Приложение. Положение по организации и проведению работ по обеспечению безопасности информации на объектах информатизации Управления ветеринарии города Севастополя. Приказ Управления ветеринарии г. Севастополя от 16.11.2017 N 117 "Об утверждении Положения по организации и проведению работ по обеспечению безопасности информации на объектах информатизации Управления ветеринарии города Севастополя"

Приложение
к приказу
Управления ветеринарии
города Севастополя
от 16.11.2017 N 117

Положение
по организации и проведению работ по обеспечению безопасности информации на объектах информатизации Управления ветеринарии города Севастополя

Список сокращений и обозначений

АС	Автоматизированная система
БД	База данных
НСД	Несанкционированный доступ
ОИ	Объект информатизации
ОС	Операционная система
ПДН	Персональные данные
ПО	Программное обеспечение
СЗИ	Средство защиты информации
ТС	Техническое средство

1. Термины и определения

Автоматизированная система (далее - АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Безопасность информации (данных) - состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность.

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа (далее - НСД) к информации и (или) воздействия на информацию или ресурсы АС.

Доступ к информации - возможность получения информации и ее использования.

Защита информации от НСД - защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации правил или правил разграничения доступа к защищаемой информации. Заинтересованными субъектами, осуществляющими НСД к защищаемой информации могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации может быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Защищаемый объект информатизации (далее - ОИ) - ОН, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Информационная система (далее - НС) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИС персональных данных (далее - ПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Информационная технология - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Компьютерный вирус - вредоносная программа, способная создавать свои копии и (или) другие вредоносные программы.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Норма эффективности защиты информации - значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Объект доступа (в автоматизированной ИС) - единица ресурса автоматизированной ПС, доступ к которой регламентируется правилами разграничения доступа.

ОИ - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку ПДн, а также определяющие цели и содержание обработки ПДн.

ПДн - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.

Программное воздействие - несанкционированное воздействие на ресурсы автоматизированной ПС, осуществляемое с использованием вредоносных программ.

Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Средство защиты информации - техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Субъект доступа (в автоматизированной информационной системе) - лицо или единица ресурса автоматизированной ПС, действия которой по доступу к ресурсам автоматизированной ПС регламентируются правилами разграничения доступа.

Требование по защите информации - установленное правило или норма, которая должна быть выполнена при организации осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

Уязвимость ИС - свойство ПС, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Целостность (информации (ресурсов автоматизированной информационной системы) - состояние информации (ресурсов автоматизированной ИС), при котором ее (их) изменение осуществляется только преднамеренно субъектами, имеющими на него право.

2. Нормативно-методическое обеспечение

Настоящее Положение по организации и проведению работ по обеспечению безопасности информации на объектах информатизации Управления ветеринарии города Севастополя (далее - Положение) разработано на основании:

(1) - Федерального закона Российской Федерации (далее - РФ) от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

(2) - Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

(3) - Постановления Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

(4) - Постановления Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными и правовыми актами, операторами, являющимися государственными или муниципальными органами";

(5) - Постановления Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

(6) - Приказа Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) от 11 февраля 2013 г. N 17 "Об утверждении требований к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

(7) - Приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

(8) - Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 05 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных";

(9) - "Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К)", утвержденных приказом Гостехкомиссии России от 30 августа 2002 г. N 282.

(10) - Методических рекомендаций по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных", утвержденные 13 декабря 2013 г. руководителем Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

(11) - Руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержденного решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

(12) - ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения" (введен в действие 01 января 1992 г.);

(13) - ГОСТ Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации" (введен в действие 01 января 2006 г.);

(14) - ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию" (введен в действие 01 февраля 2008 г.);

(15) - ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (введен в действие 01 февраля 2008 г.).

3. Общие положения

Настоящее Положение определяет порядок организации и проведения работ по обеспечению безопасности персональных данных и информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (далее - защищаемая информация), обрабатываемых на объектах информатизации (далее - ОИ) Управления ветеринарии города Севастополя (далее - Севветнадзор).

Положение разработано с целью:

- организации и координации работ по обеспечению безопасности защищаемой информации на ОИ, взаимодействующих с федеральными государственными информационными системами и с региональными государственными информационными системами;

- регламентации порядка проведения работ по обеспечению безопасности защищаемой информации, обрабатываемой на ОИ;

- контроля состояния безопасности защищаемой информации, обрабатываемой на ОИ;

- определение такого порядка обработки ПДн, при котором обеспечиваются законные права и интересы субъектов ПДн.

Положение обязательно для исполнения всеми лицами, участвующими в обработке защищаемой информации.

4. Администратор информационной безопасности

4.1. Функции администратора информационной безопасности

Администратор информационной безопасности осуществляет следующие мероприятия, направленные на обеспечение безопасности защищаемой информации, обрабатываемой на ОИ.

1. Настройка и сопровождение системы защиты ОИ:

- реализует полномочия доступа для каждого пользователя ОИ на основе утвержденного руководителем Севветнадзора перечня лиц, имеющих доступ к защищаемой информации, обрабатываемой на ОИ;

- своевременно удаляет учетные записи пользователей на ОИ при увольнении или перемещении сотрудника;

- своевременно блокирует и производит разблокировку учетных записей пользователей ОИ при их уходе на больничный или в отпуск и при выходе с больничного или из отпуска;

- периодически, но не реже одного раза в квартал, контролирует смену паролей пользователями для доступа на ОИ;

- регистрирует новых пользователей ОИ;

- регистрирует СЗИ;

- периодически, но не реже одного раза в месяц, выполняет мероприятия по периодическому тестированию функционирования СЗИ в соответствии с документацией разработчика данных средств, регистрируя проведение данных мероприятий.

2. Настройка и сопровождение подсистемы регистрации и учета ОИ:

- проводит регулярный анализ системного журнала ОИ для выявления попыток НСД к защищаемым ресурсам с соответствующей регистрацией проверки;

- своевременно информирует руководство о несанкционированных действиях персонала и участвует в разбирательствах по фактам попыток НСД;

- проводит резервное копирования информационных массивов ОИ.

3. Сопровождение подсистемы обеспечения целостности ОИ:

- осуществляет учет возникновения нештатных ситуаций;

- осуществляет восстановление информационной системы при возникновении сбоев.

4. Контроль функционирования подсистемы антивирусной защиты ОИ:

- обеспечивает поддержание установленного порядка и соблюдение правил антивирусной защиты;

- периодически, но не реже одного раза в месяц, проводит антивирусные проверки всех жестких дисков ОИ;

- регистрирует результаты антивирусных проверок.

5. Контроль использования машинных носителей информации и ведение их учета.

6. Сопровождение подсистемы межсетевого экранирования ОИ.

7. Сопровождение подсистемы обнаружения вторжений ОИ.

8. Организация обновлений ПО и средств защиты, выполнение профилактических работ, установки и модификации программных средств на ОИ.

9. Проведение модернизации аппаратных компонентов.

10. Проведение инструктажа сотрудников, имеющих право доступа к защищаемой информации.

11. Осуществление контроля за соблюдением пользователями ИС требований к защите информации.

12. Осуществление контроля за обеспечением уровня защищенности ПДн на ОИ, а также контроля за соблюдением пользователями ОИ требований к защите ПДн.

13. Участие в анализе ситуаций, касающихся функционирования СЗИ и проверки фактов НСД.

14. Оказание методической помощи по вопросам обеспечения безопасности защищаемой информации.

15. Разработка предложений и участие в проводимых работах по совершенствованию системы защиты информации, обрабатываемой на ОИ.

16. Проведение внутреннего контроля соответствия обработки ПДн к защите ПДн.

4.2. Обязанности администратора информационной безопасности

Администратор информационной безопасности обязан:

- обеспечивать функционирование и поддерживать работоспособность средств защиты ОИ, в пределах, возложенных на него функций;

- в случае отказа работоспособности ТС и ПО, средств вычислительной техники, в том числе средств защиты ОИ, принимать меры по их своевременному восстановлению и выявлению причин, которые вызвали отказ работоспособности;

- информировать руководство о фактах нарушения установленного порядка работ, попытках и фактах НСД к защищаемой информации, обрабатываемой на ОИ.

4.3. Ответственность администратора информационной безопасности

Администратор информационной безопасности несет ответственность за:

- неисполнение (ненадлежащее исполнение) своих обязанностей, предусмотренных настоящим Положением в пределах, определенных законодательством РФ;

- совершенные в процессе осуществления своей деятельности правонарушения - в пределах, определенных административным, уголовным и гражданским законодательством РФ;

- невыполнение или ненадлежащее выполнение указаний руководства;

- сохранность защищаемой информации;

- соблюдение требований нормативных правовых актов и локальных актов Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности информации, обрабатываемой на ОИ;

- сохранность и работоспособное состояние ТС, ПО, средств защиты, входящих в состав ОИ;

- выполнение обязанностей, предусмотренных настоящим Положением.

4.4. Права администратора информационной безопасности

Администратор информационной безопасности вправе:

- контролировать работу пользователей ОИ;

- требовать прекращения обработки информации, как в целом, так и отдельных пользователей ОИ, в случае выявления нарушений требований по обработке и обеспечению безопасности защищаемой информации, обрабатываемой на ОИ Севветнадзора.

5. Пользователь ОИ

5.1. Обязанности пользователя ОИ

Пользователем ОИ является сотрудник, который в силу своих должностных обязанностей осуществляет обработку защищаемой информации на ОИ с использованием средств автоматизации и имеет доступ к информационным ресурсам, аппаратным средствам, ПО и средствам защиты ОИ.

Пользователь ОИ несет персональную ответственность за свои действия.

Пользователь ОИ в своей работе руководствуется нормативными правовыми актами в сфере защиты информации и локальными актами Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности защищаемой информации, обрабатываемой на ОИ.

В частности, при работе с ПДн пользователь ОИ руководствуется нормативными правовыми актами в сфере ПДн и локальными актами Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности ПДн при их обработке.

Пользователь ИС обязан:

- соблюдать требования нормативных правовых актов в сфере защиты информации и локальных актов Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности защищаемой информации, обрабатываемой на ОИ;

- выполнять на ОИ в отношении защищаемой информации только те процедуры, которые определены для него в локальных актах Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности защищаемой информации, обрабатываемой на ОИ;

- в случае временного отсутствия на рабочем месте для предотвращения доступа к информации, находящейся на ОИ, минуя ввод пароля, пользователь ОИ во время перерыва в работе обязан осуществить блокирование системы нажатием комбинации Ctrl+Alt+Del и кнопки "Блокировать" в появившемся меню или выключить ОИ. По окончании рабочего дня пользователь ОИ обязан выключить ОИ;

- знать и соблюдать установленные требования по обработке и обеспечению безопасности защищаемой информации, обрабатываемой на ОИ;

- соблюдать требования антивирусной защиты на ОИ;

- соблюдать требования парольной защиты на ОИ;

- соблюдать правила при работе в сетях общего доступа и (или) международного обмена.

Правила работы в сетях общего доступа и (или) международного обмена

Работа в сетях связи общего пользования и (или) сетях международного информационного обмена (далее - Сеть) на ОИ должна проводиться при служебной необходимости.

При работе в Сети запрещается:

- осуществлять работу при отключенных средствах защиты (антивирусное средство, межсетевой экран и другие);

- скачивать из Сети ПО и другие файлы, не предназначенные для исполнения служебных обязанностей;

- посещение сайтов, непосредственно не связанных с исполнением служебных обязанностей;

- нецелевое использование подключения к Сети.

Обо всех выявленных нарушениях требований по обработке и обеспечению безопасности информации ограниченного распространения, обрабатываемой на ОИ, пользователь ОИ должен незамедлительно сообщать администратору информационной безопасности либо руководству.

Для получения консультаций по вопросам работы и настройке ОИ пользователь ОИ должен обращаться к администратору информационной безопасности.

Пользователь ОИ обязан принимать меры по реагированию в случае возникновения нештатных либо аварийных ситуаций, с целью ликвидации их последствий в рамках, возложенных на него функций.

Пользователю ОИ запрещается:

- разглашать защищаемую информацию третьим лицам;

- сообщать, передавать посторонним лицам личные ключи и атрибуты доступа к ресурсам ОИ;

- сообщать (или передавать) посторонним лицам сведения о системе защиты ОИ;

- обрабатывать защищаемую информацию в условиях, позволяющих осуществлять просмотр такой информации лицами, не имеющими к ним права доступа, а также при несоблюдении требований по обеспечению безопасности защищаемой информации;

- оставлять включенным без присмотра ОИ, не активизировав средства защиты от НСД (временное блокирование ОС нажатием комбинации Ctrl+Alt+Del и кнопки "Блокировать" в появившемся меню);

- самостоятельно вносить изменения в конфигурацию ПО и ТС ОИ, изменять установленный алгоритм функционирования технических и программных средств;

- записывать и хранить защищаемую информацию, обрабатываемую на ОИ, на неучтенных установленным порядком машинных носителях информации;

- использовать ОИ и другие ресурсы ОИ в неслужебных целях;

- подключать к ОИ личные машинные носители информации и мобильные устройства;

- отключать (блокировать) СЗИ;

- привлекать посторонних лиц для ремонта или настройки ОИ без согласования с администратором информационной безопасности.

5.2. Ответственность пользователя ОИ

Пользователь ОИ несет ответственность за:

- неисполнение (ненадлежащее исполнение) своих обязанностей, предусмотренных настоящим Положением в пределах, определенных законодательством РФ;

- совершенные в процессе осуществления своей деятельности правонарушения - в пределах, определенных законодательством РФ;

- невыполнение или ненадлежащее выполнение поручений руководителя;

- сохранность информации ограниченного распространения;

- соблюдение требований нормативных правовых актов в сфере защиты информации и локальных актов Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности защищаемой информации, обрабатываемой на ОИ;

- сохранность и работоспособное состояние ТС, ПО, средств защиты, входящих в состав ОИ;

- выполнение обязанностей, предусмотренных настоящим Положением.

5.3. Права пользователя ОИ

Пользователь ОИ имеет следующие права:

- осуществлять обработку защищаемой информации в пределах установленных полномочий;

- обращаться к администратору информационной безопасности за оказанием технической и методической помощи при работе с общесистемным и прикладным программным обеспечением, ТС ОИ, а также с СЗИ.

6. Первичный инструктаж лица, допущенного к работе с защищаемой информацией, обрабатываемой на ОИ

Первичный инструктаж лица, допущенного к работе с защищаемой информацией, обрабатываемой на ОИ, проводит администратор информационной безопасности после утверждения руководителем документа о наделении лица правом доступа к ОИ до непосредственного доступа этого лица к ОИ.

Лицо получает непосредственный доступ к защищаемой информации только после прохождения первичного инструктажа.

Лицо, допущенное к работе с защищаемой информацией, должно быть ознакомлено с нормативными правовыми актами РФ и с локальными актами Севветнадзора, регламентирующими вопросы защиты информации.

Лицо, являющееся пользователем ОИ, должно иметь доступ только к тем информационным ресурсам ОИ, которые необходимы для выполнения им его должностных обязанностей.

Администратор информационной безопасности, проводящий инструктаж лица, обязан разъяснить ему, какие действия на ОИ лицо имеет право совершать, а какие действия ему запрещены.

Лицо, допущенное к работе с защищаемой информацией, обрабатываемой на ОИ, должно быть предупреждено:

- об обязанностях выполнения всех правил и требований, предусмотренных локальными актами Севветнадзора в области защиты информации;

- о проведении разбирательств по фактам совершения действий, связанных с доступом к защищаемой информацией, обрабатываемой на ОИ, и повлекших за собой негативные последствия, в соответствии с установленным Порядком проведения разбирательств по фактам нарушения требований по обеспечению безопасности защищаемой информации.

Факт прохождения лицом первичного инструктажа регистрируется администратором информационной безопасности в соответствующем журнале учета пользователей, имеющих право доступа к информационным системам, форма которого приведена в Приложении N 1 к настоящему Положению.

7. Организация режима обеспечения безопасности помещений, в которых осуществляется обработка защищаемой информации

7.1. Общие сведения

Помещения, в которых осуществляется обработка защищаемой информации, должны располагаться в пределах контролируемой зоны.

Доступ иных лиц в помещения Севветнадзора, где осуществляется обработка защищаемой информации, разрешается только в присутствии лиц, имеющих право доступа в помещение.

Помещения, в которых осуществляется обработка защищаемой информации должны обеспечивать сохранность информации, обрабатываемой на ОИ, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.

Машинные носители, содержащие информацию, обрабатываемую на ОИ, (диски, флеш-карты) должны храниться в недоступном для посторонних лиц месте - в запираемых металлических шкафах (сейфах).

Помещения, в которых осуществляется обработка защищаемой информации, должны иметь прочные входные двери и замки, гарантирующие надежное закрытие помещений в нерабочее время.

Вскрытие и закрытие помещений, в которых ведется обработка защищаемой информации, производится сотрудниками Севветнадзора, имеющими право доступа в соответствующее помещение.

Перед закрытием помещений, в которых осуществляется обработка защищаемой информации, по окончании рабочего дня сотрудники, имеющие право доступа к защищаемой информации, обрабатываемым в соответствующем помещении, обязаны:

- убрать машинные носители, содержащие защищаемую информацию (диски, флеш-карты) в запираемые шкафы, запереть шкафы на замок;

- отключить ОИ, а также ТС (кроме постоянно действующего оборудования) от сети, выключить освещение;

- закрыть окна, двери.

Перед открытием помещений, в которых осуществляется обработка защищаемой информации, сотрудники обязаны:

- провести внешний осмотр с целью установления целостности двери и замка;

- открыть дверь и осмотреть помещение, проверить наличие и целостность замков на шкафах.

При обнаружении неисправности двери и запирающих устройств сотрудники обязаны:

- не вскрывая помещение, в котором осуществляется обработка защищаемой информации, сообщить об этом руководителю;

- в присутствии не менее двух сотрудников, включая руководителя, вскрыть помещение и осмотреть его;

- составить акт о выявленных нарушениях и передать установленным порядком руководителю.

При работе с защищаемой информацией, двери помещений должны быть всегда закрыты.

Присутствие лиц, не имеющих права доступа к защищаемой информации, должно быть исключено.

Доступ в помещения, где осуществляется обработка защищаемой информации, вспомогательного и обслуживающего персонала (уборщиц, электромонтёров, сантехников и других лиц) разрешается только в случае служебной необходимости в сопровождении лица, имеющего право доступа в соответствующее помещение, после принятия мер, исключающих визуальный просмотр документов, содержащих защищаемую информацию, обрабатываемую на ОИ, и экранов мониторов.

Внутренняя планировка и расположение рабочих мест в помещениях, где осуществляется обработка защищаемой информации, должны исключать визуальный просмотр обрабатываемой на ОИ защищаемой информации для сотрудников, не осуществляющих обработку таких сведений. Окна помещений, в которых осуществляется обработка защищаемой информации, должны быть оборудованы шторами (жалюзи).

На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, в которых предусматривается порядок вызова сотрудников, вскрытие помещений, где осуществляется обработка защищаемой информации, очередность и порядок эвакуации документов, материалов и изделий, содержащих данную информацию, а также порядок дальнейшего их хранения.

Ответственность за соблюдение порядка доступа в помещения, в которых осуществляется обработка защищаемой информации, возлагается на пользователей ОИ.

7.2. Требования к помещениям, предназначенным для размещения архивов

Помещения, предназначенные для размещения архивов, должны отвечать следующим требованиям:

- помещение должно располагаться в контролируемой зоне;

- двери помещения должны иметь надежные запоры, приспособления для опечатывания, либо должны быть оснащены контроллерами, включенными в систему контроля ограничения доступа;

- желательно наличие видеокамеры системы видеозаписи, контролирующей вход в помещение;

- должны быть задействованы все меры, исключающие неконтролируемое пребывание в помещении любых лиц, включая сотрудников, не допущенных к работе с защищаемой информацией;

- помещение должно быть оборудовано датчиками пожарной и охранной сигнализации, желательно имеющими отдельные (не связанные с другими помещениями) шлейфы сигнализации, включенные в пульты охранно-пожарной сигнализации;

- помещение должно быть оборудовано средствами пожаротушения, желательно наличие автономной автоматической системы пожаротушения;

- помещение должно быть оборудовано необходимым количеством стеллажей и/или запираемых металлических шкафов для хранения архивных носителей;

- микроклимат (температурно-влажностный режим) помещения должен отвечать требованиям по сохранности архивных носителей, а условия хранения должны исключать возможность их повреждения (коробления, пересыхания, изгиба и вредного воздействия пыли, магнитных и электрических полей или ультрафиолета);

- помещение, предназначенное для хранения резервных копий, не должно совмещаться с помещением, в котором размещается оборудование, создающее и/или использующее указанные резервные копии.

Сотрудник, осуществляющий хранение архивов, должен иметь печать для опечатывания дверей и сейфа или металлического хранилища.

8. Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности информации

Севветнадзор при обработке защищаемой информации на ОИ обязан принимать необходимые правовые, организационные и технические меры для обеспечения безопасности защищаемой информации от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.

Внутренний контроль соответствия обработки защищаемой информации на ОИ, - это комплекс мероприятий, осуществляемых в целях:

- соблюдения условий и принципов обработки защищаемой информации на ОИ;

- соблюдения требований по обработке и обеспечению безопасности, обрабатываемой на ОИ защищаемой информации;

- предупреждения и пресечения возможности получения посторонними лицами защищаемой информации, обрабатываемой на ОИ;

- выявления и предотвращения утечки защищаемой информации по техническим каналам;

- исключения или затруднения несанкционированного доступа к защищаемой информации на ОИ;

- хищения ТС, входящих в состав ОИ, и машинных носителей, содержащих защищаемую информацию;

- предотвращения программно-математических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности ОИ.

Основными задачами внутреннего контроля являются:

- проверка соответствия локальных актов в области защиты информации действующему законодательству РФ;

- проверка актуальности содержания локальных актов Севветнадзора в области обеспечения безопасности защищаемой информации;

- проверка соблюдения требований нормативных правовых актов, методических документов в сфере защиты информации;

- учет и соблюдение требований к защите информации при подготовке организационно-распорядительной документации;

- проверка организации и выполнения мероприятий по обеспечению безопасности защищаемой информации, обрабатываемой на ОИ;

- проверка работоспособности применяемых СЗИ для защищаемой информации, обрабатываемой на ОИ, в соответствии с их эксплуатационной документацией;

- наличие эксплуатационной документации на технические и программные средства защиты ОИ;

- оценка знаний и качества выполнения сотрудниками своих функциональных обязанностей в части обеспечения безопасности защищаемой информации, обрабатываемой на ОИ;

- оперативное принятие мер по пресечению нарушений требований по обеспечению безопасности защищаемой информации при ее обработке на ОИ.

Внутренний контроль соответствия обработки защищаемой информации на ОИ требованиям к защите информации осуществляется администратором информационной безопасности ежеквартально. О результатах проверки и мерах, необходимых для устранения выявленных нарушений, администратор информационной безопасности докладывает руководству.

9. Контроль и надзор за соблюдением требований по обработке и обеспечению безопасности защищаемой информации

Контроль и надзор за соблюдением требований по обработке и обеспечению безопасности защищаемой информации состоит из следующих направлений:

- внешний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности защищаемой информации;

- внутренний контроль соответствия обработки защищаемой информации требованиям к защите информации.

Внутренний контроль соответствия обработки защищаемой информации требованиям к защите ПДн Севветнадзора состоит из контроля и надзора за исполнением требований по обработке и обеспечению безопасности информации.

Внутренний контроль соответствия обработки ПДн состоит в том числе и в оценке соотношения вреда, который может быть причинен субъектам ПДн в случае нарушения требований по обработке и обеспечению безопасности ПДн и принимаемых мер.

9.1. Внешний контроль над соблюдением требований по обработке и обеспечению безопасности защищаемой информации

Внешний контроль и надзор за выполнением требований законодательства по обеспечению безопасности защищаемой информации, обрабатываемой на ОИ, осуществляется:

- Федеральной службой безопасности РФ в пределах своих полномочий;

- Федеральной службой по техническому и экспортному контролю в пределах своих полномочий;

- Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

9.2. Внутренний контроль соответствия обработки защищаемой информации требованиям к защите информации

9.2.1. Порядок внутреннего контроля соответствия обработки защищаемой информации требованиям к защите информации

Севветнадзор при обработке защищаемой информации обязан принимать необходимые правовые, организационные и технические меры для защиты такой информации от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в ее отношении.

Внутренний контроль соответствия обработки защищаемой информации требованиям к защите информации - это комплекс мероприятий, осуществляемых в целях:

- соблюдения условий и принципов обработки защищаемой информации;

- соблюдения требований по обработке и обеспечению безопасности обрабатываемой защищаемой информации;

- предупреждения и пресечения возможности получения посторонними лицами защищаемой информации;

- выявления и предотвращения утечки защищаемой информации по техническим каналам;

- исключения или затруднения несанкционированного доступа к защищаемой информации;

- хищения ТС, входящих в состав ОИ, и машинных носителей защищаемой информации;

- предотвращения программно-математических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности ОИ.

Основными задачами внутреннего контроля соответствия обработки защищаемой информации требованиям к защите информации являются:

- проверка соответствия локальных актов по вопросам обработки защищаемой информации действующему законодательству РФ;

- соблюдение прав субъектов ПДн, чьи ПДн обрабатываются в Севветнадзоре;

- наличие необходимых согласий субъектов ПДн, чьи ПДн обрабатываются в Севветнадзоре;

- проверка актуальности содержания локальных актов в области обеспечения безопасности защищаемой информации;

- проверка соблюдения требований нормативных правовых актов, методических документов в сфере защиты информации;

- учет и соблюдение требований по обеспечению безопасности защищаемой информации при подготовке организационно-распорядительной документации;

- проверка организации и выполнения мероприятий по обеспечению безопасности защищаемой информации при ее обработке как с использованием средств автоматизации, так и без использования средств автоматизации;

- проверка работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

- наличие эксплуатационной документации на технические и программные средства защиты ОИ;

- оценка знаний и качества выполнения сотрудниками своих функциональных обязанностей в части защиты информации;

- оперативное принятие мер по пресечению нарушений требований по обеспечению безопасности защищаемой информации.

Внутренний контроль соответствия обработки защищаемой информации требованиям к защите информации осуществляется администратором информационной безопасности ежеквартально. О результатах проверки и мерах, необходимых для устранения выявленных нарушений, администратор информационной безопасности докладывает руководству и производит отметку в журнале учета проведения внутреннего контроля соответствия обработки защищаемой информации требованиям к защите информации, приведенном в Приложении N 13.

9.2.2. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

Оценкой вреда, который может быть причинен субъектам ПДн в случае нарушения (2) является определение юридических последствий в отношении субъекта ПДн, которые могут возникнуть в случае нарушения (2).

К юридическим последствиям относятся случаи возникновения, изменения или прекращения личных либо имущественных прав граждан или иным образом затрагивающее его права, свободы и законные интересы.

При обработке ПДн должны определяться и документально оформляться все возможные юридические или иным образом затрагивающие права и законные интересы последствия в отношении субъекта ПДн, которые могут возникнуть в случае нарушения (2).

Определение таких юридических последствий необходимо для недопущения нарушения и обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения (2), оформляется документально.

9.2.3. Соотношение вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и применяемых мер, направленных на выполнение обязанностей, предусмотренных Федеральным законом РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

Во время осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн производится оценка соотношения вреда, который может быть причинен субъектам ПДн в случае нарушения (2) и применяемых мер, направленных на выполнение обязанностей, предусмотренных (2).

При оценке соотношения вреда, который может быть причинен субъектам ПДн в случае нарушения (2), для ИСПДн производится экспертное сравнение заявленной в локальных актах Севветнадзора оценки вреда, который может быть причинен субъектам ПДн в случае нарушения (2) и применяемых мер, направленных на выполнение обязанностей, предусмотренных (2), и изложенных в настоящем Положении.

По итогам сравнений принимается решение о достаточности применяемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области ПДн и возможности или необходимости принятия дополнительных мер или изменения установленного порядка организации и проведения работ по обеспечению безопасности ПДн при их обработке.

Оценка соотношения вреда, который может быть причинен субъектам ПДн в случае нарушения требований (2) и применяемых мер, направленных на выполнение обязанностей, предусмотренных (2), оформляется в виде отдельного документа, подписывается ответственным лицом.

10. Порядок проведения служебной проверки по фактам нарушения требований по обеспечению безопасности защищаемой информации

10.1. Классификация нарушений требований по обеспечению безопасности защищаемой информации

Нарушения требований по обеспечению безопасности защищаемой информации, обрабатываемой в ИС, и их последствия классифицируются по значимости на:

- нарушения I категории;

- нарушения II категории;

- нарушения III категории.

Служебная проверка назначается по нарушениям I и II категорий.

10.2. Перечень нарушений требований по обеспечению безопасности защищаемой информации

Нарушения I категории, к которым относятся нарушения, повлекшие за собой разглашение (утечку), уничтожение (искажение) защищаемой информации и/или утрату машинных носителей защищаемой информации, выведение из строя технических и программных средств, входящих в состав ОИ, а именно:

- успешный подбор административного пароля;

- несанкционированная реконфигурация параметров ОИ;

- утрата или кража резервной копии базы, содержащей защищаемую информацию;

- необоснованная передача информационных массивов ОИ;

- организация утечки сведений по техническим каналам;

- умышленное нарушение работоспособности ОИ;

- НСД к защищаемой информации;

- несанкционированное внесение изменений в ОИ;

- умышленное заражение ОИ вредоносным программным обеспечением (далее - ПО);

- проведение работ на ОИ, повлекших за собой необратимую потерю данных;

- другие действия, попадающие под действия статей, приведенных в таблице 1.

Таблица 1

Номер статьи	Название статьи
1	2
Федеральный закон РФ N 149-ФЗ от 27 июля 2006 г. "Об информации, информационных технологиях и о защите информации"
ст. 17	Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
Федеральный закон РФ N 152-ФЗ от 27 июля 2006 г. "О персональных данных"
ст. 24	Ответственность за нарушение требований настоящего Федерального закона
Кодекс РФ об административных правонарушениях
ст. 5.39	Отказ в предоставлении информации
ст. 13.11	Нарушение законодательства Российской Федерации в области персональных данных
ст. 13.11.1	Распространение информации о свободных рабочих местах или вакантных должностях, содержащей ограничения дискриминационного характера
ст. 13.12	Нарушение правил защиты информации
ст. 13.14	Разглашение информации с ограниченным доступом
ст. 19.7	Непредставление сведений (информации)
Уголовный кодекс РФ
ст. 137	Нарушение неприкосновенности частной жизни
ст. 140	Отказ в предоставлении гражданину информации
ст. 272	Неправомерный доступ к компьютерной информации
ст. 273	Создание, использование и распространение вредоносных компьютерных программ
ст. 274	Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
Трудовой кодекс РФ
ст. 90	Ответственность за нарушение норм, регулирующих обработку и защиту ПДн сотрудника

Нарушения II категории, к которым относятся нарушения, в результате которых возникают предпосылки к разглашению (утечке), уничтожению (искажению) защищаемой информации, утрате машинных носителей защищаемой информации, выведению из строя технических и программных средств, входящих в состав ОИ, а именно:

- ошибка при доступе к информационным ресурсам ОИ (набор не назначенного пароля, более 3 (Трех) раз подряд, периодически);

- оставление ОИ включенным (незаблокированным) во время отсутствия на рабочем месте;

- перезагрузка ОИ при сбоях в работе, в т.ч. аварийная (неоднократная) перезагрузка путем нажатия кнопки RESET;

- утрата учтенного машинного носителя информации;

- многократная неудачная попытка входа под чужим именем, паролем;

- удачная попытка входа под чужим именем, паролем;

- несанкционированная очистка журналов аудита;

- несанкционированное копирование защищаемой информации на внешние носители информации;

- несанкционированная установка (удаление) ПО в ИС;

- несанкционированное изменение конфигурации ПО ИС;

- попытка получения прав администратора для доступа к информационным ресурсам ОИ (увеличения полномочий собственных прав, получение прав на отладку программ) удачная и неудачная;

- попытка получения прав администратора в домене или на удаленной машине, удачная и неудачная;

- неумышленное заражение ОИ вредоносным ПО;

- несанкционированное использование сканирующего ПО;

- несанкционированное использование анализаторов протоколов (снифферов);

- несанкционированный просмотр защищаемой информации, вывод на печать и т.п.

Нарушения III категории, к каковым относятся нарушения, не несущие признаков нарушений I и II категорий, а именно:

- ошибка при доступе к информационным ресурсам ОИ (набор неправильного пароля, сетевого имени более 3 (Трех) раз подряд, не периодическая);

- периодическая попытка неудачного доступа защищаемой информации, обрабатываемой на ОИ;

- перевод времени на ОИ;

- однократная перезагрузка ОИ при сбоях в работе ОИ, в т.ч. аварийная перезагрузка, путем нажатия кнопки RESET;

- нецелевое использование корпоративных ресурсов (печать, доступ в сеть международного информационного обмена Интернет, электронная почта и т.п.).

10.3. Назначение и проведение служебной проверки

Служебная проверка назначается по нарушениям I и II категорий.

Служебная проверка может быть инициировано на основании устного заявления, докладной или служебной записки любого сотрудника по выявленному отдельному факту нарушения, либо по факту группы нарушений.

Служебная проверка проводится комиссией, состав которой утверждает руководитель Севветнадзора.

В случае необходимости Председатель комиссии может привлекать к работе:

- непосредственного начальника нарушителя;

- экспертов из других подразделений;

- специалистов организаций-лицензиатов ФСТЭК России и ФСБ РФ. Члены комиссии имеют право:

- требовать документального подтверждения факта нарушений информационной безопасности;

- устанавливать причины допущенных нарушений любым из способов, не противоречащих законодательству РФ;

- брать письменные объяснения по поводу выявленных нарушений у любого сотрудника Севветнадзора.

За выявление и классификацию нарушения требований по обеспечению безопасности защищаемой информации, требующего проведения процедуры служебной проверки, ответственность несет администратор информационной безопасности.

10.4. Оформление результатов работы комиссии

Результаты работы комиссии должны быть оформлены в виде аналитического экспертного заключения на имя руководителя Севветнадзора с предложениями по необходимым организационным выводам, а также по расширению или дополнению перечня нарушений требований по обеспечению безопасности защищаемой информации.

Результатом работы Комиссии должен стать Акт, в котором изложены:

- состав комиссии;

- период времени, в течение которого проводилась служебная проверка;

- основание для проведения служебной проверки;

- документальное подтверждение фактов нарушений, выявленных в ходе служебной проверки и имеющих значение в определении наличия нарушений, а также иных фактов, которые могут привести к нарушению конфиденциальности информации;

- установленные причины выявленных нарушений;

- вывод о значимости, их причинах и виновных, допустивших данные нарушения;

- сформированные предложения по устранению причин выявленных нарушений;

- рекомендации по совершенствованию обеспечения безопасности защищаемой информации, исключающие в дальнейшем подобные нарушения.

11. Порядок приостановления обработки защищаемой информации

При обнаружении нарушений I категории обработка защищаемой информации незамедлительно приостанавливается до выявления причин нарушений и устранения этих причин.

По факту нарушения требований по обеспечению безопасности, повлекшего приостановление обработки защищаемой информации, проводится служебная проверка.

12. Обезличивание ПДн

12.1. Условия обезличивания ПДн

В соответствии с (2) обезличивание ПДн может быть проведено:

- если обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением таких целей как продвижение товаров, работ и услуг на рынке, политической агитации;

- по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обезличивание ПДн осуществляется с учетом (8) и (10).

12.2. Методы обезличивания ПДн

Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки ПДн. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:

- метод введения идентификаторов (замена части сведений (значений ПДн) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

- метод изменения состава или семантики (изменение состава или семантики ПДн путем замены результатами статистической обработки, обобщения или удаления части сведений);

- метод декомпозиции (разбиение множества (массива) ПДн на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

- метод перемешивания (перестановка отдельных записей, а также групп записей в массиве ПДн).

12.3. Процедура обезличивания

Процедура обезличивания обеспечивает практическую реализацию метода обезличивания и задается своим описанием.

Допускается программная реализация процедуры различными способами и средствами.

12.4. Организация обработки ПДн и обезличенных данных

При использовании процедуры обезличивания не допускается совместное хранение ПДн и обезличенных данных.

Обезличивание ПДн субъектов должно производиться перед внесением их на ОИ.

Севветнадзор вправе обрабатывать на ОИ обезличенные данные, полученные от третьих лиц.

В процессе обработки обезличенных данных, при необходимости, может проводиться деобезличивание. После обработки ПДн, полученные в результате такого деобезличивания, уничтожаются.

Обработка ПДн до осуществления процедур обезличивания и после выполнения операций деобезличивания должна осуществляться в соответствии с действующим законодательством РФ с применением мер по обеспечению безопасности ПДн.

Обработка обезличенных данных должна осуществляться с использованием технических и программных средств, соответствующих форме представления и хранения данных.

Хранение и защиту дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания, следует обеспечить в соответствии с внутренними процедурами обеспечения конфиденциальности, установленными в Севветнадзоре. При этом должно обеспечиваться исполнение установленных правил доступа пользователей к хранимым данным, резервного копирования и возможности актуализации и восстановления хранимых данных.

Процедуры обезличивания/деобезличивания должны встраиваться в процессы обработки ПДн как их неотъемлемый элемент, а также максимально эффективно использовать имеющуюся у Севветнадзора инфраструктуру, обеспечивающую обработку ПДн.

12.5. Рекомендации по выбору методов обезличивания в соответствии с классом задач обработки

При выборе методов и процедур обезличивания ПДн следует руководствоваться целями и задачами обработки ПДн.

Обезличивание ПДн, обработка которых осуществляется с разными целями, может осуществляться разными методами.

Возможно объединение различных методов обезличивания в одну процедуру.

Для решения каждой задачи обработки определяются требуемые свойства обезличенных данных и метода обезличивания, которые зависят от набора действий, осуществляемых с ПДн (сбор, хранение, изменение, систематизация, осуществление выборки, поиск, передача и т.д.) в соответствии с принципом разумной достаточности (определяется минимально необходимый перечень свойств). Целесообразно предусмотреть возможность обработки обезличенных данных без предварительного деобезличивания.

При выборе метода и процедуры обезличивания также следует учитывать:

- объем ПДн, подлежащих обезличиванию (некоторые методы неэффективны на малых объемах);

- форму представления данных (отдельные записи, файлы, таблицы баз данных и т.д.);

- область обработки обезличенных данных (необходим ли другим операторам доступ к обезличиваемым данным);

- способы хранения обезличенных данных (локальное хранение, распределенное хранение и т.д.);

- применяемые в информационной системе меры по обеспечению безопасности данных.

Ниже представлены типовые классы задач, состоящие из наиболее часто встречающихся задач обработки ПДн. Проведенная классификация позволяет в Севветнадзоре применять наиболее эффективные для данного класса методы.

В Таблице 2 приведены рекомендации по выбору метода обезличивания в зависимости от класса решаемых задач. Рекомендованные методы ранжированы в порядке убывания эффективности их применения.

Таблица 2

Класс задач	Задачи обработки	Метод обезличивания
1	2	3
Статистическая обработка и статистические исследования ПД	- осуществление выборки по заявленным параметрам; - проведение исследований по заданным параметрам субъектов.	- метод перемешивания; - метод декомпозиции; - метод изменения состава или семантики.
Сбор и хранение ПД	- внесение персональных данных субъектов в информационную систему на основе анкет, заявлений и прочих документов.	- метод декомпозиции; - метод перемешивания; - метод введения идентификаторов.
Обработка поисковых запросов (поиск данных о субъектах и поиск субъектов по известным данным)	- поиск информации о субъектах; - печать и выдача субъектам документов в установленной форме, содержащих ПДн; - выдача справок, выписок, уведомлений по запросам субъектов или уполномоченных органов.	- метод перемешивания; - метод декомпозиции; - метод введения идентификаторов.
Актуализация ПД	- внесение изменений в существующие записи о субъектах на основе обращений субъектов, решений судов и других уполномоченных органов; - внесение изменений в существующие записи о субъектах на основе исследований, выполнения органом своих функций или требований законодательства РФ.	- метод перемешивания; - метод декомпозиции; - метод введения идентификаторов.
Интеграция данных различных операторов	- поиск информации о субъектах; - передача данных смежным органам.	- метод перемешивания; - метод декомпозиции; - метод введения идентификаторов.
Ведение учета субъектов ИД	- прием анкет, заявлений; - ведение учета ПДн в соответствии с функциями органа.	- метод декомпозиции; - метод перемешивания; - метод введения идентификаторов.

При наличии в системе нескольких классов задач рекомендуется выбирать общий метод для всех этих классов, либо совместно применять несколько методов.

13. Уничтожение защищаемой информации

13.1. Условия уничтожения защищаемой информации

Уничтожение защищаемой информации должно быть проведено:

- по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством;

- в случае отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн;

- в случае выявления фактов неправомерной обработки ПДн (в том числе при обращении субъекта ПДн) и обеспечить их правомерность не предоставляется возможным.

13.2. Порядок уничтожения защищаемой информации

Перед уничтожением защищаемой информации необходимо:

- убедиться в правовых основаниях уничтожения защищаемой информации;

- убедиться в том, что уничтожается именно та защищаемая информация, которая предназначена для уничтожения;

- уничтожить защищаемую информацию подходящим способом, указанным в соответствующем требовании или распорядительном документе;

- проверить необходимость уведомления об уничтожении ПДн субъекта ПДн, или его представителя, или третьих лиц в предусмотренном случае.

13.3. Способы уничтожения защищаемой информации

Уничтожение защищаемой информации возможно осуществить одним из следующих способов:

- физическое уничтожение носителя защищаемой информации;

- уничтожение защищаемой информации с носителя защищаемой информации.

Для физического уничтожения бумажного носителя защищаемой информации используются два вида уничтожения - уничтожение через шредирование (измельчение и гидрообработка) и уничтожение через термическую обработку (сжигание).

Уничтожение информации на машинных носителях необходимо осуществлять путем стирания информации с использованием программного обеспечения с гарантированным уничтожением. При уничтожении защищаемой информации необходимо учитывать возможность их наличия в архивных базах данных и производить уничтожение во всех копиях базы данных, если иное не установлено действующим законодательством РФ.

Если защищаемая информация хранятся на машинном носителе, пришедшем в негодность, отслужившем установленный срок или утратившем практическое значение, такой машинный носитель подлежит физическому уничтожению. Перед уничтожением машинного носителя на нем производится стирание защищаемой информации путем использования программного обеспечения с гарантированным уничтожением информации.

После стирания защищаемой информации машинный носитель уничтожается одним из следующих способов: разрезание, сжигание, механическое уничтожение, сдача предприятию по утилизации вторичного сырья или иными методами, исключающими возможность восстановления содержания защищаемой информации.

По факту уничтожения защищаемой информации составляется Акт об уничтожении защищаемой информации либо Акт уничтожения машинных носителей информации, формы которых приведены в Приложении N 2 и в Приложении N 3 к настоящему Положению.

14. Порядок управления доступом субъектов доступа к объектам доступа ОИ

Предоставление доступа пользователю к ОИ (или изменение прав доступа) осуществляется на основании Перечня лиц, осуществляющих работу на ОИ, утвержденного руководителем Севветнадзора.

С целью организации учета лиц, имеющих право доступа к ОИ, ведется журнал учета пользователей, имеющих право доступа к ОИ, форма которого приведена в Приложении N 1 к настоящему Положению.

Назначение прав доступа пользователей к информации, обрабатываемой на ОИ, осуществляется администратором информационной безопасности в соответствии с заявками на предоставление пользователю ОИ прав доступа к ОИ (ресурсу ОИ) от руководителя отдела, оформляемыми по форме, приведенной в Приложении N 4 к настоящему Положению. При этом в журнале учета пользователей, имеющих право доступа к ОИ, производится соответствующая запись.

Все факты несанкционированной организации доступа и регистрации в ОИ, а также их последствия классифицируются в соответствии с Перечнем нарушений требований по обеспечению безопасности информации, обрабатываемой на ОИ.

Контроль за деятельностью пользователей ОИ ведется администратором информационной безопасности.

Наличие у сотрудника избыточных, неконтролируемых прав доступа является нарушением требований по обеспечению безопасности информации, обрабатываемой на ОИ.

Основанием для прекращения права доступа пользователя к ОИ, может служить его исключение из утвержденного руководителем Перечня лиц, осуществляющих работу на ОИ, или его увольнение.

15. Организация парольной защиты на ОИ

15.1. Общие положения

Целью применения и реализации парольной защиты является исключение утечки защищаемой информации, обрабатываемой на ОИ, а также ее несанкционированной модификации или уничтожения.

Правила парольной защиты регламентируют организационно-техническое обеспечение процессов выдачи, смены и прекращения действия паролей на ОИ, а также контроль над действиями пользователей ОИ при работе с паролями.

Организационное и техническое обеспечение процессов выдачи, использования, смены и прекращения действия паролей во всех подсистемах ОИ и контроль действий пользователей при работе с паролями возлагается на администратора информационной безопасности.

15.2. Порядок организации парольной защиты

Защите паролем подлежит доступ к следующей информации:

- базовая система ввода-вывода ОИ;

- настройки ОС;

- настройки сетевого оборудования;

- настройки СЗИ;

- ПО, предназначенное для обработки защищаемой информации;

- ресурсы ОИ и информационные ресурсы, содержащие защищаемую информацию.

Личные пароли доступа пользователей ОИ генерируются и распределяются централизованно или выдаются администратором информационной безопасности, или выбираются пользователями ОИ самостоятельно с учетом следующих требований:

- длина пароля должна быть не менее 8 (Восьми) буквенно-цифровых символов;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, на