Крым в отношении обработки и обеспечения безопасности персональных данных в ГИСОГД РК, должен руководствоваться следующими локальными актами Оператора:

- настоящим Регламентом;

- политикой Министерства строительства и архитектуры Республики Крым в отношении обработки и обеспечения безопасности персональных данных в ГИСОГД РК;

- планом мероприятий по контролю над обеспечением безопасности персональных данных и уровня защищенности информационной системы;

- иными локальными актами Оператора в сфере обработки и обеспечения безопасности ПДн.

Сотрудники Оператора, непосредственно осуществляющие обработку ПДн в ГИСОГД РК, в своей работе помимо вышеперечисленных правовых актов должны руководствоваться следующими локальными актами Оператора:

- настоящим Регламентом;

- политикой Министерства строительства и архитектуры Республики Крым в отношении обработки и обеспечения безопасности персональных данных в ГИСОГД РК;

- иными локальными актами Оператора в сфере обработки и обеспечения безопасности ПДн.

1.3. Принципы обработки ПДн

Обработка ПДн осуществляется в соответствии с принципами, установленными статьей 5 Федерального закона N 152-ФЗ, а также пунктом 7 документа "Политика Министерства строительства и архитектуры Республики Крым в отношении обработки и обеспечения безопасности персональных данных в Государственной информационной системе обеспечения градостроительной деятельности Республики Крым".

Сотрудники Оператора, в чьи должностные обязанности входит обработка ПДн, подписывают обязательство о неразглашении информации, форма которого приведена в приложении А к настоящему Регламенту.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "приложении 1"

1.4. Состав, сроки и цели обработки ПДн

Цели, сроки и состав обрабатываемых персональных данных приведены в документе: "Перечень персональных данных, обрабатываемых в Государственной информационной системе обеспечения градостроительной деятельности Республики Крым".

1.5. Способы обработки ПДн

Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Обработка ПДн осуществляется с применением информационных технологий и технических средств в ГИСОГД РК. Под техническими средствами, позволяющими осуществлять обработку ПДн, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и прочее), средства обеспечения безопасности ПДн, применяемые в информационных системах.

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

1.7. Носители ПДн

Носителями ПДн могут являться:

- отчуждаемые электронные носители - магнитные и оптические (CD и DVD) накопители, съемные жесткие диски и флэш-накопители, применяемые для получения информации;

- неотчуждаемые электронные носители - серверы, ноутбуки, персональные компьютеры и другие электронно-вычислительные машины.

2. Требования к сотрудникам Оператора

Приказом министра строительства и архитектуры назначается Администратор безопасности информации. Существенным условием является обязанность Администратора безопасности информации обеспечить конфиденциальность ПДн и их безопасность при обработке в ГИСОГД РК.

Сотрудники Оператора, доступ которых к ПДн, обрабатываемым в ГИСОГД РК, необходим для выполнения служебных (трудовых) обязанностей, допускается к соответствующим ПДн на основании перечня, утверждаемого приказом министра.

При работе с ПДн в ГИСОГД РК сотрудники Оператора, допущенные к обработке этих данных в процессе выполнения служебных обязанностей, должны обеспечивать:

1) проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и(или) передачи их лицам, не имеющим права доступа к такой информации;

2) своевременное обнаружение фактов несанкционированного доступа к ПДн;

3) недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование и целостность данных;

4) возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5) постоянный контроль за обеспечением уровня защищенности ПДн.

Требования к сотрудникам Оператора, работающим с ПДн, включаются в их должностные обязанности в соответствии с Квалификационным справочником должностей руководителей, специалистов и других служащих, утвержденным постановлением Министерства труда и социального развития Российской Федерации от 21 августа 1998 г. N 37.

3. Порядок взаимодействия с субъектами ПДн

Субъект ПДн имеет права на доступ к его ПДн в соответствии со статьей 14 Федерального закона N 152-ФЗ.

Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы на основании исключительно автоматизированной обработки его ПДн не принимается.

Оператор разъясняет цели обработки ПДн субъекту ПДн в случае необходимости, а также получает согласие субъекта ПДн на обработку его ПДн в форме, позволяющей подтвердить наличие такого согласия. Форма согласия на обработку и форма разъяснения приведены в приложении Б и приложении В, соответственно, к настоящему Регламенту.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "приложении 2 и приложении 3"

Оператор рассматривает возражение против автоматизированной обработки в течение тридцати дней со дня его получения и уведомляет субъект ПДн о результатах рассмотрения такого возражения.

4. Реализация Регламента

Оператор принимает необходимые и достаточные меры для защиты обрабатываемых ПДн от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.

Ответственный за организацию обработки ПДн в Министерстве строительства и архитектуры Республики Крым обязан:

1) осуществлять внутренний контроль за соблюдением в Министерства строительства и архитектуры Республики Крым требований нормативных правовых актов и локальных актов Оператора в области обработки и обеспечения безопасности ПДн;

2) доводить до сведения сотрудников Оператора положения нормативных правовых актов Российской Федерации и локальных актов Оператора в области обработки и обеспечения безопасности ПДн;

3) организовывать прием и обработку обращений и запросов субъектов ПДн или их законных представителей и(или) осуществлять контроль приема и обработки таких обращений и запросов.

В соответствии с требованиями нормативных правовых актов в области обработки и обеспечения безопасности ПДн, обработки ПДн с использованием средств автоматизации в Министерства строительства и архитектуры Республики Крым создается ГИСОГД РК.

При необходимости проводится периодическая классификация ГИСОГД РК, определение уровня защищенности, оценка соответствия требованиям по обеспечению безопасности ПДн, оценка эффективности системы защиты информации в соответствии с требованиями нормативных правовых актов в области обеспечения безопасности ПДн.

Для ГИСОГД РК:

1) сформирована модель угроз безопасности информации. На основе модели угроз безопасности информации проводятся мероприятия по обеспечению безопасности информации в соответствии с требованиями, предъявляемым и к установленному классу защищенности (уровню защищенности) информационной системы;

2) разработан Технический паспорт информационной системы.

3) определен Технологический процесс обработки информации в информационной системе;

4) разработан Перечень персональных данных, обрабатываемых в ГИСОГД РК;

5) разработан Перечень защищаемых ресурсов ГИСОГД РК.

Уточнение модели угроз безопасности информации для ГИСОГД РК осуществляется:

а) по решению оператора сегмента ГИСОГД РК на основе периодически проводимого анализа угроз безопасности защищаемой информации с учетом особенностей и (или) изменений в ГИСОГД РК;

б) по результатам контроля выполнения требований к обеспечению безопасности защищаемой информации при ее обработке в информационной системе;

в) при обновлении информации или добавлении новых угроз безопасности информации в Банк данных угроз безопасности информации (bdu.fstec.ru) или при их добавлении в иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации;

г) при изменении требований законодательства Российской Федерации в области защиты информации, нормативно-правовых актов и методических документов;

д) при появлении сведений и фактов о новых возможностях нарушителей, выявлении новых источников угроз безопасности информации, развитии способов и средств реализации угроз безопасности информации;

е) при изменении порядка обработки защищаемой информации в сегментах ГИСОГД РК.

В Министерстве строительства и архитектуры Республики Крым запрещается обработка ПДн в целях, несоответствующих целям создания ГИСОГД РК, эксплуатация ГИСОГД РК в составе, отличном от указанного при создании информационной системы.

В целях обеспечения управления информационной безопасностью ПДн в Министерстве строительства и архитектуры Республики Крым создается система защиты ПДн (далее - СЗПДн).

Объектами защиты СЗПДн являются информация, обрабатываемая Оператором и содержащая ПДн, а также инфраструктура, содержащая и поддерживающая указанную информацию.

СЗПДн реализуется комплексом правовых, организационных и технических мер, которые включают:

1) подготовку локальных актов Оператора по вопросам обработки и обеспечения безопасности ПДн, контроль за исполнением в Министерстве строительства и архитектуры Республики Крым требований нормативных правовых актов и локальных актов Оператора в области обработки и обеспечения безопасности ПДн, а также внесение соответствующих изменений в имеющиеся локальные акты Оператора;

2) письменное оформление обязательств сотрудников Оператора о неразглашении ПДн;

3) доведение до сведения сотрудников Оператора информации об установленной законодательством Российской Федерации ответственности за нарушения, связанные с обработкой и обеспечением безопасности ПДн;

4) обеспечение наличия в положениях о структурных подразделениях Оператора и должностных обязанностях требований по соблюдению установленного порядка обработки и обеспечения безопасности ПДн;

5) разработку и введение в действие локальных актов Оператора по обеспечению безопасности информационной системы;

6) регламентацию процедур создания и осуществление документирования действующих инженерных и информационных систем, программных комплексов, порядка внесения в них изменений и своевременной актуализации эксплуатационной документации;

7) ознакомление сотрудников Оператора с положениями нормативных правовых актов Российской Федерации и локальных актов Оператора в области обработки и обеспечения безопасности ПДн и(или) организацию обучения их правилам обработки и обеспечения безопасности ПДн;

8) проведение мероприятий в форме утверждения планов проверки и контроля по регламентации, установлению, поддержанию и осуществлению контроля за состоянием:

8.1) контрольно-пропускного режима, а также за перемещением технических средств и машинных носителей информации;

8.2) защиты технологических процессов, информационных ресурсов, информации и поддерживающей их инфраструктуры от угроз техногенного характера и внешних неинформационных воздействий;

9) регламентацию в форме инструкций сотрудникам Оператора, участвующим в обработке ПДн, а также отвечающим за организацию обработки и обеспечение безопасности ПДн правил обработки ПДн, в том числе хранение и передачу информации внутри Министерства строительства и архитектуры Республики Крым при взаимодействии с контрагентами Оператора, государственными органами и организациями, обращения с документами (включая электронные документы) и машинными носителями, порядка их учета, хранения и уничтожения;

10) установление в форме инструкций и перечней сотрудникам Оператора правил доступа на объекты, в помещения, в информационную систему, применения в этих целях систем охраны и управления доступом;

11) формирование участков (например, выделение в отдельные виртуальные локальные компьютерные сети технических средств) администрирования безопасности, мониторинга и аудита, управление доступом к защищаемым ресурсам;

12) организацию технического оснащения объектов и информационной системы в соответствии с существующими требованиями к информационной безопасности;

13) формирование условий и технологических процессов обработки, хранения и передачи информации в Министерстве строительства и архитектуры Республики Крым (включая условия хранения документов в архивах), обеспечивающих реализацию требований нормативных правовых актов, методических документов уполномоченных государственных органов и локальных актов Оператора в области обработки и обеспечения безопасности ПДн;

14) установление полномочий пользователей и форм представления информации пользователям информационной системы;

15) организацию непрерывного процесса контроля (мониторинга) событий безопасности для своевременного выявления и пресечения попыток несанкционированного доступа к ПДн;

16) организацию необходимых мероприятий с сотрудниками Оператора, а также собеседование с лицами, претендующими на работу в Министерстве строительства и архитектуры Республики Крым, изучение их биографии и проверку предоставляемых сведений; обучение сотрудников Оператора требованиям информационной безопасности;

17) осуществление контроля эффективности организационных мер защиты;

18) разработку защитных технических решений:

18.1) при стратегическом планировании архитектуры информационной системы;

18.2) при выборе технических средств обработки информации;

18.3) при разработке и(или) приобретении программного обеспечения;

19) применение следующих компонентов технических мер защиты:

19.1) защищенных средств (систем) обработки информации, содержащей ПДн;

19.2) межсетевых экранов для логического разделения подсетей и защиты от несанкционированного доступа из внешних (открытых) информационных систем;

19.3) аппаратных и программных средств защиты и контроля, устройств, технических систем и средств, используемых для обеспечения информационной безопасности, в том числе для обнаружения и нейтрализации попыток несанкционированного доступа к информации.

Сотрудники Оператора ознакамливаются с локальными актами Оператора, регламентирующими необходимые действия по обеспечению целостности и доступности ПДн в нештатных ситуациях.

По окончанию сроков обработки ПДн создается комиссия из сотрудников Оператора для уничтожения ПДн. Данные ПДн уничтожаются и составляется акт об уничтожении, форма которого приведена в приложении 4 к настоящему Регламенту.

5. Правила допуска, хранения и пересылки ПДн

Допуск сотрудников Оператора к обработке ПДн в информационной системе осуществляется на основании соответствующих разрешительных документов и ключей (паролей) доступа.

Пересылка ПДн без использования специальных средств защиты информации по общедоступным сетям связи, в том числе сети "Интернет", запрещается.

Пересылка ПДн разрешается только в соответствии с целями обработки ПДн по каналам связи, расположенным в пределах контролируемой зоны, либо по защищенным каналам связи с помощью средств защиты информации, прошедших оценку соответствия в ФСБ России и/или ФСТЭК России.

6. Ответственность за нарушение норм, регулирующих обработку ПДн

Сотрудники Оператора, виновные в нарушении норм, регулирующих обработку и обеспечение безопасности ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

7. Заключительные положения

Настоящий Регламент вступает в силу с момента его подписания.

Настоящий Регламент доводится до всех сотрудников Оператора персонально под подпись, осуществляющих работу с ГИСОГД РК.