Приказ Министра социального развития Московской области от 20.03.2018 N 19П-89 "О мерах, направленных на обеспечение защиты персональных данных при их обработке в информационных системах Министерства социального развития Московской области"

В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", и в целях обеспечения защиты персональных данных, обрабатываемых в единой автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области" приказываю:

1. Утвердить прилагаемые:

перечень информационных систем персональных данных, в которых должна быть обеспечена безопасность информации;

положение об администраторе безопасности информации, обрабатываемой в государственной автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области";

инструкцию по организации антивирусной защиты в государственной единой автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области";

положение об администраторе государственной автоматизированной информационной системы обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области";

инструкцию по организации парольной защиты в государственной автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области";

инструкцию пользователя государственной автоматизированной информационной системы обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области";

формы описания разрешительной системы доступа пользователей к государственной автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области";

описание технологического процесса доступа к информации в государственной автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области";

политику обработки и защиты персональных данных в Министерстве социального развития Московской области;

положение о защите конфиденциальной информации при ее автоматизированной обработке в Министерстве социального развития Московской области;

правила подключения и взаимодействия с сетями общего пользования в государственной информационной системы единой автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области".

2. Управлению организации деятельности структурных подразделений и подведомственных учреждений Министерства обеспечить в течение 10 дней после подписания настоящего приказа размещение порядка обработки и защиты персональных данных на официальном сайте Министерства социального развития Московской области по адресу: (http://www.msr.mosreg.ru).

3. Контроль за исполнением настоящего приказа возложить на заместителя министра социального развития Московской области А.А. Кирюхина.

Министр социального развития Московской области

И.К. Фаевская

Утвержден

приказом министра
социального развития
Московской области
от 20.03.18 N 19П-89

Перечень
информационных систем персональных данных, в которых должна быть обеспечена безопасность информации

1. Единая автоматизированная информационная система обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области".

2. Программа для ЭВМ "Конфигурация "Трудоустройство" версия 2.0".

3. Информационная система ПП "Парус-8" модуль "Расчет заработной платы".

4. Информационная система ПП "Парус-8" модуль "Бухгалтерский учет- бюджет".

5. Информационная система ПП "Парус-8" модуль "Расчет пенсионного обеспечения".

6. Информационная система ПП "Парус-8" модуль "Управление кадрами государственной гражданской службы".

Утверждено

приказом министра
социального развития
Московской области
от 20.03.18 N 19П-89

Положение
об администраторе безопасности информации, обрабатываемой в государственной автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области"

I. Общие положения

1. Настоящее положение определяет права и обязанности должностного лица, ответственного за обеспечение безопасности персональных данных (далее - ПДн), обрабатываемых в государственной автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области" (далее - ЕАИС СОЦ МО) - администратора безопасности информации, обрабатываемой в ЕАИС СОЦ МО (далее - администратор информационной безопасности, ИБ).

2. Администратор информационной безопасности назначается приказом министра социального развития Московской области и отвечает за обеспечение безопасности ПДн и поддержание установленного уровня их защищенности при обработке в информационной системе (далее - ИС).

3. Администратор информационной безопасности по вопросам обеспечения безопасности информации подчиняется ответственному за защиту персональных данных ЕАИС СОЦ МО и ответственному за организацию обработки персональных данных в ЕАИС СОЦ МО.

4. Администратор информационной безопасности осуществляет методическое руководство деятельности пользователей ИС.

5. Требования администратора информационной безопасности, связанные с выполнением им своих обязанностей, обязательны для исполнения всеми пользователями ИС.

6. Администратор информационной безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ИС, состояние и поддержание установленного уровня защиты информации, обрабатываемой в ИС.

7. Администратор информационной безопасности обеспечивает нормальное функционирование защитных механизмов ИС.

II. Задачи администратора информационной безопасности

9. Основными задачами администратора информационной безопасности являются:

поддержание необходимого уровня защиты ИС от несанкционированного доступа (далее - НСД) к информации;

обеспечение конфиденциальности обрабатываемой, хранимой и передаваемой по каналам связи информации ПДн;

установка средств защиты информации (далее - СрЗИ) и контроль выполнения правил их эксплуатации;

сопровождение СрЗИ и основных технических средств и систем (далее - ОТСС) ИС;

регулярное обновление СрЗИ ИС;

оперативное реагирование на нарушения требований по информационной безопасности (далее - ИБ) в ИС и участие в их прекращении.

10. В рамках выполнения основных задач администратор информационной безопасности осуществляет:

текущий контроль работоспособности и эффективности функционирования эксплуатируемых программных и технических СрЗИ;

управление полномочиями пользователей ИС и поддержание правил разграничения доступа в ИС к защищаемым ресурсам ИС;

управление СрЗИ в ИС, в том числе параметрами настройки программного обеспечения (далее - ПО), включая ПО СрЗИ, восстановление работоспособности системы защиты информации (далее - СЗИ) ИС, генерацию, смену и восстановление паролей в соответствии с Инструкцией по организации парольной защиты;

установка обновлений ПО, включая ПО СЗИ, выпускаемых разработчиками (производителями) СрЗИ или по их поручению; управление СЗИ ИС;

регистрация и анализ событий в ИС, связанных с защитой информации (далее - события безопасности);

информирование пользователей ИС об угрозах безопасности информации, о правилах эксплуатации СЗИ ИС и отдельных СрЗИ, а также их обучение;

сопровождение функционирования СЗИ ИС в ходе ее эксплуатации; поддержание конфигурации ИС и СЗИ (структуры СЗИ, состава, мест установки и параметров настройки СрЗИ, ПО и технических средств) в соответствии с эксплуатационной документацией на СЗИ (поддержание базовой конфигурации ИС и СЗИ в соответствии с Инструкцией по антивирусной и парольной защите);

управление изменениями базовой конфигурации ИС и СЗИ, в том числе определение типов возможных изменений базовой конфигурации ИС и СЗИ, санкционирование внесения изменений в базовую конфигурацию ИС и СЗИ, документирование действий по внесению изменений в базовую конфигурацию ИС и СЗИ, сохранение данных об изменениях базовой конфигурации ИС и СЗИ, контроль действий по внесению изменений в базовую конфигурацию ИС и СЗИ;

определение параметров настройки ПО, включая ПО СрЗИ, состава и конфигурации технических средств и ПО до внесения изменений в базовую конфигурацию ИС и СЗИ;

контроль выполнения пользователями ИС установленного режима безопасности помещений, в которых ведется обработка ПДн в соответствии с Порядком доступа пользователей ЕЛИС СОЦ МО в помещения, в которых ведется обработка персональных данных;

участие в процессе подключения новых пользователей к ИС в соответствии с Регламентом предоставления доступа к персональным данным;

выполнение требования Положения по организации работ по защите ПДн; методическая помощь пользователям ИС по вопросам обеспечения безопасности ПДн.

III. Права администратора информационной безопасности

11. Администратор информационной безопасности имеет право: отключать от ресурсов ИС пользователей, осуществивших НСД к защищаемым ресурсам ИС или нарушивших другие требования по ИБ;

давать пользователям ЕАИС СОЦ МО обязательные для исполнения указания и рекомендации по вопросам ИБ;

осуществлять контроль информационных потоков, генерируемых пользователями ИС при работе со съемными носителями информации;

запрещать устанавливать на автоматизированных рабочих местах нештатное ПО и аппаратное обеспечение;

совместно с ответственным за защиту персональных данных вырабатывать предложения по дальнейшему усовершенствованию принятой политики безопасности, выбору используемого в ИС ПО и аппаратного обеспечения.

IV. Обязанности администратора информационной безопасности

12. Администратор информационной безопасности обязан:

1) знать и выполнять требования нормативных документов по защите информации, регламентирующих порядок защиты ПДн, обрабатываемой в ИС;

2) управлять конфигурацией системы защиты информации ИС: разграничивать права доступа в ИС;

осуществлять управление изменениями конфигурации ИС и СЗИ ИС; проводить анализ потенциального воздействия планируемых изменений в конфигурации ИС и СЗИ ИС;

осуществлять документирование информации (данных) об изменениях конфигурации ИС и СЗИ ИС;

осуществлять контроль безотказного функционирования технических средств, обнаружение и локализацию отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование;

участвовать в установке, настройке и сопровождении программных СрЗИ; участвовать в приемке новых программных средств обработки информации;

3) осуществлять периодический мониторинг (контроль) защищенности ИР: выявлять, анализировать уязвимости СЗИ ИС и оперативно устранять вновь

выявленные уязвимости;

осуществлять контроль установки обновлений ПО, включая обновления ПО СрЗИ;

обеспечивать контроль работоспособности, параметров настройки и правильности функционирования ПО и СрЗИ;

осуществлять контроль правил генерации и смены паролей пользователей ИС, заведения и удаления учетных записей пользователей ИС, реализации правил разграничения доступа, полномочий пользователей ИС;

осуществлять контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов, в том числе по передаче информации;

осуществлять контроль за выполнением мер по защите технических средств;

осуществлять периодический анализ событий во время загрузки ОС;

осуществлять отслеживание попыток использования ИР вне установленного рабочего времени;

отслеживать изменения в перечне пользователей ИС, допущенных к защищенным ИР;

осуществлять проверку соответствия общесистемной программной среды эталону (контроль целостности ПО);

4) установленным порядком хранить регистрации фактов нарушения установленного порядка работ и попыток НСД, пароли администратора информационно безопасности и пользователей пользователям ИС;

5) контролировать исполнение пользователями ИС введенного режима безопасности, а также правильность работы с элементами ИС и СЗИ;

6) регулярно анализировать журнал учета событий, регистрируемых СрЗИ, с целью контроля действий пользователей ИС и выявления возможных нарушений;

7) оказывать помощь пользователям ИС в части применения СрЗИ и консультировать по вопросам введенного режима защиты;

8) в случае отказа работоспособности технических средств и ПО ИС, в том числе СЗИ, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности;

9) в случае болезни, отпуска и т.п. администратор информационной безопасности передает свои обязанности замещающему его лицу, назначаемому Оператором.

V. Ответственность администратора информационной безопасности

13. Администратор информационной безопасности несет ответственность: за качество выполнения обязанностей, установленных настоящей Инструкцией; за качество проводимых работ по контролю действий пользователей ИС, состояние и поддержание необходимого уровня защищенности информации, содержащейся в ИС;

за разглашение сведений ограниченного доступа (ПДн и иная защищаемая информация), ставших известными ему по роду работы.

VI. Действия администратора информационной безопасности при обнаружении попыток несанкционированного доступа

14. К попыткам НСД относятся:

сеансы работы с ИР ИС незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, либо срок действия полномочий которых истек, либо в состав полномочий которых не входят операции доступа к определенным данным или манипулирования ими;

действия третьего лица, пытающегося получить доступ (или получившего доступ) к ИР ИС с использованием учетной записи администратора или другого пользователя ИС, в целях получения личной выгоды, методом подбора пароля или другого метода (случайного разглашения пароля и т.п.) без ведома владельца учетной записи.

15. При выявлении факта/попытки НСД администратор информационной безопасности обязан:

прекратить доступ к ИР со стороны выявленного участка НСД;

доложить ответственному за защиту персональных данных о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;

проанализировать характер НСД;

по решению ответственного за защиту персональных данных осуществить действия по выяснению причин, приведших к НСД;

предпринять меры по предотвращению подобных инцидентов в дальнейшем.

Утверждена

приказом министра
социального развития
Московской области
от 20.03.18 N 19П-89

Инструкция
по организации антивирусной защиты в государственной единой автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области"

1. Настоящая инструкция определяет требования к организации антивирусной защиты в государственной единой автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области" (далее - ЕАИС СОЦ МО, Система) от разрушающего воздействия компьютерных вирусов и устанавливает ответственность пользователей Системы, эксплуатирующих и сопровождающих информационную систему ЕАИС СОЦ МО, за их выполнение.

2. В информационной системе ЕАИС СОЦ МО к использованию допускаются только лицензионные антивирусные средства прошедшие, в установленном порядке, процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.

3. Под антивирусным средством в данной инструкции понимается специализированное программное средство защиты информации, предназначенное для обнаружения фактов вирусного воздействия на компоненты вычислительной техники объектов информатизации.

4. Администрирование и обновление автономных клиентов антивирусной защиты производятся администратором информационной безопасности информационных систем и информационных систем персональных данных ЕАИС СОЦ МО.

5. Загрузка обновлений антивирусных баз осуществляется через корпоративную мультисервисную сеть Правительства Московской области.

6. Обновление антивирусных баз должно производиться ежедневно.

7. Ответственность за организацию проведения антивирусной защиты в информационной системе ЕАИС СОЦ МО возлагается на администратора информационной безопасности информационных систем и информационных систем персональных данных ЕАИС СОЦ МО.

8. Ответственность за выполнение положений данной Инструкции возлагается на ответственного за защиту персональных данных ЕАИС СОЦ МО и администратора информационной безопасности информационных систем и информационных систем персональных данных ЕАИС СОЦ МО.

9. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая от сторонних лиц и организаций.

10. Устанавливаемое системное и прикладное программное обеспечение на средствах вычислительной техники должно быть проверено на отсутствие компьютерных вирусов. Непосредственно после установки (изменения) программного обеспечения должна быть выполнена антивирусная проверка на персональной электронно-вычислительной машине (далее - ПЭВМ) лицом, установившим (изменившим) программное обеспечение.

11. При работе с машинными носителями информации, полученными из сторонних организаций, пользователи на рабочих местах обязаны перед началом работы с машинными носителями информации проверить их на наличие компьютерных вирусов.

12. При возникновении подозрения наличия компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, исчезновение файлов, частое появление сообщений о системных ошибках и т.п.) пользователей ЕАИС СОЦ МО должны самостоятельно провести внеочередной антивирусный контроль своей рабочей станции. При необходимости привлечь системного администратора ЕАИС СОЦ МО (или сотрудника организации, с которой у ЕАИС СОЦ МО заключено соглашение на оказание услуг по системному администрированию информационной системы ЕАИС СОЦ МО) либо администратора информационной безопасности информационных систем и информационных систем персональных данных ЕАИС СОЦ МО для определения им факта наличия или отсутствия компьютерного вируса.

13. В случае обнаружения компьютерного вируса пользователи ЕАИС СОИ, МО обязаны:

приостановить работу на ПЭВМ;

немедленно поставить в известность о факте обнаружения файлов, зараженных вирусом, руководителя подразделения и администратора информационной безопасности информационных систем и информационных систем персональных данных ЕАИС СОЦ МО, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;

совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;

провести "лечение" зараженных вирусом файлов штатными антивирусными средствами;

при невозможности "лечения" уничтожить зараженные вирусом файлы способом, исключающим их восстановление.

14. В случае обнаружения на съемных носителях нового вируса, не поддающегося "лечению", пользователь ЕАИС СОЦ МО, обязан запретить их использование и поставить в известность администратора информационной безопасности информационных систем и информационных систем персональных данных ЕАИС СОЦ МО.

15. Ответственные за обеспечение безопасности информации проводят периодическое (не реже 1 раза в неделю) полное тестирование компьютера на вирусы.

Утверждено

приказом министра
социального развития
Московской области
от 20.03.18 N 19П-89

Положение
об администраторе государственной автоматизированной информационной системы обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области"

I. Общие положения

1. Настоящее положение определяет задачи, права и обязанности администратора информационной системы (далее - администратор ИС), ответственного за эксплуатацию государственной автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области" (далее - ЕАИС СОЦ МО).

2. Администратор ИС ЕАИС СОЦ МО назначается приказом министра социального развития Московской области (далее - Оператор) и подчиняется непосредственно руководителю Оператора.

3. Администратор ИС ЕАИС СОЦ МО отвечает за обеспечение возможности эксплуатации ЕАИС СОЦ МО.

4. Требования администратора ИС ЕАИС СОЦ МО, связанные с выполнением им своих обязанностей, обязательны для исполнения всеми пользователями ЕАИС СОЦ МО.

5. Администратор ИС ЕАИС СОЦ МО несет персональную ответственность за:

качество проводимых работ по администрированию ЕАИС СОЦ МО; состояние и поддержание уровня защищенности информации, содержащейся в ЕАИС СОЦ МО.

II. Задачи администратора ИС ЕАИС СОЦ МО

6. Основными задачами администратора ИС ЕАИС СОЦ МО являются: обеспечение возможности эксплуатации ЕАИС СОЦ МО; администрирование ЕАИС СОЦ МО.

7. В рамках выполнения основных задач администратор ЕАИС СОЦ МО осуществляет:

создание учётных записей пользователей ЕАИС СОЦ МО;

контроль за событиями безопасности и действиями администратора безопасности и пользователей ЕАИС СОЦ МО;

контроль выполнения пользователями ЕАИС СОЦ МО мероприятий по обеспечению безопасности информации ЕАИС СОЦ МО;

методическую помощь пользователям ЕАИС СОЦ МО.

III. Обязанности администратора ИС ЕАИС СОЦ МО

8. Администратор ИС ЕАИС СОЦ МО обязан:

знать и выполнять требования нормативных документов по защите информации, регламентирующих порядок защиты информации, в том числе, ПДн, обрабатываемых в ЕАИС СОЦ МО;

осуществлять общее руководство деятельности по обработке информации, в том числе, ПДн в ЕАИС СОЦ МО;

участвовать в разработке организационно-распорядительной документации по вопросам обеспечения безопасности информации, содержащейся в ЕАИС СОЦ МО; анализировать состояние работоспособности и защищённости ЕАИС СОЦ МО;

контролировать правильность функционирования прикладного программного обеспечения ЕАИС COI [ МО и неизменность его настроек;

контролировать исполнение пользователями ЕАИС СОЦ МО введенного режима безопасности, а также правильность работы с элементами ЕАИС СОЦ МО;

анализировать журналы учета событий безопасности, регистрируемых прикладным программным обеспечением ЕАИС СОЦ МО, с целью контроля действий пользователей и выявления возможных нарушений;

контролировать выполнение администратором безопасности и пользователями ЕАИС СОЦ МО своих обязанностей;

представлять руководителю Оператора отчет о состоянии ЕАИС СОЦ МО и о нештатных ситуациях и допущенных пользователями и администратором безопасности нарушениях установленных требований по защите информации;

в случае выявления нарушений режима безопасности информации (в том числе ПДн), а также возникновения внештатных и аварийных ситуаций, принимать необходимые меры с целью ликвидации их последствий и определению причин их появления;

принимать участие в проведении работ по оценке ЕАИС СОЦ МО требованиям безопасности информации.

IV. Права администратора ИС ЕАИС СОЦ МО

9. Администратор ИС ЕАИС СОЦ МО имеет право:

давать пользователям ЕАИС СОЦ МО обязательные для исполнения указания и рекомендации по вопросам безопасной эксплуатации прикладного программного обеспечения ЕАИС СОЦ МО;

проводить служебные расследования по фактам нарушений установленных требований обеспечения ИБ, НСД, утраты, порчи защищаемой информации и технических средств ЕАИС СОЦ МО;

организовывать и участвовать в любых проверках по использованию пользователями ЕАИС СОЦ МО;

запрещать устанавливать на автоматизированных рабочих местах нештатное программное и аппаратное обеспечение;

запрашивать и получать от Оператора материалы, необходимые для организации своей работы;

вносить на рассмотрение Оператора предложения по улучшению состояния ИБ ПДн, обрабатываемой в ЕАИС СОЦ МО, по замене вышедших из строя элементов системы защиты информации ЕАИС СОЦ МО, а также по выведению из эксплуатации машинных носителей персональных данных, у которых закончился период эксплуатации, установленный их производителем.

V. Ответственность администратора ИС ЕАИС СОЦ МО

10. Администратор ИС ЕАИС СОЦ МО несет ответственность: за организацию безопасной эксплуатации ЕАИС СОЦ МО;

за выполнение установленных условий функционирования ЕАИС СОЦ МО; за качество выполнения обязанностей, установленных настоящим Положением;

за качество проводимых работ по контролю действий администратора безопасности и пользователей ЕАИС СОЦ МО, состояние и поддержание необходимого уровня защиты информационных и технических ЕАИС СОЦ МО;

за качество и состояние организационно-распорядительной и эксплуатационной документации по вопросам эксплуатации ЕАИС СОЦ МО;

за разглашение сведений ограниченного доступа (ПДн, иная защищаемая информация), ставших известными ему по роду работы.

Утверждена

приказом министра
социального развития
Московской области
от 20.03.18 N 19П-89

Инструкция
по организации парольной защиты в государственной автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области"

I. Общие положения

1. Данная инструкция по организации парольной защиты в единой автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области" (далее - ЕАИС СОЦ МО) регламентирует процессы генерации, смены и прекращения действия паролей (удаления учётных записей пользователей) в информационной системе ЕАИС СОЦ МО, а также контроль над действиями пользователей и обслуживающего персонала информационных систем при работе с паролями.

2. Осуществление процессов генерации, использования, смены и прекращения действия паролей в информационной системе ЕАИС СОЦ МО и контроль за действиями исполнителей и обслуживающего персонала информационной системы при работе с паролями возлагается на администратора информационной безопасности информационных систем и информационных систем персональных данных (далее - администратор безопасности информационных систем) ЕАИС СОЦ МО.

II. Термины и определения

3. Информация - сведения (сообщения, данные) независимо от формы их представления

4. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных)

5. Пароль - секретная комбинация цифр, знаков, слов, или осмысленное предложение, служащие для защиты информации от несанкционированного доступа к информационным ресурсам.

6. Компрометация пароля - раскрытие, обнаружение или утеря пароля.

III. Правила формирования паролей

7. Личные пароли должны генерироваться и распределяться централизованно.

8. Ответственность за правильность формирования и распределения паролей в информационной системе ЕАИС СОЦ МО возлагается на администратора безопасности информационной системы ЕАИС COII, МО.

9. Ответственность за правильность формирования и распределения паролей для доступа на автоматизированные рабочие места гражданских служащих ЕАИС СОЦ МО возлагается на системного администратора ЕАИС СОЦ МО.

10. При ручном назначении пароля он должен соответствовать следующим параметрам:

1) Длина пароля должна быть не менее 8 символов.

2) Пароль должен содержать комбинацию букв в верхнем и нижнем регистре, а также цифры, знаки препинания и/или специальные символы (@,#> $, %, А, &, * и т.п.).

3) Пароль не должен включать в себя слова, которые содержатся в словарях (русских или иностранных), имена, фамилии и отчества людей, клички животных, имена вымышленных персонажей, различные географические наименования, даты рождения, номера телефонов и другую личную информацию.

4) При смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.

IV. Порядок смены личных паролей

11. Смена паролей доступа в информационную систему ЕАИС СОЦ МО должна проводиться регулярно, не реже одного раза в 90 дней, централизованно, администратором безопасности информационной системы ЕАИС СОЦ МО.

12. Смена паролей доступа на автоматизированные рабочие места пользователей ЕАИС СОЦ МО должна проводиться регулярно, не реже одного раза в 90 дней, централизованно, системным администратором ЕАИС СОЦ МО.

13. В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т.п.) должно производиться немедленное удаление его учетных записей доступа в информационные системы ЕАИС СОЦ МО, а также учетные данные для доступа на автоматизированное рабочее место.

14. Срочная (внеплановая) полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) ответственного за защиту персональных данных, администратора безопасности информационных систем и других государственных гражданских служащих, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты.

V. Хранение пароля

15. При хранении паролей должны быть приняты все возможные меры по минимизации возможности компрометации либо утери пароля.

16. Запрещается:

17. записывать пароли в файлах, электронных записных книжках, других электронных носителях информации, указывать пароли на бумажных и других материальных носителях информации, в том числе на предметах, за исключением случаев, предусмотренных Политикой.

18. Запрещается хранение паролей ЕАИС СОЦ МО в открытом для других лиц доступе. Хранение пользователем паролей на материальном либо электронном носителе допускается только в личном сейфе владельца пароля, либо в сейфе у руководителя подразделения. При этом должны быть приняты меры, препятствующие компрометации пароля другими лицами (например, хранение в пенале, опечатанном личной печатью пользователя).

19. Запрещается входить в ЕАИС СОЦ МО под учетной записью и паролем другого пользователя.

VI. Действия в случае утери и компрометации пароля

20. В случае подозрения в компрометации пароля пользователя должна быть немедленно проведена внеплановая процедура смены пароля.

21. По факту компрометации пароля может быть проведено служебное расследование.

VII. Ответственность при организации парольной защиты

22. Каждый пользователь информационной системы ЕАИС СОЦ МО несет персональную ответственность за соблюдение требований настоящей Инструкции и за все действия, совершенные от имени его учетной записи в информационной системе ЕАИС СОЦ МО, если с его стороны не было предпринято необходимых действий для предотвращения компрометации пароля его учетной записи.

23. Ответственность за контроль проведения мероприятий по организации парольной защиты в информационной системе ЕАИС СОЦ МО возлагается на администратора безопасности информационной системы ЕАИС СОЦ МО.

24. За разглашение информации ограниченного доступа и нарушение порядка работы с информационной системой ЕАИС СОЦ МО, обрабатывающей информацию ограниченного доступа, государственные гражданские служащие могут быть привлечены к ответственности, предусмотренной законодательством Российской Федерации ответственности.

Утверждена

приказом министра
социального развития
Московской области
от 20.03.18 N 19П-89

Инструкция
пользователя государственной автоматизированной информационной системы обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области"

I. Общие положения

1. Настоящая инструкция пользователя информационной системы (далее - Инструкция) определяет общие права, обязанности и ответственность пользователей, допущенных к автоматизированной обработке персональных данных (далее - ПДн) в единой автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области" (далее - ЕАИС СОЦ МО), оператором которой является Министерство социального развития Московской области (далее - Оператор), - пользователей информационных систем (далее - ИС).

2. Пользователем ЕАИС СОЦ МО является сотрудник Оператора и (или) организации, эксплуатирующей эту государственную ИС, приказом руководителя своей организации допущенный к обработке ПДн и участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, программному обеспечению (далее - ПО), данным и средствам защиты (далее - СрЗИ) ИС. Порядок допуска к обработке ПДн представлен в Регламенте предоставления доступа ПДн.

3. Пользователь в своей работе руководствуется настоящей Инструкцией, положениями федеральных законов, нормативных и иных актов Российской Федерации, решениями и документами ФСТЭК России, ФСБ России, отраслевыми организационно - распорядительными документами и внутренними нормативными правовыми актами ЕАИС СОЦ МО по вопросам защиты ПДн.

4. Методическое руководство работой пользователя осуществляет администратор информационной безопасности информационных систем и информационных систем персональных данных (далее - администратор информационной безопасности) ЕАИС СОЦ МО, ответственный за защиту персональных данных.

5. Положения Инструкции обязательны для исполнения всеми пользователями ИС.

II. Общий порядок работы пользователей в информационных системах персональных данных

6. Перед началом обработки ПДн в ИС пользователь обязан убедиться в отсутствии в помещении посторонних лиц, не имеющих допуска к обработке ПДн, исключить неконтролируемый просмотр информации, выводимой на экран монитора и принтер. Пользователь ИС обязан выполнять требования Порядка доступа пользователей ЕАИС СОЦ МО в помещения, в которых ведется обработка персональных данных.

7. Вход пользователя в ИС осуществляется только после успешного прохождения процедуры идентификации и аутентификации в СрЗИ от несанкционированного доступа (НСД).

8. Пароль для доступа к ИС выдается администратором информационной безопасности ЕАИС СОЦ МО под роспись в Журнале учета паролей пользователей ИС.

9. Обработка ПДн и решение поставленных задач осуществляется пользователем в отведенное ему время в соответствии с правами доступа к ресурсам ИС, присвоенными ему администратором информационной безопасности ЕАИС СОЦ МО.

10. В процессе обработки ПДн пользователь создает файлы, содержащие ПДн, или записи в базе данных, вводит в них информацию, как с клавиатуры, так и другими способами, предусмотренными технологией обработки ПДн в ИС.

11. Установка общесистемного и специального программного обеспечения на автоматизированные рабочие места (АРМ) осуществляется пользователем совместно с системным администратором ЕАИС СОЦ МО в соответствии с правилами разрешительной системы доступа к информационным ресурсам, программным и техническим средствам объекта ИС.

12. Уничтожение и восстановление информации осуществляется в соответствии с Инструкцией по уничтожению (стиранию) или обезличиванию ПДн.

III. Ответственность пользователя информационных систем персональных данных

13. В процессе работы пользователь несет персональную ответственность:

за несоблюдение требований положений настоящей Инструкции, федеральных законов, нормативных и иных актов Российской Федерации, решений и документов ФСТЭК России, ФСБ России, отраслевых организационно-распорядительных документов в области обеспечения безопасности ПДн;

за необеспечение безопасности ПДн.

14. Пользователь несет дисциплинарную, административную или уголовную ответственность но действующему законодательству за разглашение защищаемых ПДн, ставших ему известными в рамках исполнения должностных обязанностей, за нарушение требований нормативных документов и настоящей Инструкции в соответствии с законодательством РФ.

IV. Функции, права и обязанности пользователя информационных систем персональных данных

15. Основными функциями пользователя при обработке ПДн являются:

решение функциональных задач по обработке ПДн, эксплуатация ИС и СрЗИ от НСД;

профилактика нарушений и ликвидация последствий нарушений.

16. Пользователь имеет право:

осуществлять обработку ПДн в целях решения поставленных задач в отведенное ему время в соответствии с должностными обязанностями, с правами доступа к ресурсам ИС, присвоенными ему администратором информационной безопасности ЕАИС СОЦ МО;

участвовать в разработке основных направлений и мероприятий по защите информации, перечня защищаемых ресурсов ИС, в анализе и выявлении возможных угроз безопасности ПДн, разработке модели угроз безопасности ПДн и адекватных требований по основным направлениям защиты ПДн, правил управления доступом к ресурсам системы, в разработке организационно-распорядительных документов по защите ПДн и т.д. в пределах своих полномочий;

прекращать обработку информации в случае нарушения функционирования ИС или средств и систем защиты информации;

взаимодействовать с ответственным за защиту персональных данных, администратором информационной безопасности по вопросам использования СрЗИ от НСД, обеспечения безопасности ПДн и предоставления ему прав доступа.

17. Пользователь обязан:

соблюдать требования действующих нормативных правовых и руководящих документов, а также внутриведомственных инструкций и распоряжений, регламентирующих порядок действий по защите ПДн;

знать свои права и порядок доступа к ресурсам ИС;

знать перечень функциональных своих функциональных обязанностей и задач в ИС;

знать применяемые для обработки ПДн информационные технологии, состав и правила пользования программно-аппаратными СрЗИ, правила эксплуатации программно-аппаратных СрЗИ в ИС;

обеспечивать функционирование и поддерживать работоспособность СрЗИ ИС в пределах, возложенных на него функций;

осуществлять ведение и хранение своей документации по вопросам обработки и обеспечение безопасности ПДн;

проводить в установленном порядке техническое обслуживание элементов ИС и других технических средств, находящихся в его ведении;

докладывать руководителю подразделения, ответственному за защиту' персональных данных и администратору информационной безопасности ЕАИС СОЦ МО о фактах и попытках нарушения защиты ИС, попытках НСД к информационным ресурсам ИС и о фактах нарушения установленного порядка работ (в частности, при подозрении компрометации личных паролей, при обнаружении нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах ИС или иных фактов совершения в его отсутствие попыток НСД к ИС, о несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИС, об отклонениях в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ИС, выхода из строя или неустойчивого функционирования узлов ИС или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, о некорректном функционировании установленных в ИС СрЗИ и т.д.);

в случае отказа работоспособности технических средств и программного обеспечения, в том числе средств защиты, совместно с ответственным за защиту персональных данных, администратором информационной безопасности ЕАИС СОЦ МО принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности;

не допускать установку и использование в ИС программных средств, не связанных с выполнением функциональных задач;

выполнять требования парольной политики и требований по антивирусной защите в ИС, проводить тестирование на отсутствие компьютерных вирусов при включении АРМ и при использовании машинных накопителей информации;

включать временную блокировку экрана и клавиатуры при кратковременном оставлении рабочего места;

в случае необходимости передавать для хранения реквизиты разграничения доступа только ответственному за защиту персональных данных или администратору информационной безопасности ЕАИС СОЦ МО.

18. Пользователю запрещается:

выполнять операции, не предусмотренные технологическим процессом обработки информации в ИС, использовать при работе неучтенные носители информации и средства, не входящие в состав ИС;

вносить несанкционированные изменения в состав программного обеспечения ИС;

отключать (блокировать) программные и аппаратные СрЗИ от НСД; фиксировать свои учетные данные (пароли, идентификаторы, ключи и др.) на твердых носителях, а также сообщать их посторонним лицам;

оставлять бесконтрольно во время работы АРМ, передавать другим лицам носители информации и выносить их за пределы помещения, в котором разрешена обработка ПДн;

обрабатывать информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя;

использовать компоненты программного и аппаратного обеспечения ИС в неслужебных целях;

самовольно производить сборку, разборку, установку, техническое обслуживание и ремонт аппаратных средств ИС;

работать на АРМ при обнаружении неисправностей; подключать к АРМ личные внешние носители и мобильные устройства; производить загрузку АРМ со съемных загрузочных устройств;

использовать машинные носители информации с выявленными неисправностями.

Утверждены

приказом министра
социального развития
Московской области
от 20.03.18 N 19П-89

Формы
описания разрешительной системы доступа пользователей к государственной автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области"

I. Состав информационной системы

Единая автоматизированная информационная система обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области" (далее - ЕАИС СОЦ МО) является территориально-распределенной автоматизированной информационно-управляющей системой, создаваемой в границах Московской области.

ЕАИС СОЦ МО выделен следующий набор типовых сегментов:

1.5.3. "Сервер приложений".

2.6.3. "АРМ пользователя информационной системы".

1. К работе в типовом сегменте 1.5.3 "Сервер приложений":

N п/п	Должность	Ф.И.О.	Идентификатор	Права доступа (роль пользователя)
1
2

2. К работе в типовом сегменте 2.6.3 "АРМ пользователя информационной системы" допущены:

N п/п	Должность	Ф.И.О.	Идентификатор	Права доступа (роль пользователя)
1
2

II. Перечень защищаемых ресурсов информационной системы

N п/п	Наименование (тип) ресурса (включая установленное программное обеспечение)	Примечание
1	База данных ЕАИС СОЦ МО
2	Средства настройки и управления системы защиты информации ЕАИС СОЦ МО, реализующие меры: - идентификации и аутентификации субъектов доступа и объектов доступа; - управления доступом субъектов доступа к объектам доступа; - ограничения программной среды; - защиты машинных носителей информации; - регистрации событий безопасности; - антивирусной защиты; - контроля (анализа) защищенности информации; - обеспечения целостности информационной системы и информации; - обеспечения доступности информации; - защиты среды виртуализации; - защиты технических средств; - защиты информационной системы, ее средств, систем связи и передачи данных
3	Устройства ввода-вывода АРМ: - доступ к приводу НГМД; - доступ к DVD-RW приводу; - USB-порты

III. Разрешительная система доступа к защищаемым ресурсам

N п/п	Наименование (тип) ресурса	Права пользователей по доступу к ресурсам
		1.5.3 "Сервер приложений"			2.6.3 "АРМ пользователя информационной системы"
		Администратор безопасности	Администратор ИС	Пользователь	Администратор безопасности	Администратор ИС	Пользователь
1	База данных		REWA			REWA
2	Средства настройки и управления системы защиты информации ЕАИС СОЦ МО	REWA			REWA
3	Устройства ввода-вывода АРМ	REWA		RW	REWA		RW

Примечание:

R - читать;

E - исполнять;

W - записывать;

A - добавлять (создавать) файлы.

Утверждено

приказом министра
социального развития
Московской области
от 20.03.18 N 19П-89

Описание
технологического процесса доступа к информации в государственной автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области"

I. Общие сведения

Объектом описания является единая автоматизированная информационная система обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области" (далее - ЕАИС СОЦ МО).

В ЕАИС СОЦ МО обрабатывается открытая информация и информация, ограниченного доступа, не содержащая сведения, составляющие государственную тайну.

Технические средства ЕАИС СОЦ МО расположены по адресам:

Московская область, г. Красногорск, бульвар Строителей, дом 1;

г. Москва, ул. Кулакова, д. 20, к. 1.

В соответствии с положениями требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утвержденных приказом ФСТЭК России от 11 февраля 2013 года N 17), в ЕАИС СОЦ МО выделены типовые сегменты.

Сегмент считается соответствующим одному типу, если для указанных сегментов установлены:

одинаковые классы защищенности;

одинаковые угрозы безопасности информации;

реализованы одинаковые проектные решения по ИС;

реализованы одинаковые проектные решения по СЗИ ИС.

Сегмент ЕАИС СОЦ МО - это совокупность:

информационных ресурсов, содержащихся в базах данных;

серверного оборудования, поддерживающего функционирование БД, хранение информационных ресурсов и обеспечивающего взаимодействие технических средств между собой и с информационными ресурсами;

технических средств и каналов связи, обеспечивающих доступ к информационным ресурсам;

технических средств, непосредственно получающих доступ к информационным ресурсам;

технологий получения и обработки информационных ресурсов, описывающих полный технологический процесс получения и обработки информации.

Сегменты информационной системы, относящиеся к одному типу, - это сегменты, имеющие одинаковые:

роли пользователей с точки зрения доступа к информационным ресурсам;

назначение серверного оборудования с точки зрения поддержания функционирования баз данных, хранения информационных ресурсов и обеспечивающего взаимодействие технических средств между собой и с информационными ресурсами;

классы защищенности/уровни защищенности/классы ИСОП;

актуальные угрозы безопасности информации.

В ЕАИС СОЦ МО выделен следующий набор типовых сегментов:

типовой сегмент "Сервер приложений";

типовой сегмент "АРМ пользователя информационной системы".

Сведения о назначении типовых сегментов ЕАИС СОЦ МО приведены в таблице 1.

Таблица 1 - Сведения о назначении типовых сегментов ЕАИС СОЦ МО

N п/п	Типовой сегмент	Назначение типового сегмента
1	Сервер приложений	Предназначен для хранения и предоставления доступа к информации ограниченного доступа операторам
2	АРМ пользователя информационной системы	Предназначен для обработки информации ограниченного доступа операторами

Таблица 2 - Перечень объектов ЕАИС СОЦ МО

N п/п	Компонент ИС	Адрес физического нахождения
1	Сервер ЕАИС СОЦ МО, расположенный в виртуальной инфраструктуре ЦОД ДПМО-1	Московская область, г. Красногорск, бульвар Строителей, дом 1
2	АРМ пользователя ЕАИС СОЦ МО	г. Москва, ул. Кулакова, д. 20, к. 1

II. Перечень субъектов доступа и уровней их полномочий

Субъектами доступа ЕАИС СОЦ МО являются роли пользователей, которые определяются с учетом прав и цели доступа к информационным ресурсам.

Роли пользователей:

администратор безопасности информации;

пользователь.

III. Перечень объектов доступа

Оператором ЕАИС СОЦ МО является Министерство социального развития Московской области (далее - Оператор).

Объектами доступа является информация, обрабатываемая в информационных системах.

Максимальный класс защищенности информационных систем, функционирующих в ЕАИС СОЦ МО и его сегментах, - КЗ, максимальный уровень защищенности ПДн, обрабатываемых в информационных системах, - УЗЗ.

В ЕАИС СОЦ МО обрабатывается открытая информация и информация, ограниченного доступа, не содержащая сведения, составляющие государственную тайну, - персональные данные более 100000 субъектов, не являющихся сотрудниками Оператора.

IV. Режимы обработки информации

Типизация условий эксплуатации приведена в таблице 3.

Таблица 3 Типизация условий информации

	Условия эксплуатации	Показатель
	Технологии получения информации
1	Канал за пределами	Оптоволоконные линии
	Контролируемой зоны	Internet
2	Наличие технологии проводного соединения	Ethernet
3	Использование машинных носителей информации	С flash-диска
		Без flash-диска
	Технологии обработки информации
5	Использование прикладного ПО для обработки информации	Web-браузер
6	Возможность обработки информации техническими средствами, находящимися за пределами	Стационарный ПК
7	Используемое системное программное обеспечение	На базе Windows, на базе Linux

V. Особенности обработки, хранения, удаления информации, а также доступа к информации

Доступ к ЕАИС СОЦ МО осуществляется при помощи:

шифрованного канала передачи данных через сети связи общего пользования;

линий связи сети Правительства Московской области.

Режим обработки информации:

однопользовательский;

многопользовательский.

Основным принципом обеспечения отказоустойчивости является принцип дублирования всех основных компонентов системы. Обеспечивается это резервированием практически всех составляющих инфраструктуры, в том числе сетевых и серверных.

Достижение высокой степени отказоустойчивости уровня ядра сетевой инфраструктуры и подключений к нему достигается за счет:

полного резервирования оборудования серверного сегмента ЕАИС СОЦ МО на каждой площадке ЦОД ДПМО-1;

полного резервирования подключений к уровню канальной агрегации ЕАИС СОЦ МО;

полного резервирования подключений клиентского сегмента ЕАИС СОЦ МО к серверному сегменту ЕАИС СОЦ МО.

В ЕАИС СОЦ МО применяются организационные меры по защите материальных носителей информации и средств вычислительной техники, участвующих в обработке информации ограниченного доступа.

В целях определения требований по выполнению организационных мер по защите материальных носителей информации и средств вычислительной техники, участвующих в обработке информации ограниченного доступа, утвержден документ "Положение о порядке учета, хранения и обращения со съемными носителями персональных данных", в котором описаны действия со съемными носителями.

Организационные и технические меры по защите материальных носителей информации и средств вычислительной техники, участвующих в обработке информации ограниченного доступа, и порядок выполнения данных мер должны быть определены на этапе технического проектирования системы защиты информации ЕАИС СОЦ МО.

Схема ЕАИС СОЦ МО представлена на рисунке 1.

VI. Информация о путях и способах поступления информации в информационную систему и ее сегменты

Коммутация и взаимодействие серверного сегмента и клиентского сегмента происходят при помощи оптических линий связи.

Доступ к ЕАИС СОЦ МО получают органы государственной исполнительной власти Московской области, а также подведомственные Министерству социального развития Московской области организации.

Доступ к ЕАИС СОЦ МО осуществляется при помощи:

шифрованного канала передачи данных через сети связи общего пользования;

линий связи Правительства Московской области.

Линии связи Правительства Московской области представляют собой выделенную линию связи провайдера типа "dark fiber". Активное оборудование является оборудованием оператора ЕАИС СОЦ МО и находится в пределах контролируемой зоны ЕАИС СОЦ МО.

Утверждено

приказом министра
социального развития
Московской области
от 20.03.18 N 19П-89

Положение
о защите конфиденциальной информации при ее автоматизированной обработке в Министерстве социального развития Московской области

I. Общие положения

1. Настоящее Положение определяет условия и порядок обработки и защиты конфиденциальной информации - информации ограниченного доступа, не составляющей государственную тайну (далее - информация ограниченного доступа), в информационных системах (далее - ИС) Министерства социального развития Московской области.

2. К информации ограниченного доступа в ИС Министерства социального развития Московской области относятся:

персональные данные;

информация с ограничительной пометкой "для служебного пользования";

иная информация ограниченного доступа, доступ к которой ограничен федеральным или региональным законодательством.

3. Информация ограниченного доступа обрабатывается в структурных подразделениях Министерства социального развития Московской области в следующих видах ИС:

государственных ИС;

информационных системах персональных данных (далее - ИСПДн);

иных ИС.

4. Перечень нормативных правовых актов, регламентирующих требования к иным ИС, в которых обрабатывается информация неограниченного доступа, и являющихся информационными системами общего доступа, приведен в приложении к настоящему Положению.

5. Положение разработано на основании:

Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";

Федерального закона от 9 февраля 2009 года N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления";

Указа Президента Российской Федерации от 17 марта 2008 года N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";

Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 5 декабря 2016 года N 646;

постановления Правительства РФ от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

приказа ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

приказа ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

6. Требования Положения обязательны для исполнения всеми сотрудниками и работниками, допущенными к обработке информации ограниченного доступа, обрабатываемой в ИС Министерства социального развития Московской области.

II. Принципы и условия защиты информации ограниченного доступа

7. Основными целями защиты информации ограниченного доступа, обрабатываемой в ИС Министерства социального развития Московской области, являются:

обеспечение защиты информации ограниченного доступа от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;

реализация права сотрудников Министерства социального развития Московской области, а также внешних пользователей на доступ к информации.

8. Основными направлениями защиты информации ограниченного доступа в рамках обеспечения информационной безопасности в Министерстве социального развития Московской области являются:

противодействие использованию информационных технологий, используемых в Министерстве социального развития Московской области, для пропаганды экстремистской идеологии, распространения ксенофобии, идей национальной исключительности в целях подрыва суверенитета, политической и социальной стабильности, насильственного изменения конституционного строя, нарушения территориальной целостности Российской Федерации;

повышение безопасности функционирования объектов информационной инфраструктуры, в том числе в целях обеспечения устойчивого взаимодействия государственных органов, а также обеспечения безопасности информации, передаваемой по ней и обрабатываемой в ИС Министерства социального развития Московской области на территории Российской Федерации;

обеспечение защиты информации ограниченного доступа и распространения, в том числе за счет повышения защищенности информационных технологий, используемых Министерством социального развития Московской области;

повышение эффективности информационного обеспечения реализации государственной политики Российской Федерации в рамках задач, возложенных на Министерство социального развития Московской области.

9. Основными угрозами безопасности информации ограниченного доступа, обрабатываемой в ИС Министерства социального развития Московской области, являются:

угроза внедрения в ИС вредоносных программ;

угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации;

угроза обхода некорректно настроенных механизмов аутентификации;

угроза несанкционированного удаления защищаемой информации.

10. Министерство социального развития Московской области, как оператор собственных ИС, вправе поручить обработку информации ограниченного доступа другому лицу, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку информации ограниченного доступа по поручению Министерства социального развития Московской области, обязано соблюдать принципы и правила обработки информации ограниченного доступа в части соответствующего вида тайны (видов тайн).

11. Трансграничная передача информации ограниченного доступа на территорию иностранных государств из ИС Министерства социального развития Московской области не осуществляется.

III. Методы защиты информации

12. Основными методами защиты информации ограниченного доступа, обрабатываемой в ИС Министерства социального развития Московской области, являются следующие:

1) разработка локальных актов и инструкций по обеспечению безопасности информации ограниченного доступа и регламентации процедур конфиденциального делопроизводства;

2) заключение соглашений (в том числе трудовых) с условием о сохранении и обеспечении конфиденциальности информации ограниченного доступа;

3) ограничение доступа к информации ограниченного доступа, оформление допуска к такой информации, а также учет лиц, получающих доступ к такой информации;

4) организация работы персонала с информацией ограниченного доступа, в том числе с материальными носителями такой информации;

5) организация обучения и проверки знаний по обеспечению режима конфиденциальности информации ограниченного доступа;

6) установление степени конфиденциальности информации и регламентация нанесения соответствующих ограничительных пометок на носители информации ограниченного доступа;

7) принятие необходимых технических мер, направленных на ограничение доступа посторонних лиц к защищаемой информации:

межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов;

использование сертифицированных средств защиты информации, обеспечивающих целостность и доступность, в том числе криптографических;

использование электронных замков, персональных средств идентификации и аутентификации, других носителей информации для надежной идентификации, аутентификации и разграничения доступа сотрудников Министерства социального развития Московской области;

использование сертифицированных средств антивирусной защиты информации с актуальными базами антивирусных сигнатур;

анализ защищенности, предполагающий применение специализированных программных средств (сканеров безопасности);

шифрование информации при ее передаче по незащищенным каналам связи.

13. Допуск к информации ограниченного доступа включает в себя:

ознакомление работника с законодательством о защите информации, об ответственности за его нарушение и с локальными актами о защите информации ограниченного доступа Министерства социального развития Московской области;

принятие работником на себя обязанности по обеспечению конфиденциальности информации, полученной при осуществлении своих должностных обязанностей в Министерстве социального развития Московской области, а также после прекращения служебных отношений на период действия режима конфиденциальности данной информации;

прохождение обучения и проверки знаний требований по обеспечению конфиденциальности информации ограниченного доступа.

14. Для получения доступа к информации ограниченного доступа необходимо пройти процедуру допуска. Процедура допуска осуществляется до подписания трудового договора.

15. В трудовые договоры лиц, принимаемых на работу в Министерство социального развития Московской области, а также его подведомственных организаций, связанную с получением, обработкой, хранением, передачей и использованием информации ограниченного доступа, включается условие об обеспечении конфиденциальности таких сведений. Обязанности работника об обеспечении конфиденциальности оформляются также обязательством о неразглашении служебной тайны.

16. При обработке информации ограниченного доступа, обрабатываемой в ИС Министерства социального развития Московской области, запрещается:

проводить обработку информации ограниченного доступа без выполнения всех мероприятий по защите информации;

подключать к основным техническим средствам нештатные блоки и устройства;

вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники;

допускать к обработке информации ограниченного доступа лиц, не оформленных в установленном порядке;

производить копирование (вывод) защищаемой информации ограниченного доступа на неучтенные носители информации, в том числе для временного хранения информации.

IV. Обязанности сотрудников по защите информации

17. Непосредственное руководство работами по защите информации ограниченного доступа, обрабатываемой в ИС Министерства социального развития Московской области, осуществляет заместитель начальника Управления - заведующий отделом автоматизации и информационного взаимодействия Управления информационных ресурсов, который назначается соответствующим приказом министра социального развития Московской области и несет персональную ответственность за организацию и координацию работ по защите информации ограниченного доступа в Министерстве социального развития Московской области в целом.

18. Ответственные за защиту информации ограниченного доступа в соответствующих подразделениях (подведомственных организациях) Министерства социального развития Московской области назначаются из числа руководителей (или их заместителей) подразделений (подведомственных организаций) и несут персональную ответственность за:

защиту информации в ИС своего подразделения (подведомственной организации) Министерства социального развития Московской области, руководствуясь в своей деятельности законодательством Российской Федерации в области информации, информационных технологий и защиты информации;

организацию обработки персональных данных в ИСПДн своего подразделения (подведомственной организации) Министерства социального развития Московской области, руководствуясь в своей деятельности законодательством Российской Федерации в области персональных данных, а также политикой обработки и защиты персональных данных в Министерстве социального развития Московской области.

19. Администраторы безопасности ИС (ИСПДн) Министерства социального развития Московской области несут персональную ответственность за обеспечение бесперебойной эксплуатации и администрирование серверов вычислительной сети Министерства социального развития Московской области, администрирование автоматизированных рабочих мест, а также сетевого оборудования и средств защиты информации Министерства социального развития Московской области, руководствуясь в своей деятельности соответствующей Инструкцией.

20. Администраторы ИС (ИСПДн) Министерства социального развития Московской области несут персональную ответственность за обеспечение возможности эксплуатации ИС (ИСПДн) и актуализацию организационно-распорядительных документов по защите информации, обрабатываемой ИС (ИСПДн), руководствуясь в своей деятельности соответствующей Инструкцией.

21. Пользователи (операторы автоматизированных рабочих мест, на которых обрабатывается информация ограниченного доступа) ИС (ИСПДн) Министерства социального развития Московской области несут персональную ответственность за поддержание установленного уровня защищенности информации, обрабатываемой ими на своем автоматизированном рабочем месте, закрепленном за ними соответствующим приказом, руководствуясь в своей деятельности соответствующей Инструкцией.

V. Общие обязанности работников по защите ограниченного доступа

22. Работники Министерства социального развития Московской области, получившие доступ к информации ограниченного доступа, обязуются обеспечивать конфиденциальность такой информации.

23. Обеспечивая защиту информации ограниченного доступа, работник обязуется:

знать и соблюдать требования по получению, обработке, передаче, хранению, информации ограниченного доступа, предусмотренные нормативными правовыми актами, коллективным договором, соглашениями, должностной инструкцией, нормативными актами Министерства социального развития Московской области и трудовым договором;

принимать меры по установлению и сохранению режима конфиденциальности, предусмотренные нормативными правовыми актами, коллективным договором, соглашениями, должностной инструкцией, нормативными актами Министерства социального развития Московской области и трудовым договором;

не использовать информацию ограниченного доступа в целях, не связанных с осуществлением трудовой функции;

не разглашать информацию ограниченного доступа, а также не совершать иных деяний, влекущих уничтожение или утрату такой информации;

незамедлительно сообщать об утрате или несанкционированном уничтожении информации ограниченного доступа своему непосредственному руководителю, а также об иных обстоятельствах, создающих угрозу сохранения конфиденциальности такой информации.

24. Работники обязаны проходить обучение и проверку знаний требований по защите (обеспечению безопасности) информации ограниченного доступа не реже чем 1 раз в 3 года.

25. При прекращении трудовых отношений с Министерством социального развития Московской области работник обязан сдать все материальные носители информации ограниченного доступа, а также ключи от помещений и шкафов, в которых они хранятся.

VI. Планирование работ по защите информации ограниченного доступа

26. Работа по защите информации ограниченного доступа в Министерства социального развития Московской области в целом проводится в рамках выполнения годовых планов работы Министерства социального развития Московской области, утверждаемых министром социального развития Московской области.

27. При разработке раздела по защите информации ограниченного доступа плана работ рассматривают необходимость включения следующих мероприятий:

выполнение решений ФСБ России, ФСТЭК России и Роскомнадзора;

уточнение перечня угроз безопасности информации, обрабатываемой в ИС (ИСПДн) Министерства социального развития Московской области;

уточнение классов защищенности ИС (уровней защищенности персональных данных, обрабатываемых в ИСПДн) Министерства социального развития Московской области;

аттестация ИС (ИСПДн) Министерства социального развития Московской области на соответствие требованиям безопасности информации;

разработка, корректировка и согласование организационно-методических документов, планов, отчетов по защите информации;

проверка соответствия принимаемых мер по обеспечению безопасности информации ограниченного доступа в ИС (ИСПДн) Министерства социального развития Московской области требованиям нормативных правовых актов и методических документов в области информации, информационных технологий и защиты информации, а также в области персональных данных;

периодическое обследование аппаратных и программных средств ИС (ИСПДн) Министерства социального развития Московской области, средств защиты информации на предмет несоответствия условиям их эксплуатации, указанным в аттестатах соответствия ИС (ИСПДн) требованиям безопасности информации.

Для каждого мероприятия устанавливаются срок исполнения, ответственный за исполнение, ответственный за контроль, отметка о выполнении.

Обеспечение безопасности информации считается эффективным, если принимаемые меры соответствуют установленным требованиям и нормам. Результаты проверки фиксируются документально.

28. Работа по защите информации ограниченного доступа в каждом конкретном подразделении (подведомственной организации) Министерства социального развития Московской области проводится в рамках выполнения годовых планов мероприятий по защите информации ограниченного доступа, создаваемых в этих подразделениях Министерства социального развития Московской области, утверждаемых руководителем этого подразделения (подведомственной организации) и согласованных с утвержденным планом работы Министерства социального развития Московской области на соответствующий год.

VII. Мероприятия по обеспечению безопасности информации ограниченного доступа

29. Безопасность персональных данных, обрабатываемых ИС Министерства социального развития Московской области, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.

30. Для целенаправленного создания в ИС (ИСПДн) Министерства социального развития Московской области неблагоприятных условий и трудно преодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к информации ограниченного доступа в целях овладения ей, ее видоизменения, уничтожения, подмены и совершения иных несанкционированных действий в ИС Министерства социального развития Московской области применяются следующие организационно-технические меры:

назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности информации ограниченного доступа;

ограничение и регламентация состава работников, имеющих доступ к информации ограниченного доступа;

ознакомление работников с требованиями федерального законодательства и нормативных документов ИС (ИСПДн) Министерства социального развития Московской области по обработке и защите информации ограниченного доступа;

обеспечение учета и хранения материальных носителей информации ограниченного доступа и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

определение угроз безопасности информации ограниченного доступа при их обработке, формирование на их основе моделей угроз;

разработка на основе модели угроз системы защиты информации для соответствующего класса защищенности ИС (уровня защищенности персональных данных, обрабатываемых в ИСПДн) Министерства социального развития Московской области;

проверка готовности и эффективности использования средств защиты информации;

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей информации ограниченного доступа;

регистрация событий безопасности;

антивирусная защита;

обнаружение и предотвращение вторжений;

контроль (анализ) защищенности информации ограниченного доступа;

обеспечение целостности информационной системы и информации ограниченного доступа;

обеспечение доступности информации ограниченного доступа;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи информации ограниченного доступа;

криптографическая защита информации ограниченного доступа, передаваемой по незащищенным каналам связи;

управление системой защиты информации ограниченного доступа;

обучение работников, использующих средства защиты информации, применяемые в ИС (ИСПДн) Министерства социального развития Московской области, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности информации ограниченного доступа;

размещение технических средств обработки информации ограниченного доступа в пределах охраняемой территории;

допуск в помещения ИС (ИСПДн) Министерства социального развития Московской области в соответствии со списком допущенных сотрудников;

поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности;

осуществление информационного взаимодействия с иными информационными системами только при наличии гарантий обеспечения безопасности информации ограниченного доступа при их обработке в этих системах, а также при их передаче в канале связи.

VIII. Контроль состояния защиты информации

31. Контроль состояния защиты информации - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях исключения или существенного затруднения НСД к информации, хищения технических средств и носителей информации; предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации и работоспособности аппаратных средств ИС (ИСПДн) Министерства социального развития Московской области.

32. Основными задачами контроля являются:

проверка выполнения установленных норм и требований по обеспечению безопасности информации оператором, учета требований по их защите в разрабатываемых документах;

уточнение возможных каналов НСД к ИС (ИСПДн) Министерства социального развития Московской области и программно-технических воздействий на аппаратные и программные элементы ИС (ИСПДн) Министерства социального развития Московской области;

оценка достаточности и эффективности принимаемых мер по обеспечению безопасности информации;

проверка надлежащего использования средств защиты информации;

проверка выполнения требований по подсистемам СЗИ;

оперативное принятие мер по пресечению нарушений требований к обеспечению безопасности информации в ИС (ИСПДн) Министерства социального развития Московской области;

разработка предложений по устранению (нейтрализации) угроз безопасности информации, обрабатываемых в ИС (ИСПДн) Министерства социального развития Московской области.

33. В ходе контроля проверяются:

соответствие принятых мер установленным нормам и требованиям безопасности информации;

своевременность и полнота выполнения требований настоящего Положения и других руководящих документов по обеспечению безопасности информации;

полнота выявления возможных каналов НСД к ней и программно-технических воздействий на ИС (ИСПДн) Министерства социального развития Московской области (ее элементы);

эффективность применения организационных и технических мероприятий по обеспечению безопасности информации;

устранение ранее выявленных недостатков.

34. Контроль за соблюдением установленных требований безопасности информации осуществляется путем обследования ИС (ИСПДн) Министерства социального развития Московской области.

35. Контроль осуществляется:

комиссией Министерства социального развития Московской области - ежегодно;

ответственными за защиту информации ограниченного доступа в соответствующих подразделениях (подведомственных организациях) в своем подразделении (подведомственной организации) Министерства социального развития Московской области - внепланово (на регулярной основе);

пользователями ИС (ИСПДн) Министерства социального развития Московской области - в конце рабочего дня в случае, если в этот день происходила обработка информации ограниченного доступа.

36. В ходе проведения контроля проверяется:

соответствие класса защищенности ИС (уровней защищенности персональных данных, обрабатываемых в ИСПДн) Министерства социального развития Московской области, указанного в акте классификации (акте определения уровня защищенности персональных данных), условиям, сложившимся на момент проверки;

выполнение условий эксплуатации и требований, изложенных в аттестате соответствия (при его наличии);

выполнение требований по защите информации от НСД.

37. По результатам контроля состояния защиты информации, обрабатываемой в ИС (ИСПДн) Министерства социального развития Московской области, издается соответствующий акт. При выявлении невыполнения требований по защите информации в ИС (ИСПДн) Министерства социального развития Московской области работа на данном объекте ИС (ИСПДн) Министерства социального развития Московской области приостанавливается. Возобновление работы на данном объекте ИС (ИСПДн) Министерства социального развития Московской области разрешается только после устранения выявленных недостатков.

IX. Ответственность за нарушение безопасности информации ограниченного доступа

38. К видам нарушений безопасности информации ограниченного доступа относятся:

разглашение информации ограниченного доступа;

неправомерное использование информации ограниченного доступа;

утрата документов и иных материальных носителей, содержащих информацию ограниченного доступа;

неправомерное уничтожение документов, содержащих информацию ограниченного доступа;

нарушение требований хранения документов, содержащих информацию ограниченного доступа;

другие нарушения требований законодательства и настоящего Положения.

39. За разглашение информации ограниченного доступа, а также за нарушение порядка обращения с документами, содержащими такую информацию, несет ответственность в порядке, установленном законодательством РФ.

X. Заключительные положения

Иные права и обязанности работников Министерства социального развития Московской области, как оператора информационных систем, в которых происходит обработка информации ограниченного доступа, определяются законодательством Российской Федерации в области защиты информации и персональных данных.

Приложение

к Положению о защите конфиденциальной

информации при ее автоматизированной

обработке в Министерстве социального

развития Московской области

Перечень
нормативных правовых актов, регламентирующих требования к иным информационным системам общего доступа

1. Указ Президента Российской Федерации от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена".

2. Постановление Правительства Российской Федерации от 08.06.2011 N 451 "Об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме".

3. Приказ Минкомсвязи России от 02.09.2011 N 221 "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения".

4. Приказ Минкомсвязи России от 23 июня 2015 г. N 210 "Об утверждении технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия".

5. Приказ Минкомсвязи России от 25 августа 2009 г. N 104 "Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования".

6. Приказ Минкомсвязи России от 27.06.2013 N 149 "Об утверждении требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети Интернет в форме открытых данных, а также для обеспечения ее использования".

7. Приказ ФСБ России и ФСТЭК России от 31.08.2010 N 416/489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования".

Утверждены

приказом министра
социального развития
Московской области
от 20.03.18 N 19П-89

Правила
подключения и взаимодействия с сетями общего пользования в государственной информационной системе единая автоматизированная информационная система обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области"

I. Общие сведения

1. Настоящие правила определяют порядок подключения к единой автоматизированной информационной системе обеспечения социальной защиты и социального обслуживания населения Московской области "Социальная защита и социальное обслуживание населения Московской области" (далее - ЕАИС СОЦ МО) Министерства социального развития Московской области и организации доступа к ресурсам и сервисам к сетям общего пользования типа Интернет (далее - Сети), а также общие правила взаимодействия и безопасного использования общедоступных информационных ресурсов Сети.

2. Требования настоящих правил распространяются на всех пользователей ЕАИС СОЦ МО, использующих Сети общего пользования, а также на ответственных за предоставление и контроль доступа пользователей к Сети, администрирование оборудования и программного обеспечения (ПО), используемого для взаимодействия с сетью Интернет.

3. Доступ к ресурсам Сети предоставляется пользователям исключительно в целях исполнения ими служебных обязанностей, включая поиск информации, сбор данных, повышение квалификации и т.п.

4. Доступ к ресурсам Сети может быть заблокирован без предварительного уведомления при возникновении нештатных ситуаций.

5. Установка и изменение конфигурации ПО, установленного на серверах, предназначенного для взаимодействия с Сетью, должны выполняться по согласованию с администратором безопасности ЕАИС СОЦ МО.

6. Установку и изменение конфигурации клиентского программного обеспечения (интернет-браузеры, клиенты FTP и др.), предназначенного для взаимодействия с сетью общего пользования, выполняет администратор ЕАИС СОЦ МО.

7. При обнаружении фактов использования нерекомендованного ПО администратор безопасности ЕАИС СОЦ МО обязан отключить рабочее место сотрудника от Сети, поставить об этом в известность непосредственного руководителя данного сотрудника и администратора ЕАИС СОЦ МО.

8. При предоставлении сотрудникам информационных сервисов следует исходить из принципа минимальных привилегий, т.е. предоставление доступа к Сети только тем сотрудникам, доступ которым к сети необходим в связи с выполнением служебных обязанностей. Перечень предоставляемых прикладных сервисов должен ограничиваться следующими протоколами прикладного уровня: FTP, HTTP, HTTPS.

9. Доступ пользователей к серверам Сети по протоколам SMTP, POP3, IMAP4, Telnet предоставляется по согласованию с администратором безопасности ЕАИС СОЦ МО.

10. В целях выявления нарушений требований безопасности администратор безопасности ЕАИС СОЦ МО осуществляет полный мониторинг принимаемой из Сети и передаваемой в Сеть информации (в том числе на наличие вредоносного ПО).

11. В случае наличия угрозы безопасности либо осуществления сетевой атаки со стороны Сети администратор безопасности ЕАИС СОЦ МО имеет право заблокировать любые сетевые соединения для предотвращения причинения возможного ущерба ЕАИС СОЦ МО.

II. Правила подключении к Сети

12. Подключение ЕАИС СОЦ МО к Сети осуществляется по решению лица, ответственного за защиту информации оператора, на основании соответствующего обоснования.

13. Обоснование необходимости подключения ИС к Сети должно содержать:

наименование Сети, к которой осуществляется подключение, и реквизиты организации - владельца Сети и провайдера Сети;

состав технических средств для оборудования ИС;

предполагаемые виды работ и используемые прикладные сервисы Сети (e-mail, FTP, Telnet, HTTP и т.п.) для ИС в целом и для каждого абонента в частности;

режим подключения ИС и абонентов к Сети (постоянный, в т.ч. круглосуточный, временный);

состав общего и телекоммуникационного программного обеспечения ИС и абонентов (ОС, клиентские прикладные программы для сети - Browsers и т.п.);

число и перечень предполагаемых абонентов (диапазон используемых IP-адресов);

меры и средства защиты информации от НСД, которые будут применяться на ИС, организация-изготовитель, сведения о сертификации, установщик, конфигурация, правила работы с ними;

перечень сведений конфиденциального характера, обрабатываемых (хранимых) на ИС, подлежащих передаче и получаемых из Сети.

14. Право подключения ИС Министерства социального развития Московской области к Сети без использования средств защиты информации от НСД может быть реализовано только в случае обработки на ИС открытой информации, оформленной в установленном порядке как разрешенной к открытому опубликованию. В этом случае к ИС, представляющим собой автономную ПЭВМ с модемом, специальные требования по защите информации от НСД не предъявляются.

15. Подключение к Сети ИС, представляющих собой внутренние (локальные) вычислительные сети, на которых обрабатывается информация ограниченного доступа, разрешается только после установки и настройки на ИС средств защиты информации от НСД, отвечающих требованиям и рекомендациям по защите информации.

16. Подключение ИС к Сети должно осуществляться в установленном порядке через провайдера Сети.

17. Доступ к межсетевому экрану (далее - МЭ), к средствам его конфигурирования должен осуществляться только выделенным администратором с консоли. Средства удаленного управления МЭ должны быть исключены из конфигурации.

18. ИС с помощью МЭ должен обеспечивать создание сеансов связи абонентов с внешними серверами Сети и получать с этих серверов только ответы на запросы абонентов. Настройка МЭ должна обеспечивать отказ в обслуживании любых внешних запросов, которые могут направляться на ИС.

19. При использовании почтового сервера и Web-сервера предприятия последние не должны входить в состав ЛВС ИС и должны подключаться к Сети по отдельному сетевому фрагменту (через маршрутизатор).

20. На технических средствах ИС должно находиться программное обеспечение только в той конфигурации, которая необходима для выполнения работ, заявленных в обосновании необходимости подключения ИС к Сети (обоснование может корректироваться в установленном на предприятии порядке).

21. Не допускается активизация не включенных в обоснование прикладных серверов (протоколов) и не требующих привязок протоколов к портам.

22. Установку программного обеспечения, обеспечивающего функционирование ИС, должны выполнять уполномоченные специалисты под контролем администратора. Абоненты ИС не имеют права производить самостоятельную установку и модификацию указанного программного обеспечения, однако могут обращаться к администратору для проведения его экспертизы на предмет улучшения характеристик, наличия вирусов, замаскированных возможностей выполнения непредусмотренных действий. Вся ответственность за использование не прошедшего экспертизу и не рекомендованного к использованию программного обеспечения целиком ложится на абонента ИС. При обнаружении фактов такого рода администратор обязан логически (а при необходимости - физически вместе с включающей подсетью) отключить рабочее место абонента от Сети и ЛВС и поставить об этом в известность руководство.

23. Устанавливаемые межсетевые экраны должны соответствовать требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9, по меньшей мере по 6 классу защиты межсетевых экранов.

24. СЗИ НСД, устанавливаемая на автономную ПЭВМ, рабочие станции и серверы внутренней ЛВС предприятия при обработке на них конфиденциальной информации, должна осуществлять:

идентификацию и аутентификацию пользователей при доступе к автономной ПЭВМ, рабочим станциям и серверам внутренней ЛВС по идентификатору и паролю;

контроль доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС на основе дискреционного принципа;

регистрацию доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС, включая попытки НСД;

регистрацию фактов отправки и получения абонентом сообщений (файлов, писем, документов).

25. При этом СЗИ НСД должна запрещать запуск абонентом произвольных программ, не включенных в состав программного обеспечения ИС.

26. Модификация конфигурации программного обеспечения ИС должна быть доступна только со стороны администратора, ответственного за эксплуатацию ИС.

27. Средства регистрации и регистрируемые данные должны быть недоступны для абонента.

28. СЗИ НСД должна быть целостной, т.е. защищенной от несанкционированной модификации и не содержащей путей обхода механизмов контроля.

29. Тестирование всех функций СЗИ НСД с помощью специальных программных средств должно проводится не реже одного раза в год.

30. Технические средства ИС должны быть размещены либо в отдельном помещении (при автономной ПЭВМ, подключенной к Сети), либо в рабочих помещениях абонентов с принятием организационных и технических мер, исключающих несанкционированную работу в Сети. В этих помещениях должно быть исключено ведение конфиденциальных переговоров либо технические средства должны быть защищены с точки зрения электроакустики. В нерабочее время помещение автономной ПЭВМ либо соответствующего сервера сдается под охрану в установленном порядке.

31. При создании ИС рекомендуется:

по возможности размещать МЭ для связи с внешними Сетями, web-серверы, почтовые серверы в отдельном ЗП, доступ в которое имел бы ограниченный круг лиц (ответственные специалисты, администраторы). Периодически проверять работоспособность МЭ с помощью сканеров, имитирующих внешние атаки на внутреннюю ЛВС. Не следует устанавливать на МЭ какие-либо другие прикладные сервисы (СУБД, e-mail, прикладные серверы и т.п.);

при предоставлении абонентам прикладных сервисов исходить из принципа минимальной достаточности. Тем пользователям ИС, которым не требуются услуги Сети, не предоставлять их. Пользователям, которым необходима только электронная почта (e-mail), предоставлять только доступ к ней. Максимальный перечень предоставляемых прикладных сервисов ограничивать следующими: e-mail, FTP, HTTP, Telnet;

при создании ИС следует использовать операционные системы со встроенными функциями защиты информации от НСД, перечисленными в п. 6.3.9, или использовать сертифицированные СЗИ НСД;

эффективно использовать имеющиеся в маршрутизаторах средства разграничения доступа (фильтрацию), включающие контроль по списку доступа, аутентификацию пользователей, взаимную аутентификацию маршрутизаторов;

в целях контроля за правомерностью использования ИС и выявления нарушений требований по защите информации осуществлять анализ принимаемой из Сети и передаваемой в Сеть информации, в том числе на наличие вирусов. Копии исходящей электронной почты и отсылаемых в Сеть файлов следует направлять в адрес защищенного архива ИС для последующего анализа со стороны администратора (службы безопасности);

проводить постоянный контроль информации, помещаемой на web-серверы предприятия. Для этого следует назначить ответственного (ответственных) за ведение информации на web-сервере. Предусмотреть порядок размещения на web-сервере информации, разрешенной к открытому опубликованию.

32. Министром социального развития Московской области назначаются лица, допущенные к работам в Сети с соответствующими полномочиями: лица, ответственные за эксплуатацию указанного ИС и контроль за выполнением мероприятий по обеспечению безопасности информации при работе абонентов в Сети.

33. Вопросы обеспечения безопасности информации на ИС должны быть отражены в инструкции, определяющей:

порядок подключения и регистрации абонентов в Сети;

порядок установки и конфигурирования на ИС общесистемного, прикладного коммуникационного программного обеспечения (серверов, маршрутизаторов, шлюзов, мостов, межсетевых экранов, браузеров), их новых версий;

порядок применения средств защиты информации от НСД на ИС при взаимодействии абонентов с Сетью;

порядок работы абонентов в Сети, в том числе с электронной почтой (e-mail), порядок выбора и доступа к внутренним и внешним серверам Сети (web-серверам);

порядок оформления разрешений на отправку данных в Сеть (при необходимости);

обязанности и ответственность абонентов и администратора внутренней ЛВС по обеспечению безопасности информации при взаимодействии с Сетью;

порядок контроля за выполнением мероприятий по обеспечению безопасности информации и работой абонентов Сети.

34. К работе в качестве абонентов Сети допускается круг пользователей, ознакомленных с требованиями по взаимодействию с другими абонентами Сети и обеспечению при этом безопасности информации и допускаемых к самостоятельной работе в Сети после сдачи соответствующего зачета.

35. Абоненты Сети обязаны:

знать порядок регистрации и взаимодействия в Сети;

знать инструкцию по обеспечению безопасности информации на ИС;

знать правила работы со средствами защиты информации от НСД, установленными на ИС (серверах, рабочих станциях ИС);

уметь пользоваться средствами антивирусной защиты;

после окончания работы в Сети проверить свое рабочее место на наличие вирусов.

36. Входящие и исходящие сообщения (файлы, документы), а также используемые при работе в Сети носители информации учитываются в журналах несекретного делопроизводства. При этом на корпусе (конверте) носителя информации наносится предупреждающая маркировка: "Допускается использование только в сети Интернет".

37. Для приемки в эксплуатацию ИС, подключаемого к Сети, приказом по Министерству назначается аттестационная комиссия, проверяющая выполнение установленных требований и рекомендаций. Аттестационная комиссия в своей работе руководствуется требованиями и рекомендациями настоящего документа.

38. По результатам работы комиссии оформляется заключение, в котором отражаются следующие сведения:

типы и номера выделенных технических средств ИС, в т.ч. каждого абонента, их состав и конфигурация;

состав общего и сервисного прикладного коммуникационного программного обеспечения (ОС, маршрутизаторов, серверов, межсетевых экранов, browsers и т.п.) на ИС в целом и на каждой рабочей станции абонента в частности: логические адреса (IP-адреса), используемые для доступа к Сети;

мероприятия по обеспечению безопасности информации, проведенные при установке технических средств и программного обеспечения, в т.ч. средств защиты информации от НСД, антивирусных средств, наличие инструкции по обеспечению безопасности информации на ИС.

39. При работе в Сети категорически запрещается:

подключать технические средства (серверы, рабочие станции), имеющие выход в Сеть, к другим техническим средствам (сетям), не определенным в обосновании подключения к Сети;

изменять состав и конфигурацию программных и технических средств ИС без санкции администратора и аттестационной комиссии;

производить отправку данных без соответствующего разрешения;

использовать носители информации с маркировкой: "Допускается использование только в Сети 2131" на рабочих местах других систем (в том числе и автономных ПЭВМ) без соответствующей санкции.

40. Ведение учета абонентов, подключенных к Сети, организуется в устанавливаемом в Министерстве порядке.

41. Контроль за выполнением мероприятий по обеспечению безопасности информации на ИС возлагается на администраторов ИС, руководителей соответствующих подразделений, определенных приказом по Министерству, а также руководителя службы безопасности.

III. Правила взаимодействия с Сетью

42. Взаимодействие ЕАИС СОЦ МО с сетью Интернет осуществляется с применением средств межсетевого экранирования. Любые подключения к сети Интернет в обход системы межсетевого экранирования не допускаются. Средства межсетевого экранирования должны быть сертифицированы по требованиям безопасности информации.

43. Пользователи ЕАИС СОЦ МО не имеют права производить самостоятельную установку и модификацию указанного программного обеспечения. Вся ответственность за использование не рекомендованного к использованию ПО ложится на пользователя ЕАИС СОЦ МО.

44. Пользователю ЕАИС СОЦ МО запрещается:

загружать файлы с неизвестных web- или FTP-сайтов;

подключать служебный компьютер к внешним сетевым ресурсам с использованием неслужебного канала связи в обход либо дополнительно к действующему подключению;

использовать публичные интернет-сервисы для хранения служебной информации;

использовать информационные ресурсы и сервисы международной сети Интернет, находящиеся под запретом действующего законодательства и иных нормативных актов Российской Федерации или запрещенных внутренними нормативно-распорядительными документами;

самостоятельно устанавливать и запускать загруженные из сети Интернет любые программы и исполняемые файлы;

самостоятельно изменять любые системные и сетевые настройки и настройки установленных систем безопасности;

допускать к работе на своем служебном компьютере посторонних лиц для доступа в сеть Интернет;

предпринимать в сети Интернет какие-либо действия и размещать какую-либо информацию, способную ущемлять имущественные и неимущественные права третьих лиц, а также носящую оскорбительный характер или противоречащую действующему законодательству Российской Федерации;

проводить сканирование и иные нештатные действия в отношении средств информационной безопасности.

IV. Ответственность

45. Ответственность за все действия в сети Интернет, произведенные с компьютера пользователя им самим или другими лицами с использованием его учетной записи, несет данный пользователь.

46. Ответственность за осуществление общего контроля выполнения требований к защите информации при взаимодействии с сетью Интернет возлагается на администратора безопасности ЕАИС СОЦ МО.

Утверждена

приказом министра
социального развития
Московской области
от 20.03.18 N 19П-89

Политика
обработки и защиты персональных данных в Министерстве социального развития Московской области

I. Общие положения

1. Настоящая политика определяет порядок обработки и защиты персональных данных в Министерстве социального развития Московской области с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. Порядок обработки персональных данных в Министерстве социального развития Московской области разработан в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

3. Действие политики распространяется на все персональные данные субъектов, обрабатываемые в информационных системах персональных данных Министерства социального развития Московской области с применением средств автоматизации и без применения таких средств.

4. К настоящей политике должен иметь доступ любой субъект персональных данных.

II. Принципы и условия обработки персональных данных

5. Обработка персональных данных в информационных системах персональных данных Министерства социального развития Московской области осуществляется на основе следующих принципов:

законности;

ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

недопущения обработки персональных данных, не совместимой с целями сбора персональных данных;

недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется во взаимо несовместимых целях;

обработки только тех персональных данных, которые отвечают целям их обработки;

соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;

обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей при невозможности устранения в информационных системах персональных данных Министерства социального развития Московской области допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

6. В информационных системах персональных данных Министерства социального развития Московской области обрабатываются персональные данные только при наличии хотя бы одного из следующих условий:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

обработка персональных данных необходима для осуществления полномочий и функций Министерства социального развития Московской области или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Пользователи информационных систем персональных данных Министерства социального развития Московской области и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

8. В целях информационного обеспечения в Министерстве социального развития Московской области могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты.

Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.

9. Министерство социального развития Московской области вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Министерства социального развития Московской области, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

10. Обработка в информационных системах персональных данных Министерства социального развития Московской области специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

персональные данные сделаны общедоступными субъектом персональных данных;

обработка персональных данных осуществляется в соответствии с законодательством об обеспечении безопасности в чрезвычайных ситуациях;

обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии терроризму, о противодействии коррупции, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

11. Трансграничная передача персональных данных на территорию иностранных государств Министерством социального развития Московской области не осуществляется.

III. Права субъекта персональных данных

12. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с действующим законодательством. Субъект персональных данных вправе требовать от Министерства социального развития Московской области уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

13. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

14. Если субъект персональных данных считает, что в информационных системах персональных данных Министерства социального развития Московской области осуществляется обработка его персональных данных с нарушением требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Министерства социального развития Московской области в Уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

IV. Обеспечение безопасности персональных данных

15. Безопасность персональных данных, обрабатываемых в информационных системах персональных данных Министерства социального развития Московской области, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.

16. Для целенаправленного создания в информационных системах персональных данных Министерства социального развития Московской области неблагоприятных условий и трудно преодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий в информационных системах персональных данных Министерства социального развития Московской области, применяются следующие организационно-технические меры:

назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

ограничение и регламентация состава работников, имеющих доступ к персональным данным;

ознакомление работников с требованиями федерального законодательства и нормативных документов Министерства социального развития Московской области по обработке и защите персональных данных;

обеспечение учета и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;

проверка готовности и эффективности использования средств защиты информации;

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей персональных данных;

регистрация событий безопасности;

антивирусная защита;

обнаружение и предотвращение вторжений;

контроль (анализ) защищенности персональных данных;

обеспечение целостности информационной системы и персональных данных;

обеспечение доступности персональных данных;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи персональных данных;

криптографическая защита персональных данных, передаваемых по незащищенным каналам связи;

управление системой защиты персональных данных;

обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

размещение технических средств обработки персональных данных в пределах охраняемой территории;

допуск в помещения, в которых обрабатываются персональные данных, в соответствии со списком допущенных сотрудников;

поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности;

осуществление информационного взаимодействия с иными информационными системами только при наличии гарантий обеспечения безопасности персональных данных при их обработке в этих системах, а также при их передаче в канале связи.

V. Заключительные положения

17. Иные права и обязанности Министерства социального развития Московской области, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.

Должностные лица Министерства социального развития Московской области, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном действующим законодательством.