Приложение 22. Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации города Махачкалы. Постановление Администрации городского округа с внутригородским делением "город Махачкала" Республики Дагестан от 28.03.2018 N 333 "Об утверждении Положения о правилах обработки и защиты персональных данных в Администрации города Махачкалы"

Приложение 22

Утверждено
постановлением Администрации
города Махачкалы
от 28 марта 2018 г. N 333

Положение
по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации города Махачкалы

Общие положения

Настоящее Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации города Махачкалы (далее - Положение) разработано в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных

технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Цель разработки настоящего Положения - установление порядка организации и проведения работ по обеспечению безопасности персональных данных (далее - ПДн) в информационных системах персональных данных (далее - ИСПДн) Администрации города Махачкалы (далее - Администрация, Оператор) на протяжении всего жизненного цикла ИСПДн.

Порядок организации и проведения работ по обеспечению безопасности персональных данных

Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн, реализуемых в рамках создаваемой системы защиты персональных данных (далее - СЗПДн).

СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн, уровня защищенности ПДн, который необходимо обеспечить, и информационных технологий, используемых в информационных системах.

Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность ПДн при их обработке в информационной системе.

Выбор средств защиты информации для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации (далее - ФСБ России) и Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК России) во исполнение Федерального закона "О персональных данных".

Структура, состав и основные функции СЗПДн определяются исходя из уровня защищенности ПДн при их обработке в ИСПДн.

СЗПДн создается в три этапа:

Этап 1. Предпроектное обследование ИСПДн и разработка технического задания на создание СЗПДн.

Этап 2. Проектирование СЗПДн, закупка, установка, настройка необходимых средств защиты информации.

Этап 3. Ввод ИСПДн с СЗПДн в эксплуатацию.

Этап 1. Проведение предпроектного обследования и разработка технического задания на создание СЗПДн.

1.1 Назначение ответственного за организацию обработки ПДн Администрацией.

1.2 Создание комиссии по определению уровня защищенности ПДн при их обработке в ИСПДн Администрации.

1.3 Определение целей обработки ПДн Администрацией.

1.4 Определение перечня ИСПДн Администрации и состава ПДн, обрабатываемых в ИСПДн.

1.5 Определение перечня обрабатываемых Администрацией ПДн.

1.6 Определение сроков обработки и хранения ПДн, исходя из требования, что ПДн не должны храниться дольше, чем этого требуют цели обработки этих ПДн, по достижению которых ПДн подлежат уничтожению.

1.7 Определение перечня используемых в ИСПДн (предлагаемых к использованию в ИСПДн) общесистемных и прикладных программных средств.

1.8 Определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах.

1.9 Назначение ответственного за обеспечение безопасности ПДн в ИСПДн (далее - Ответственный) для разработки и осуществления технических мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн. Для каждой ИСПДн может быть назначен отдельный Ответственный.

1.10 Назначение ответственного пользователя криптосредств, обеспечивающего функционирование и безопасность криптосредств, предназначенных для обеспечения безопасности ПДн. Утверждение перечня лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности ПДн в ИСПДн (пользователей криптосредств).

1.11 Определение перечня помещений, в которых размещены ИСПДн и материальные носители ПДн.

1.12 Определение конфигурации и топологии ИСПДн в целом и их отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения.

1.13 Определение технических средств и систем, используемых в ИСПДн, включая условия их расположения.

1.14 Формирование технических паспортов ИСПДн.

1.15 Разработка организационно-распорядительных документов (далее - ОРД), регламентирующих процесс обработки и защиты ПДн:

- Политика в отношении обработки персональных данных;

- Инструкции (ответственного за организацию обработки ПДн, ответственного за обеспечение безопасности ПДн в ИСПДн, пользователя ИСПДн, ответственного пользователя криптосредств);

- Раздел должностных инструкций сотрудников Администрации в части обеспечения безопасности ПДн при их обработке, включая установление персональной ответственности за нарушения правил обработки ПДн.

1.16 Получение (при необходимости) согласия на обработку ПДн субъектом ПДн, подписание обязательства о соблюдении конфиденциальности ПДн сотрудником Администрации.

1.17 Утверждение форм уведомлений субъектов ПДн и форм журналов, необходимых в целях обеспечения безопасности ПДн.

1.18 Определение уровня защищенности ПДн при их обработке в ИСПДн в соответствии с "Требованиями к защите ПДн при их обработке в информационных системах персональных данных", утвержденными постановлением Правительства Российской Федерации от 01.11.2012 N 1119 (подготовка и утверждение акта определения уровня защищенности ПДн при их обработке в ИСПДн).

1.19 Определение типа угроз безопасности ПДн, актуальных для информационной системы, с учетом оценки возможного вреда в соответствии с нормативными правовыми актами, принятыми во исполнение Федерального закона "О персональных данных". Определение угроз безопасности ПДн в конкретных условиях функционирования ИСПДн (разработка моделей угроз безопасности ПДн при их обработке в ИСПДн).

1.20 Формирование технического задания на разработку СЗПДн по результатам предпроектного обследования на основе нормативно-методических документов ФСТЭК России и ФСБ России с учетом установленного уровня защищенности ПДн при их обработке в ИСПДн.

Техническое задание на разработку СЗПДн должно содержать:

- обоснование разработки СЗПДн;

- исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;

- уровень защищенности ПДн при их обработке в ИСПДн;

- ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн, и приниматься в эксплуатацию ИСПДн;

- конкретизацию мероприятий и требований к СЗПДн;

- состав и содержание работ по этапам разработки и внедрения СЗПДн;

- перечень предполагаемых к использованию сертифицированных средств защиты информации.

Этап 2. Проектирование СЗПДн, закупка, установка, настройка и опытная эксплуатация необходимых средств защиты информации.

2.1 Создание СЗПДн является необходимым условием обеспечения безопасности ПДн, в том случае, если существующие организационные и технические меры обеспечения безопасности не соответствуют требованиям к обеспечению безопасности ПДн для соответствующего уровня защищенности ПДн при их обработке в ИСПДн и/или не нейтрализуют всех угроз безопасности ПДн для данной ИСПДн.

2.2 Технические меры защиты ПДн предполагают использование программно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов Администрации. Применение технических мер должно быть регламентировано нормативным актом Администрации.

2.3 Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

2.4 На стадии проектирования и создания СЗПДн для ИСПДн Администрации проводятся следующие мероприятия:

- разработка технического проекта СЗПДн;

- приобретение (при необходимости), установка и настройка серийно выпускаемых технических средств обработки, передачи и хранения информации;

- разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

- приобретение, установка и настройка сертифицированных технических, программных и программно-технических средств защиты информации, в том числе (при необходимости) средств криптографической защиты информации;

- реализация разрешительной системы доступа пользователей ИСПДн к обрабатываемой в ИСПДн информации;

- подготовка эксплуатационной документации на используемые

средства защиты информации;

- корректировка (дополнение) организационно-распорядительной документации в части защиты информации.

Этап 3. Ввод ИСПДн с СЗПДн в промышленную эксплуатацию.

3.1 На стадии ввода в ИСПДн (СЗПДн) осуществляются:

- опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн (при необходимости);

- приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации (при необходимости);

- контроль выполнения требований (возможно проведение данного контроля в виде аттестации по требованиям безопасности ПДн).

3.2 Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Проведение работ по обеспечению безопасности персональных данных

Работы по обеспечению безопасности ПДн проводятся в соответствии с Планом мероприятий по защите персональных данных (Приложение 2). Внутренние проверки режима обработки и защиты ПДн Администрацией проводятся в соответствии с Планом внутренних проверок режима обработки и защиты персональных данных (Приложение 3). По результатам проведения внутренней проверки составляется Отчет о результатах проведения внутренней проверки режима обработки и защиты персональных данных в Учреждении (Приложение 4).

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо "Приложение 2" имеется в виду "Приложение 1", вместо "Приложение 3" имеется в виду "Приложение 2", вместо "Приложение 4" имеется в виду "Приложение 3"

Контроль за проведением работ по обеспечению безопасности ПДн осуществляет ответственный за организацию обработки ПДн в виде методического руководства, участия в разработке требований по защите ПДн, организации работ по выявлению возможных каналов утечки информации, согласования выбора средств вычислительной техники и связи, технических и программных средств защиты, участия в оценке соответствия ИСПДн Администрации требованиям безопасности ПДн.

При необходимости к проведению работ по обеспечению безопасности ПДн могут привлекаться специализированные организации, имеющие лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

В соответствии с п. 5.2 Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра ФСБ России 21.02.2008 N 149/54-144, при необходимости использования при создании СЗПДн средств криптографической защиты информации к проведению работ по обеспечению безопасности ПДн Администрации необходимо привлекать специализированные организации, имеющие лицензии ФСБ России на осуществление работ по распространению шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведения, составляющие государственную тайну, на осуществление технического обслуживания шифровальных (криптографических) средств, на осуществление работ по оказанию услуг в области шифрования информации, не содержащих сведений, составляющих государственную тайну.

Решение вопросов обеспечения безопасности персональных данных в динамике изменения обстановки и контроля эффективности защиты

Модернизация СЗПДн для функционирующих ИСПДн Администрации должна осуществляться в случае:

- изменения состава или структуры ИСПДн или технических особенностей ее построения (изменения состава или структуры программного обеспечения, технических средств обработки ПДн, топологии ИСПДн);

- изменения состава угроз безопасности ПДн в ИСПДн;

- изменения уровня защищенности ПДн при их обработке в ИСПДн;

- прочих случаях, по решению оператора.

В целях определения необходимости доработки (модернизации) СЗПДн не реже одного раза в год ответственным за организацию обработки ПДн должна проводиться проверка состава и структуры ИСПДн, состава угроз безопасности ПДн в ИСПДн и уровня защищенности ПДн при их обработке в ИСПДн, соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией. Результаты проверки оформляются актом проверки и утверждаются руководителем Администрации.

Анализ инцидентов безопасности ПДн и составление заключений в обязательном порядке должно проводиться в случае выявления следующих фактов:

- несоблюдение условий хранения носителей ПДн;

- использование средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн;

- нарушение заданного уровня безопасности ПДн (конфиденциальность/ целостность/доступность).