Приложение. Положение по организации и проведению работ по обеспечению безопасности информации на объектах информатизации Управления ветеринарии города Севастополя. Приказ Управления ветеринарии г. Севастополя от 16.11.2017 N 117 "Об утверждении Положения по организации и проведению работ по обеспечению безопасности информации на объектах информатизации Управления ветеринарии города Севастополя"

Приложение
к приказу
Управления ветеринарии
города Севастополя
от 16.11.2017 N 117

Положение
по организации и проведению работ по обеспечению безопасности информации на объектах информатизации Управления ветеринарии города Севастополя

Список сокращений и обозначений

АС	Автоматизированная система
БД	База данных
НСД	Несанкционированный доступ
ОИ	Объект информатизации
ОС	Операционная система
ПДН	Персональные данные
ПО	Программное обеспечение
СЗИ	Средство защиты информации
ТС	Техническое средство

1. Термины и определения

Автоматизированная система (далее - АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Безопасность информации (данных) - состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность.

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа (далее - НСД) к информации и (или) воздействия на информацию или ресурсы АС.

Доступ к информации - возможность получения информации и ее использования.

Защита информации от НСД - защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации правил или правил разграничения доступа к защищаемой информации. Заинтересованными субъектами, осуществляющими НСД к защищаемой информации могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации может быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Защищаемый объект информатизации (далее - ОИ) - ОН, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Информационная система (далее - НС) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИС персональных данных (далее - ПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Информационная технология - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Компьютерный вирус - вредоносная программа, способная создавать свои копии и (или) другие вредоносные программы.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Норма эффективности защиты информации - значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Объект доступа (в автоматизированной ИС) - единица ресурса автоматизированной ПС, доступ к которой регламентируется правилами разграничения доступа.

ОИ - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку ПДн, а также определяющие цели и содержание обработки ПДн.

ПДн - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.

Программное воздействие - несанкционированное воздействие на ресурсы автоматизированной ПС, осуществляемое с использованием вредоносных программ.

Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Средство защиты информации - техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Субъект доступа (в автоматизированной информационной системе) - лицо или единица ресурса автоматизированной ПС, действия которой по доступу к ресурсам автоматизированной ПС регламентируются правилами разграничения доступа.

Требование по защите информации - установленное правило или норма, которая должна быть выполнена при организации осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

Уязвимость ИС - свойство ПС, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Целостность (информации (ресурсов автоматизированной информационной системы) - состояние информации (ресурсов автоматизированной ИС), при котором ее (их) изменение осуществляется только преднамеренно субъектами, имеющими на него право.

2. Нормативно-методическое обеспечение

Настоящее Положение по организации и проведению работ по обеспечению безопасности информации на объектах информатизации Управления ветеринарии города Севастополя (далее - Положение) разработано на основании:

(1) - Федерального закона Российской Федерации (далее - РФ) от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

(2) - Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

(3) - Постановления Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

(4) - Постановления Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными и правовыми актами, операторами, являющимися государственными или муниципальными органами";

(5) - Постановления Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

(6) - Приказа Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) от 11 февраля 2013 г. N 17 "Об утверждении требований к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

(7) - Приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

(8) - Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 05 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных";

(9) - "Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К)", утвержденных приказом Гостехкомиссии России от 30 августа 2002 г. N 282.

(10) - Методических рекомендаций по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных", утвержденные 13 декабря 2013 г. руководителем Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

(11) - Руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержденного решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

(12) - ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения" (введен в действие 01 января 1992 г.);

(13) - ГОСТ Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации" (введен в действие 01 января 2006 г.);

(14) - ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию" (введен в действие 01 февраля 2008 г.);

(15) - ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (введен в действие 01 февраля 2008 г.).

3. Общие положения

Настоящее Положение определяет порядок организации и проведения работ по обеспечению безопасности персональных данных и информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (далее - защищаемая информация), обрабатываемых на объектах информатизации (далее - ОИ) Управления ветеринарии города Севастополя (далее - Севветнадзор).

Положение разработано с целью:

- организации и координации работ по обеспечению безопасности защищаемой информации на ОИ, взаимодействующих с федеральными государственными информационными системами и с региональными государственными информационными системами;

- регламентации порядка проведения работ по обеспечению безопасности защищаемой информации, обрабатываемой на ОИ;

- контроля состояния безопасности защищаемой информации, обрабатываемой на ОИ;

- определение такого порядка обработки ПДн, при котором обеспечиваются законные права и интересы субъектов ПДн.

Положение обязательно для исполнения всеми лицами, участвующими в обработке защищаемой информации.

4. Администратор информационной безопасности

4.1. Функции администратора информационной безопасности

Администратор информационной безопасности осуществляет следующие мероприятия, направленные на обеспечение безопасности защищаемой информации, обрабатываемой на ОИ.

1. Настройка и сопровождение системы защиты ОИ:

- реализует полномочия доступа для каждого пользователя ОИ на основе утвержденного руководителем Севветнадзора перечня лиц, имеющих доступ к защищаемой информации, обрабатываемой на ОИ;

- своевременно удаляет учетные записи пользователей на ОИ при увольнении или перемещении сотрудника;

- своевременно блокирует и производит разблокировку учетных записей пользователей ОИ при их уходе на больничный или в отпуск и при выходе с больничного или из отпуска;

- периодически, но не реже одного раза в квартал, контролирует смену паролей пользователями для доступа на ОИ;

- регистрирует новых пользователей ОИ;

- регистрирует СЗИ;

- периодически, но не реже одного раза в месяц, выполняет мероприятия по периодическому тестированию функционирования СЗИ в соответствии с документацией разработчика данных средств, регистрируя проведение данных мероприятий.

2. Настройка и сопровождение подсистемы регистрации и учета ОИ:

- проводит регулярный анализ системного журнала ОИ для выявления попыток НСД к защищаемым ресурсам с соответствующей регистрацией проверки;

- своевременно информирует руководство о несанкционированных действиях персонала и участвует в разбирательствах по фактам попыток НСД;

- проводит резервное копирования информационных массивов ОИ.

3. Сопровождение подсистемы обеспечения целостности ОИ:

- осуществляет учет возникновения нештатных ситуаций;

- осуществляет восстановление информационной системы при возникновении сбоев.

4. Контроль функционирования подсистемы антивирусной защиты ОИ:

- обеспечивает поддержание установленного порядка и соблюдение правил антивирусной защиты;

- периодически, но не реже одного раза в месяц, проводит антивирусные проверки всех жестких дисков ОИ;

- регистрирует результаты антивирусных проверок.

5. Контроль использования машинных носителей информации и ведение их учета.

6. Сопровождение подсистемы межсетевого экранирования ОИ.

7. Сопровождение подсистемы обнаружения вторжений ОИ.

8. Организация обновлений ПО и средств защиты, выполнение профилактических работ, установки и модификации программных средств на ОИ.

9. Проведение модернизации аппаратных компонентов.

10. Проведение инструктажа сотрудников, имеющих право доступа к защищаемой информации.

11. Осуществление контроля за соблюдением пользователями ИС требований к защите информации.

12. Осуществление контроля за обеспечением уровня защищенности ПДн на ОИ, а также контроля за соблюдением пользователями ОИ требований к защите ПДн.

13. Участие в анализе ситуаций, касающихся функционирования СЗИ и проверки фактов НСД.

14. Оказание методической помощи по вопросам обеспечения безопасности защищаемой информации.

15. Разработка предложений и участие в проводимых работах по совершенствованию системы защиты информации, обрабатываемой на ОИ.

16. Проведение внутреннего контроля соответствия обработки ПДн к защите ПДн.

4.2. Обязанности администратора информационной безопасности

Администратор информационной безопасности обязан:

- обеспечивать функционирование и поддерживать работоспособность средств защиты ОИ, в пределах, возложенных на него функций;

- в случае отказа работоспособности ТС и ПО, средств вычислительной техники, в том числе средств защиты ОИ, принимать меры по их своевременному восстановлению и выявлению причин, которые вызвали отказ работоспособности;

- информировать руководство о фактах нарушения установленного порядка работ, попытках и фактах НСД к защищаемой информации, обрабатываемой на ОИ.

4.3. Ответственность администратора информационной безопасности

Администратор информационной безопасности несет ответственность за:

- неисполнение (ненадлежащее исполнение) своих обязанностей, предусмотренных настоящим Положением в пределах, определенных законодательством РФ;

- совершенные в процессе осуществления своей деятельности правонарушения - в пределах, определенных административным, уголовным и гражданским законодательством РФ;

- невыполнение или ненадлежащее выполнение указаний руководства;

- сохранность защищаемой информации;

- соблюдение требований нормативных правовых актов и локальных актов Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности информации, обрабатываемой на ОИ;

- сохранность и работоспособное состояние ТС, ПО, средств защиты, входящих в состав ОИ;

- выполнение обязанностей, предусмотренных настоящим Положением.

4.4. Права администратора информационной безопасности

Администратор информационной безопасности вправе:

- контролировать работу пользователей ОИ;

- требовать прекращения обработки информации, как в целом, так и отдельных пользователей ОИ, в случае выявления нарушений требований по обработке и обеспечению безопасности защищаемой информации, обрабатываемой на ОИ Севветнадзора.

5. Пользователь ОИ

5.1. Обязанности пользователя ОИ

Пользователем ОИ является сотрудник, который в силу своих должностных обязанностей осуществляет обработку защищаемой информации на ОИ с использованием средств автоматизации и имеет доступ к информационным ресурсам, аппаратным средствам, ПО и средствам защиты ОИ.

Пользователь ОИ несет персональную ответственность за свои действия.

Пользователь ОИ в своей работе руководствуется нормативными правовыми актами в сфере защиты информации и локальными актами Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности защищаемой информации, обрабатываемой на ОИ.

В частности, при работе с ПДн пользователь ОИ руководствуется нормативными правовыми актами в сфере ПДн и локальными актами Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности ПДн при их обработке.

Пользователь ИС обязан:

- соблюдать требования нормативных правовых актов в сфере защиты информации и локальных актов Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности защищаемой информации, обрабатываемой на ОИ;

- выполнять на ОИ в отношении защищаемой информации только те процедуры, которые определены для него в локальных актах Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности защищаемой информации, обрабатываемой на ОИ;

- в случае временного отсутствия на рабочем месте для предотвращения доступа к информации, находящейся на ОИ, минуя ввод пароля, пользователь ОИ во время перерыва в работе обязан осуществить блокирование системы нажатием комбинации Ctrl+Alt+Del и кнопки "Блокировать" в появившемся меню или выключить ОИ. По окончании рабочего дня пользователь ОИ обязан выключить ОИ;

- знать и соблюдать установленные требования по обработке и обеспечению безопасности защищаемой информации, обрабатываемой на ОИ;

- соблюдать требования антивирусной защиты на ОИ;

- соблюдать требования парольной защиты на ОИ;

- соблюдать правила при работе в сетях общего доступа и (или) международного обмена.

Правила работы в сетях общего доступа и (или) международного обмена

Работа в сетях связи общего пользования и (или) сетях международного информационного обмена (далее - Сеть) на ОИ должна проводиться при служебной необходимости.

При работе в Сети запрещается:

- осуществлять работу при отключенных средствах защиты (антивирусное средство, межсетевой экран и другие);

- скачивать из Сети ПО и другие файлы, не предназначенные для исполнения служебных обязанностей;

- посещение сайтов, непосредственно не связанных с исполнением служебных обязанностей;

- нецелевое использование подключения к Сети.

Обо всех выявленных нарушениях требований по обработке и обеспечению безопасности информации ограниченного распространения, обрабатываемой на ОИ, пользователь ОИ должен незамедлительно сообщать администратору информационной безопасности либо руководству.

Для получения консультаций по вопросам работы и настройке ОИ пользователь ОИ должен обращаться к администратору информационной безопасности.

Пользователь ОИ обязан принимать меры по реагированию в случае возникновения нештатных либо аварийных ситуаций, с целью ликвидации их последствий в рамках, возложенных на него функций.

Пользователю ОИ запрещается:

- разглашать защищаемую информацию третьим лицам;

- сообщать, передавать посторонним лицам личные ключи и атрибуты доступа к ресурсам ОИ;

- сообщать (или передавать) посторонним лицам сведения о системе защиты ОИ;

- обрабатывать защищаемую информацию в условиях, позволяющих осуществлять просмотр такой информации лицами, не имеющими к ним права доступа, а также при несоблюдении требований по обеспечению безопасности защищаемой информации;

- оставлять включенным без присмотра ОИ, не активизировав средства защиты от НСД (временное блокирование ОС нажатием комбинации Ctrl+Alt+Del и кнопки "Блокировать" в появившемся меню);

- самостоятельно вносить изменения в конфигурацию ПО и ТС ОИ, изменять установленный алгоритм функционирования технических и программных средств;

- записывать и хранить защищаемую информацию, обрабатываемую на ОИ, на неучтенных установленным порядком машинных носителях информации;

- использовать ОИ и другие ресурсы ОИ в неслужебных целях;

- подключать к ОИ личные машинные носители информации и мобильные устройства;

- отключать (блокировать) СЗИ;

- привлекать посторонних лиц для ремонта или настройки ОИ без согласования с администратором информационной безопасности.

5.2. Ответственность пользователя ОИ

Пользователь ОИ несет ответственность за:

- неисполнение (ненадлежащее исполнение) своих обязанностей, предусмотренных настоящим Положением в пределах, определенных законодательством РФ;

- совершенные в процессе осуществления своей деятельности правонарушения - в пределах, определенных законодательством РФ;

- невыполнение или ненадлежащее выполнение поручений руководителя;

- сохранность информации ограниченного распространения;

- соблюдение требований нормативных правовых актов в сфере защиты информации и локальных актов Севветнадзора, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности защищаемой информации, обрабатываемой на ОИ;

- сохранность и работоспособное состояние ТС, ПО, средств защиты, входящих в состав ОИ;

- выполнение обязанностей, предусмотренных настоящим Положением.

5.3. Права пользователя ОИ

Пользователь ОИ имеет следующие права:

- осуществлять обработку защищаемой информации в пределах установленных полномочий;

- обращаться к администратору информационной безопасности за оказанием технической и методической помощи при работе с общесистемным и прикладным программным обеспечением, ТС ОИ, а также с СЗИ.

6. Первичный инструктаж лица, допущенного к работе с защищаемой информацией, обрабатываемой на ОИ

Первичный инструктаж лица, допущенного к работе с защищаемой информацией, обрабатываемой на ОИ, проводит администратор информационной безопасности после утверждения руководителем документа о наделении лица правом доступа к ОИ до непосредственного доступа этого лица к ОИ.

Лицо получает непосредственный доступ к защищаемой информации только после прохождения первичного инструктажа.

Лицо, допущенное к работе с защищаемой информацией, должно быть ознакомлено с нормативными правовыми актами РФ и с локальными актами Севветнадзора, регламентирующими вопросы защиты информации.

Лицо, являющееся пользователем ОИ, должно иметь доступ только к тем информационным ресурсам ОИ, которые необходимы для выполнения им его должностных обязанностей.

Администратор информационной безопасности, проводящий инструктаж лица, обязан разъяснить ему, какие действия на ОИ лицо имеет право совершать, а какие действия ему запрещены.

Лицо, допущенное к работе с защищаемой информацией, обрабатываемой на ОИ, должно быть предупреждено:

- об обязанностях выполнения всех правил и требований, предусмотренных локальными актами Севветнадзора в области защиты информации;

- о проведении разбирательств по фактам совершения действий, связанных с доступом к защищаемой информацией, обрабатываемой на ОИ, и повлекших за собой негативные последствия, в соответствии с установленным Порядком проведения разбирательств по фактам нарушения требований по обеспечению безопасности защищаемой информации.

Факт прохождения лицом первичного инструктажа регистрируется администратором информационной безопасности в соответствующем журнале учета пользователей, имеющих право доступа к информационным системам, форма которого приведена в Приложении N 1 к настоящему Положению.

7. Организация режима обеспечения безопасности помещений, в которых осуществляется обработка защищаемой информации

7.1. Общие сведения

Помещения, в которых осуществляется обработка защищаемой информации, должны располагаться в пределах контролируемой зоны.

Доступ иных лиц в помещения Севветнадзора, где осуществляется обработка защищаемой информации, разрешается только в присутствии лиц, имеющих право доступа в помещение.

Помещения, в которых осуществляется обработка защищаемой информации должны обеспечивать сохранность информации, обрабатываемой на ОИ, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.

Машинные носители, содержащие информацию, обрабатываемую на ОИ, (диски, флеш-карты) должны храниться в недоступном для посторонних лиц месте - в запираемых металлических шкафах (сейфах).

Помещения, в которых осуществляется обработка защищаемой информации, должны иметь прочные входные двери и замки, гарантирующие надежное закрытие помещений в нерабочее время.

Вскрытие и закрытие помещений, в которых ведется обработка защищаемой информации, производится сотрудниками Севветнадзора, имеющими право доступа в соответствующее помещение.

Перед закрытием помещений, в которых осуществляется обработка защищаемой информации, по окончании рабочего дня сотрудники, имеющие право доступа к защищаемой информации, обрабатываемым в соответствующем помещении, обязаны:

- убрать машинные носители, содержащие защищаемую информацию (диски, флеш-карты) в запираемые шкафы, запереть шкафы на замок;

- отключить ОИ, а также ТС (кроме постоянно действующего оборудования) от сети, выключить освещение;

- закрыть окна, двери.

Перед открытием помещений, в которых осуществляется обработка защищаемой информации, сотрудники обязаны:

- провести внешний осмотр с целью установления целостности двери и замка;

- открыть дверь и осмотреть помещение, проверить наличие и целостность замков на шкафах.

При обнаружении неисправности двери и запирающих устройств сотрудники обязаны:

- не вскрывая помещение, в котором осуществляется обработка защищаемой информации, сообщить об этом руководителю;

- в присутствии не менее двух сотрудников, включая руководителя, вскрыть помещение и осмотреть его;

- составить акт о выявленных нарушениях и передать установленным порядком руководителю.

При работе с защищаемой информацией, двери помещений должны быть всегда закрыты.

Присутствие лиц, не имеющих права доступа к защищаемой информации, должно быть исключено.

Доступ в помещения, где осуществляется обработка защищаемой информации, вспомогательного и обслуживающего персонала (уборщиц, электромонтёров, сантехников и других лиц) разрешается только в случае служебной необходимости в сопровождении лица, имеющего право доступа в соответствующее помещение, после принятия мер, исключающих визуальный просмотр документов, содержащих защищаемую информацию, обрабатываемую на ОИ, и экранов мониторов.

Внутренняя планировка и расположение рабочих мест в помещениях, где осуществляется обработка защищаемой информации, должны исключать визуальный просмотр обрабатываемой на ОИ защищаемой информации для сотрудников, не осуществляющих обработку таких сведений. Окна помещений, в которых осуществляется обработка защищаемой информации, должны быть оборудованы шторами (жалюзи).

На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, в которых предусматривается порядок вызова сотрудников, вскрытие помещений, где осуществляется обработка защищаемой информации, очередность и порядок эвакуации документов, материалов и изделий, содержащих данную информацию, а также порядок дальнейшего их хранения.

Ответственность за соблюдение порядка доступа в помещения, в которых осуществляется обработка защищаемой информации, возлагается на пользователей ОИ.

7.2. Требования к помещениям, предназначенным для размещения архивов

Помещения, предназначенные для размещения архивов, должны отвечать следующим требованиям:

- помещение должно располагаться в контролируемой зоне;

- двери помещения должны иметь надежные запоры, приспособления для опечатывания, либо должны быть оснащены контроллерами, включенными в систему контроля ограничения доступа;

- желательно наличие видеокамеры системы видеозаписи, контролирующей вход в помещение;

- должны быть задействованы все меры, исключающие неконтролируемое пребывание в помещении любых лиц, включая сотрудников, не допущенных к работе с защищаемой информацией;

- помещение должно быть оборудовано датчиками пожарной и охранной сигнализации, желательно имеющими отдельные (не связанные с другими помещениями) шлейфы сигнализации, включенные в пульты охранно-пожарной сигнализации;

- помещение должно быть оборудовано средствами пожаротушения, желательно наличие автономной автоматической системы пожаротушения;

- помещение должно быть оборудовано необходимым количеством стеллажей и/или запираемых металлических шкафов для хранения архивных носителей;

- микроклимат (температурно-влажностный режим) помещения должен отвечать требованиям по сохранности архивных носителей, а условия хранения должны исключать возможность их повреждения (коробления, пересыхания, изгиба и вредного воздействия пыли, магнитных и электрических полей или ультрафиолета);

- помещение, предназначенное для хранения резервных копий, не должно совмещаться с помещением, в котором размещается оборудование, создающее и/или использующее указанные резервные копии.

Сотрудник, осуществляющий хранение архивов, должен иметь печать для опечатывания дверей и сейфа или металлического хранилища.

8. Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности информации

Севветнадзор при обработке защищаемой информации на ОИ обязан принимать необходимые правовые, организационные и технические меры для обеспечения безопасности защищаемой информации от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.

Внутренний контроль соответствия обработки защищаемой информации на ОИ, - это комплекс мероприятий, осуществляемых в целях:

- соблюдения условий и принципов обработки защищаемой информации на ОИ;

- соблюдения требований по обработке и обеспечению безопасности, обрабатываемой на ОИ защищаемой информации;

- предупреждения и пресечения возможности получения посторонними лицами защищаемой информации, обрабатываемой на ОИ;

- выявления и предотвращения утечки защищаемой информации по техническим каналам;

- исключения или затруднения несанкционированного доступа к защищаемой информации на ОИ;

- хищения ТС, входящих в состав ОИ, и машинных носителей, содержащих защищаемую информацию;

- предотвращения программно-математических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности ОИ.

Основными задачами внутреннего контроля являются:

- проверка соответствия локальных актов в области защиты информации действующему законодательству РФ;

- проверка актуальности содержания локальных актов Севветнадзора в области обеспечения безопасности защищаемой информации;

- проверка соблюдения требований нормативных правовых актов, методических документов в сфере защиты информации;

- учет и соблюдение требований к защите информации при подготовке организационно-распорядительной документации;

- проверка организации и выполнения мероприятий по обеспечению безопасности защищаемой информации, обрабатываемой на ОИ;

- проверка работоспособности применяемых СЗИ для защищаемой информации, обрабатываемой на ОИ, в соответствии с их эксплуатационной документацией;

- наличие эксплуатационной документации на технические и программные средства защиты ОИ;

- оценка знаний и качества выполнения сотрудниками своих функциональных обязанностей в части обеспечения безопасности защищаемой информации, обрабатываемой на ОИ;

- оперативное принятие мер по пресечению нарушений требований по обеспечению безопасности защищаемой информации при ее обработке на ОИ.

Внутренний контроль соответствия обработки защищаемой информации на ОИ требованиям к защите информации осуществляется администратором информационной безопасности ежеквартально. О результатах проверки и мерах, необходимых для устранения выявленных нарушений, администратор информационной безопасности докладывает руководству.

9. Контроль и надзор за соблюдением требований по обработке и обеспечению безопасности защищаемой информации

Контроль и надзор за соблюдением требований по обработке и обеспечению безопасности защищаемой информации состоит из следующих направлений:

- внешний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности защищаемой информации;

- внутренний контроль соответствия обработки защищаемой информации требованиям к защите информации.

Внутренний контроль соответствия обработки защищаемой информации требованиям к защите ПДн Севветнадзора состоит из контроля и надзора за исполнением требований по обработке и обеспечению безопасности информации.

Внутренний контроль соответствия обработки ПДн состоит в том числе и в оценке соотношения вреда, который может быть причинен субъектам ПДн в случае нарушения требований по обработке и обеспечению безопасности ПДн и принимаемых мер.

9.1. Внешний контроль над соблюдением требований по обработке и обеспечению безопасности защищаемой информации

Внешний контроль и надзор за выполнением требований законодательства по обеспечению безопасности защищаемой информации, обрабатываемой на ОИ, осуществляется:

- Федеральной службой безопасности РФ в пределах своих полномочий;

- Федеральной службой по техническому и экспортному контролю в пределах своих полномочий;

- Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

9.2. Внутренний контроль соответствия обработки защищаемой информации требованиям к защите информации

9.2.1. Порядок внутреннего контроля соответствия обработки защищаемой информации требованиям к защите информации

Севветнадзор при обработке защищаемой информации обязан принимать необходимые правовые, организационные и технические меры для защиты такой информации от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в ее отношении.

Внутренний контроль соответствия обработки защищаемой информации требованиям к защите информации - это комплекс мероприятий, осуществляемых в целях:

- соблюдения условий и принципов обработки защищаемой информации;

- соблюдения требований по обработке и обеспечению безопасности обрабатываемой защищаемой информации;

- предупреждения и пресечения возможности получения посторонними лицами защищаемой информации;

- выявления и предотвращения утечки защищаемой информации по техническим каналам;

- исключения или затруднения несанкционированного доступа к защищаемой информации;

- хищения ТС, входящих в состав ОИ, и машинных носителей защищаемой информации;

- предотвращения программно-математических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности ОИ.

Основными задачами внутреннего контроля соответствия обработки защищаемой информации требованиям к защите информации являются:

- проверка соответствия локальных актов по вопросам обработки защищаемой информации действующему законодательству РФ;

- соблюдение прав субъектов ПДн, чьи ПДн обрабатываются в Севветнадзоре;

- наличие необходимых согласий субъектов ПДн, чьи ПДн обрабатываются в Севветнадзоре;

- проверка актуальности содержания локальных актов в области обеспечения безопасности защищаемой информации;

- проверка соблюдения требований нормативных правовых актов, методических документов в сфере защиты информации;

- учет и соблюдение требований по обеспечению безопасности защищаемой информации при подготовке организационно-распорядительной документации;

- проверка организации и выполнения мероприятий по обеспечению безопасности защищаемой информации при ее обработке как с использованием средств автоматизации, так и без использования средств автоматизации;

- проверка работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

- наличие эксплуатационной документации на технические и программные средства защиты ОИ;

- оценка знаний и качества выполнения сотрудниками своих функциональных обязанностей в части защиты информации;

- оперативное принятие мер по пресечению нарушений требований по обеспечению безопасности защищаемой информации.

Внутренний контроль соответствия обработки защищаемой информации требованиям к защите информации осуществляется администратором информационной безопасности ежеквартально. О результатах проверки и мерах, необходимых для устранения выявленных нарушений, администратор информационной безопасности докладывает руководству и производит отметку в журнале учета проведения внутреннего контроля соответствия обработки защищаемой информации требованиям к защите информации, приведенном в Приложении N 13.

9.2.2. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

Оценкой вреда, который может быть причинен субъектам ПДн в случае нарушения (2) является определение юридических последствий в отношении субъекта ПДн, которые могут возникнуть в случае нарушения (2).

К юридическим последствиям относятся случаи возникновения, изменения или прекращения личных либо имущественных прав граждан или иным образом затрагивающее его права, свободы и законные интересы.

При обработке ПДн должны определяться и документально оформляться все возможные юридические или иным образом затрагивающие права и законные интересы последствия в отношении субъекта ПДн, которые могут возникнуть в случае нарушения (2).

Определение таких юридических последствий необходимо для недопущения нарушения и обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения (2), оформляется документально.

9.2.3. Соотношение вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и применяемых мер, направленных на выполнение обязанностей, предусмотренных Федеральным законом РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

Во время осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн производится оценка соотношения вреда, который может быть причинен субъектам ПДн в случае нарушения (2) и применяемых мер, направленных на выполнение обязанностей, предусмотренных (2).

При оценке соотношения вреда, который может быть причинен субъектам ПДн в случае нарушения (2), для ИСПДн производится экспертное сравнение заявленной в локальных актах Севветнадзора оценки вреда, который может быть причинен субъектам ПДн в случае нарушения (2) и применяемых мер, направленных на выполнение обязанностей, предусмотренных (2), и изложенных в настоящем Положении.

По итогам сравнений принимается решение о достаточности применяемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области ПДн и возможности или необходимости принятия дополнительных мер или изменения установленного порядка организации и проведения работ по обеспечению безопасности ПДн при их обработке.

Оценка соотношения вреда, который может быть причинен субъектам ПДн в случае нарушения требований (2) и применяемых мер, направленных на выполнение обязанностей, предусмотренных (2), оформляется в виде отдельного документа, подписывается ответственным лицом.

10. Порядок проведения служебной проверки по фактам нарушения требований по обеспечению безопасности защищаемой информации

10.1. Классификация нарушений требований по обеспечению безопасности защищаемой информации

Нарушения требований по обеспечению безопасности защищаемой информации, обрабатываемой в ИС, и их последствия классифицируются по значимости на:

- нарушения I категории;

- нарушения II категории;

- нарушения III категории.

Служебная проверка назначается по нарушениям I и II категорий.

10.2. Перечень нарушений требований по обеспечению безопасности защищаемой информации

Нарушения I категории, к которым относятся нарушения, повлекшие за собой разглашение (утечку), уничтожение (искажение) защищаемой информации и/или утрату машинных носителей защищаемой информации, выведение из строя технических и программных средств, входящих в состав ОИ, а именно:

- успешный подбор административного пароля;

- несанкционированная реконфигурация параметров ОИ;

- утрата или кража резервной копии базы, содержащей защищаемую информацию;

- необоснованная передача информационных массивов ОИ;

- организация утечки сведений по техническим каналам;

- умышленное нарушение работоспособности ОИ;

- НСД к защищаемой информации;

- несанкционированное внесение изменений в ОИ;

- умышленное заражение ОИ вредоносным программным обеспечением (далее - ПО);

- проведение работ на ОИ, повлекших за собой необратимую потерю данных;

- другие действия, попадающие под действия статей, приведенных в таблице 1.

Таблица 1

Номер статьи	Название статьи
1	2
Федеральный закон РФ N 149-ФЗ от 27 июля 2006 г. "Об информации, информационных технологиях и о защите информации"
ст. 17	Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
Федеральный закон РФ N 152-ФЗ от 27 июля 2006 г. "О персональных данных"
ст. 24	Ответственность за нарушение требований настоящего Федерального закона
Кодекс РФ об административных правонарушениях
ст. 5.39	Отказ в предоставлении информации
ст. 13.11	Нарушение законодательства Российской Федерации в области персональных данных
ст. 13.11.1	Распространение информации о свободных рабочих местах или вакантных должностях, содержащей ограничения дискриминационного характера
ст. 13.12	Нарушение правил защиты информации
ст. 13.14	Разглашение информации с ограниченным доступом
ст. 19.7	Непредставление сведений (информации)
Уголовный кодекс РФ
ст. 137	Нарушение неприкосновенности частной жизни
ст. 140	Отказ в предоставлении гражданину информации
ст. 272	Неправомерный доступ к компьютерной информации
ст. 273	Создание, использование и распространение вредоносных компьютерных программ
ст. 274	Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
Трудовой кодекс РФ
ст. 90	Ответственность за нарушение норм, регулирующих обработку и защиту ПДн сотрудника

Нарушения II категории, к которым относятся нарушения, в результате которых возникают предпосылки к разглашению (утечке), уничтожению (искажению) защищаемой информации, утрате машинных носителей защищаемой информации, выведению из строя технических и программных средств, входящих в состав ОИ, а именно:

- ошибка при доступе к информационным ресурсам ОИ (набор не назначенного пароля, более 3 (Трех) раз подряд, периодически);

- оставление ОИ включенным (незаблокированным) во время отсутствия на рабочем месте;

- перезагрузка ОИ при сбоях в работе, в т.ч. аварийная (неоднократная) перезагрузка путем нажатия кнопки RESET;

- утрата учтенного машинного носителя информации;

- многократная неудачная попытка входа под чужим именем, паролем;

- удачная попытка входа под чужим именем, паролем;

- несанкционированная очистка журналов аудита;

- несанкционированное копирование защищаемой информации на внешние носители информации;

- несанкционированная установка (удаление) ПО в ИС;

- несанкционированное изменение конфигурации ПО ИС;

- попытка получения прав администратора для доступа к информационным ресурсам ОИ (увеличения полномочий собственных прав, получение прав на отладку программ) удачная и неудачная;

- попытка получения прав администратора в домене или на удаленной машине, удачная и неудачная;

- неумышленное заражение ОИ вредоносным ПО;

- несанкционированное использование сканирующего ПО;

- несанкционированное использование анализаторов протоколов (снифферов);

- несанкционированный просмотр защищаемой информации, вывод на печать и т.п.

Нарушения III категории, к каковым относятся нарушения, не несущие признаков нарушений I и II категорий, а именно:

- ошибка при доступе к информационным ресурсам ОИ (набор неправильного пароля, сетевого имени более 3 (Трех) раз подряд, не периодическая);

- периодическая попытка неудачного доступа защищаемой информации, обрабатываемой на ОИ;

- перевод времени на ОИ;

- однократная перезагрузка ОИ при сбоях в работе ОИ, в т.ч. аварийная перезагрузка, путем нажатия кнопки RESET;

- нецелевое использование корпоративных ресурсов (печать, доступ в сеть международного информационного обмена Интернет, электронная почта и т.п.).

10.3. Назначение и проведение служебной проверки

Служебная проверка назначается по нарушениям I и II категорий.

Служебная проверка может быть инициировано на основании устного заявления, докладной или служебной записки любого сотрудника по выявленному отдельному факту нарушения, либо по факту группы нарушений.

Служебная проверка проводится комиссией, состав которой утверждает руководитель Севветнадзора.

В случае необходимости Председатель комиссии может привлекать к работе:

- непосредственного начальника нарушителя;

- экспертов из других подразделений;

- специалистов организаций-лицензиатов ФСТЭК России и ФСБ РФ. Члены комиссии имеют право:

- требовать документального подтверждения факта нарушений информационной безопасности;

- устанавливать причины допущенных нарушений любым из способов, не противоречащих законодательству РФ;

- брать письменные объяснения по поводу выявленных нарушений у любого сотрудника Севветнадзора.

За выявление и классификацию нарушения требований по обеспечению безопасности защищаемой информации, требующего проведения процедуры служебной проверки, ответственность несет администратор информационной безопасности.

10.4. Оформление результатов работы комиссии

Результаты работы комиссии должны быть оформлены в виде аналитического экспертного заключения на имя руководителя Севветнадзора с предложениями по необходимым организационным выводам, а также по расширению или дополнению перечня нарушений требований по обеспечению безопасности защищаемой информации.

Результатом работы Комиссии должен стать Акт, в котором изложены:

- состав комиссии;

- период времени, в течение которого проводилась служебная проверка;

- основание для проведения служебной проверки;

- документальное подтверждение фактов нарушений, выявленных в ходе служебной проверки и имеющих значение в определении наличия нарушений, а также иных фактов, которые могут привести к нарушению конфиденциальности информации;

- установленные причины выявленных нарушений;

- вывод о значимости, их причинах и виновных, допустивших данные нарушения;

- сформированные предложения по устранению причин выявленных нарушений;

- рекомендации по совершенствованию обеспечения безопасности защищаемой информации, исключающие в дальнейшем подобные нарушения.

11. Порядок приостановления обработки защищаемой информации

При обнаружении нарушений I категории обработка защищаемой информации незамедлительно приостанавливается до выявления причин нарушений и устранения этих причин.

По факту нарушения требований по обеспечению безопасности, повлекшего приостановление обработки защищаемой информации, проводится служебная проверка.

12. Обезличивание ПДн

12.1. Условия обезличивания ПДн

В соответствии с (2) обезличивание ПДн может быть проведено:

- если обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением таких целей как продвижение товаров, работ и услуг на рынке, политической агитации;

- по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обезличивание ПДн осуществляется с учетом (8) и (10).

12.2. Методы обезличивания ПДн

Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки ПДн. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:

- метод введения идентификаторов (замена части сведений (значений ПДн) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

- метод изменения состава или семантики (изменение состава или семантики ПДн путем замены результатами статистической обработки, обобщения или удаления части сведений);

- метод декомпозиции (разбиение множества (массива) ПДн на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

- метод перемешивания (перестановка отдельных записей, а также групп записей в массиве ПДн).

12.3. Процедура обезличивания

Процедура обезличивания обеспечивает практическую реализацию метода обезличивания и задается своим описанием.

Допускается программная реализация процедуры различными способами и средствами.

12.4. Организация обработки ПДн и обезличенных данных

При использовании процедуры обезличивания не допускается совместное хранение ПДн и обезличенных данных.

Обезличивание ПДн субъектов должно производиться перед внесением их на ОИ.

Севветнадзор вправе обрабатывать на ОИ обезличенные данные, полученные от третьих лиц.

В процессе обработки обезличенных данных, при необходимости, может проводиться деобезличивание. После обработки ПДн, полученные в результате такого деобезличивания, уничтожаются.

Обработка ПДн до осуществления процедур обезличивания и после выполнения операций деобезличивания должна осуществляться в соответствии с действующим законодательством РФ с применением мер по обеспечению безопасности ПДн.

Обработка обезличенных данных должна осуществляться с использованием технических и программных средств, соответствующих форме представления и хранения данных.

Хранение и защиту дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания, следует обеспечить в соответствии с внутренними процедурами обеспечения конфиденциальности, установленными в Севветнадзоре. При этом должно обеспечиваться исполнение установленных правил доступа пользователей к хранимым данным, резервного копирования и возможности актуализации и восстановления хранимых данных.

Процедуры обезличивания/деобезличивания должны встраиваться в процессы обработки ПДн как их неотъемлемый элемент, а также максимально эффективно использовать имеющуюся у Севветнадзора инфраструктуру, обеспечивающую обработку ПДн.

12.5. Рекомендации по выбору методов обезличивания в соответствии с классом задач обработки

При выборе методов и процедур обезличивания ПДн следует руководствоваться целями и задачами обработки ПДн.

Обезличивание ПДн, обработка которых осуществляется с разными целями, может осуществляться разными методами.

Возможно объединение различных методов обезличивания в одну процедуру.

Для решения каждой задачи обработки определяются требуемые свойства обезличенных данных и метода обезличивания, которые зависят от набора действий, осуществляемых с ПДн (сбор, хранение, изменение, систематизация, осуществление выборки, поиск, передача и т.д.) в соответствии с принципом разумной достаточности (определяется минимально необходимый перечень свойств). Целесообразно предусмотреть возможность обработки обезличенных данных без предварительного деобезличивания.

При выборе метода и процедуры обезличивания также следует учитывать:

- объем ПДн, подлежащих обезличиванию (некоторые методы неэффективны на малых объемах);

- форму представления данных (отдельные записи, файлы, таблицы баз данных и т.д.);

- область обработки обезличенных данных (необходим ли другим операторам доступ к обезличиваемым данным);

- способы хранения обезличенных данных (локальное хранение, распределенное хранение и т.д.);

- применяемые в информационной системе меры по обеспечению безопасности данных.

Ниже представлены типовые классы задач, состоящие из наиболее часто встречающихся задач обработки ПДн. Проведенная классификация позволяет в Севветнадзоре применять наиболее эффективные для данного класса методы.

В Таблице 2 приведены рекомендации по выбору метода обезличивания в зависимости от класса решаемых задач. Рекомендованные методы ранжированы в порядке убывания эффективности их применения.

Таблица 2

Класс задач	Задачи обработки	Метод обезличивания
1	2	3
Статистическая обработка и статистические исследования ПД	- осуществление выборки по заявленным параметрам; - проведение исследований по заданным параметрам субъектов.	- метод перемешивания; - метод декомпозиции; - метод изменения состава или семантики.
Сбор и хранение ПД	- внесение персональных данных субъектов в информационную систему на основе анкет, заявлений и прочих документов.	- метод декомпозиции; - метод перемешивания; - метод введения идентификаторов.
Обработка поисковых запросов (поиск данных о субъектах и поиск субъектов по известным данным)	- поиск информации о субъектах; - печать и выдача субъектам документов в установленной форме, содержащих ПДн; - выдача справок, выписок, уведомлений по запросам субъектов или уполномоченных органов.	- метод перемешивания; - метод декомпозиции; - метод введения идентификаторов.
Актуализация ПД	- внесение изменений в существующие записи о субъектах на основе обращений субъектов, решений судов и других уполномоченных органов; - внесение изменений в существующие записи о субъектах на основе исследований, выполнения органом своих функций или требований законодательства РФ.	- метод перемешивания; - метод декомпозиции; - метод введения идентификаторов.
Интеграция данных различных операторов	- поиск информации о субъектах; - передача данных смежным органам.	- метод перемешивания; - метод декомпозиции; - метод введения идентификаторов.
Ведение учета субъектов ИД	- прием анкет, заявлений; - ведение учета ПДн в соответствии с функциями органа.	- метод декомпозиции; - метод перемешивания; - метод введения идентификаторов.

При наличии в системе нескольких классов задач рекомендуется выбирать общий метод для всех этих классов, либо совместно применять несколько методов.

13. Уничтожение защищаемой информации

13.1. Условия уничтожения защищаемой информации

Уничтожение защищаемой информации должно быть проведено:

- по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством;

- в случае отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн;

- в случае выявления фактов неправомерной обработки ПДн (в том числе при обращении субъекта ПДн) и обеспечить их правомерность не предоставляется возможным.

13.2. Порядок уничтожения защищаемой информации

Перед уничтожением защищаемой информации необходимо:

- убедиться в правовых основаниях уничтожения защищаемой информации;

- убедиться в том, что уничтожается именно та защищаемая информация, которая предназначена для уничтожения;

- уничтожить защищаемую информацию подходящим способом, указанным в соответствующем требовании или распорядительном документе;

- проверить необходимость уведомления об уничтожении ПДн субъекта ПДн, или его представителя, или третьих лиц в предусмотренном случае.

13.3. Способы уничтожения защищаемой информации

Уничтожение защищаемой информации возможно осуществить одним из следующих способов:

- физическое уничтожение носителя защищаемой информации;

- уничтожение защищаемой информации с носителя защищаемой информации.

Для физического уничтожения бумажного носителя защищаемой информации используются два вида уничтожения - уничтожение через шредирование (измельчение и гидрообработка) и уничтожение через термическую обработку (сжигание).

Уничтожение информации на машинных носителях необходимо осуществлять путем стирания информации с использованием программного обеспечения с гарантированным уничтожением. При уничтожении защищаемой информации необходимо учитывать возможность их наличия в архивных базах данных и производить уничтожение во всех копиях базы данных, если иное не установлено действующим законодательством РФ.

Если защищаемая информация хранятся на машинном носителе, пришедшем в негодность, отслужившем установленный срок или утратившем практическое значение, такой машинный носитель подлежит физическому уничтожению. Перед уничтожением машинного носителя на нем производится стирание защищаемой информации путем использования программного обеспечения с гарантированным уничтожением информации.

После стирания защищаемой информации машинный носитель уничтожается одним из следующих способов: разрезание, сжигание, механическое уничтожение, сдача предприятию по утилизации вторичного сырья или иными методами, исключающими возможность восстановления содержания защищаемой информации.

По факту уничтожения защищаемой информации составляется Акт об уничтожении защищаемой информации либо Акт уничтожения машинных носителей информации, формы которых приведены в Приложении N 2 и в Приложении N 3 к настоящему Положению.

14. Порядок управления доступом субъектов доступа к объектам доступа ОИ

Предоставление доступа пользователю к ОИ (или изменение прав доступа) осуществляется на основании Перечня лиц, осуществляющих работу на ОИ, утвержденного руководителем Севветнадзора.

С целью организации учета лиц, имеющих право доступа к ОИ, ведется журнал учета пользователей, имеющих право доступа к ОИ, форма которого приведена в Приложении N 1 к настоящему Положению.

Назначение прав доступа пользователей к информации, обрабатываемой на ОИ, осуществляется администратором информационной безопасности в соответствии с заявками на предоставление пользователю ОИ прав доступа к ОИ (ресурсу ОИ) от руководителя отдела, оформляемыми по форме, приведенной в Приложении N 4 к настоящему Положению. При этом в журнале учета пользователей, имеющих право доступа к ОИ, производится соответствующая запись.

Все факты несанкционированной организации доступа и регистрации в ОИ, а также их последствия классифицируются в соответствии с Перечнем нарушений требований по обеспечению безопасности информации, обрабатываемой на ОИ.

Контроль за деятельностью пользователей ОИ ведется администратором информационной безопасности.

Наличие у сотрудника избыточных, неконтролируемых прав доступа является нарушением требований по обеспечению безопасности информации, обрабатываемой на ОИ.

Основанием для прекращения права доступа пользователя к ОИ, может служить его исключение из утвержденного руководителем Перечня лиц, осуществляющих работу на ОИ, или его увольнение.

15. Организация парольной защиты на ОИ

15.1. Общие положения

Целью применения и реализации парольной защиты является исключение утечки защищаемой информации, обрабатываемой на ОИ, а также ее несанкционированной модификации или уничтожения.

Правила парольной защиты регламентируют организационно-техническое обеспечение процессов выдачи, смены и прекращения действия паролей на ОИ, а также контроль над действиями пользователей ОИ при работе с паролями.

Организационное и техническое обеспечение процессов выдачи, использования, смены и прекращения действия паролей во всех подсистемах ОИ и контроль действий пользователей при работе с паролями возлагается на администратора информационной безопасности.

15.2. Порядок организации парольной защиты

Защите паролем подлежит доступ к следующей информации:

- базовая система ввода-вывода ОИ;

- настройки ОС;

- настройки сетевого оборудования;

- настройки СЗИ;

- ПО, предназначенное для обработки защищаемой информации;

- ресурсы ОИ и информационные ресурсы, содержащие защищаемую информацию.

Личные пароли доступа пользователей ОИ генерируются и распределяются централизованно или выдаются администратором информационной безопасности, или выбираются пользователями ОИ самостоятельно с учетом следующих требований:

- длина пароля должна быть не менее 8 (Восьми) буквенно-цифровых символов;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования автоматизированных рабочих мест, общепринятые сокращения (например, ЭВМ, ЛВС, USER, Administrator и т.д.) и другие данные, которые могут быть подобраны злоумышленником путем анализа информации о пользователе ОИ;

- не допускается использование в качестве пароля одного и того же повторяющегося символа или повторяющейся комбинации из нескольких символов;

- не допускается использование в качестве пароля комбинации символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);

- при смене пароля новое значение должно отличаться от предыдущего;

- в числе символов пароля, обязательно должны присутствовать латинские буквы в верхнем и нижнем регистрах, а также цифры и символы;

- не допускается использование ранее использованных пароли. Лица, использующие паролирование, обязаны:

- четко знать и строго выполнять требования по парольной защите;

- своевременно сообщать администратору информационной безопасности обо всех нештатных ситуациях, возникающих при работе с паролями.

При организации парольной защиты запрещается:

- записывать свои пароли в очевидных местах (например, на мониторе, на обратной стороне клавиатуры и т.д.);

- хранить пароли в записанном виде на отдельных листах бумаги;

- сообщать другим лицам свои пароли, а также сведения о применяемой системе защиты от НСД.

15.3. Порядок применения парольной защиты

Полная плановая смена паролей проводится администратором информационной безопасности один раз в 3 (Три) месяца.

Удаление (в т.ч. внеплановая смена) личного пароля любого пользователя должна производиться в следующих случаях:

- при подозрении на компрометацию пароля;

- по завершении срока действия пароля;

- в случае прекращения полномочий пользователя (увольнение, переход на другую работу внутри организации) - после завершения последнего сеанса работы данного пользователя с системой;

- по указанию администратора информационной безопасности;

- в случае прекращения полномочий (увольнение, переход на другую работу внутри организации) администратора информационной безопасности.

Для предотвращения доступа к ОИ, минуя ввод пароля, пользователь ОИ во время перерыва в работе обязан осуществить блокирование системы нажатием комбинации Ctrl+Alt+Del и кнопки "Блокировать" в появившемся меню или выключить ОИ

Порядок применения (смены) паролей при работе на ОИ, оборудованных системой защиты, приведен в эксплуатационной документации на СЗИ.

Факт выдачи пароля пользователю ОИ фиксируется в журнале учета выдачи паролей для доступа к ОИ, форма которого приведена в Приложении N 5 к настоящему Положению.

Ответственность за организацию парольной защиты возлагается на администратора информационной безопасности.

Ответственность за соблюдение требований парольной защиты возлагается на администратора информационной безопасности и пользователей ОИ.

Нарушения организации и порядка применения парольной защиты классифицируются в соответствии с Перечнем нарушений требований по обеспечению безопасности защищаемой информации, обрабатываемой на ОИ.

При выявлении нарушений I и II категории проводится служебная проверка в соответствии с Порядком проведения служебной проверки по фактам нарушения требований по обеспечению безопасности защищаемой информации.

16. Организация антивирусной защиты на ОИ

16.1. Общие положения

Целью антивирусной защиты ОИ является предотвращение и нейтрализация негативных воздействий вредоносного ПО на информационные ресурсы, содержащие защищаемую информацию, и ПО, предназначенное для обработки такой информации.

Порядок организации антивирусной защиты определяет требования к организации защиты ОИ от разрушающего воздействия вредоносного ПО и устанавливают ответственность за их выполнение.

К использованию на ОИ допускаются только лицензионные и сертифицированные ФСТЭК России и ФСБ РФ по требованиям безопасности информации средства антивирусной защиты.

Установка и начальная настройка средств антивирусной защиты на ОИ может осуществляться администратором информационной безопасности, а также представителями организации-лицензиата ФСТЭК России и ФСБ РФ.

Администратор информационной безопасности должен организовывать осуществление периодического обновления сигнатур средств защиты от вредоносного ПО и контроль их работоспособности не реже 1 (Одного) раза в неделю.

Пользователи ИС, обязаны руководствоваться в работе Порядком организации антивирусной защиты.

16.2. Порядок организации антивирусной защиты

Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), защищаемая информация, обрабатываемая на ОИ, и содержащаяся на машинных носителях (жесткие магнитные диски, оптические носители информации (CD-, DVD-диски), флеш-накопители USB). Антивирусный контроль информации необходимо осуществлять перед архивированием или записью на машинный носитель. Файлы, помещаемые в электронный архив, в обязательном порядке проходят антивирусный контроль. Периодические проверки электронных архивов проводятся администратором информационной безопасности не реже 1 (Одного) раза в месяц.

Устанавливаемое (изменяемое) ПО должно быть предварительно проверено на отсутствие вредоносного ПО. После установки (изменения) ПО должна быть осуществлена антивирусная проверка ОИ.

При возникновении подозрения на наличие вредоносного ПО (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь ОИ самостоятельно (или совместно с администратором информационной безопасности), должен провести внеочередной антивирусный контроль ОИ.

В случае обнаружения вредоносного ПО при проведении антивирусной проверки пользователь ОИ обязан:

- приостановить работу ОИ;

- немедленно поставить в известность о факте обнаружения вредоносного ПО администратора информационной безопасности, а также других пользователей ОИ, использующих зараженные файлы в работе;

- совместно с владельцем зараженных вредоносным ПО файлов провести анализ возможности их дальнейшего использования;

- провести "лечение" или удаление зараженных файлов.

Периодически, но не реже 1 (Одного) раза в неделю, администратором информационной безопасности должна проводиться антивирусная проверка всех жестких дисков ОИ.

Антивирусные проверки подлежат регистрации в журнале учета антивирусных проверок ОИ, форма которого приведена в Приложении N 6 к настоящему Положению.

Ответственность за проведение мероприятий антивирусной защиты и контроля, соблюдения требований антивирусной защиты на ОИ возлагается на администратора информационной безопасности.

17. Организация учета машинных носителей информации

17.1. Порядок учета машинных носителей информации

Все машинные носители информации, содержащие защищаемую информацию, а именно:

- жесткие диски, находящиеся в корпусах ОИ;

- жесткие диски, находящиеся во внешних RAID-массивах серверов;

- кассеты со стриммерными лентами, находящиеся в стриммерных устройствах;

- USB-носители, находящиеся у пользователей ОИ, и содержащие резервные копии защищаемой информации;

- CD-R, CD-RW, DVD-R и/или DVD-RW-носители, подлежат регистрации и учету.

Учетный номер машинного носителя информации должен наноситься непосредственно на корпус носителя и быть нестираемым.

На рабочих местах пользователей ОИ не должны находиться неучтенные машинные носители информации, содержащие защищаемую информацию.

Запрещается копирование защищаемой информации пользователями ОИ с целью их передачи другим сотрудникам или посторонним лицам.

Сотрудник, получивший носитель для работы с защищаемой информацией, обязан обеспечить его недоступность для третьих лиц (посторонних лиц и сотрудников, не имеющих допуск к защищаемой информации).

Полученные извне машинные носители информации должны:

- проверяться на наличие вредоносных программных продуктов;

- учитываться в соответствии с настоящей политикой;

- передаваться сотрудникам, являющимся пользователями ОИ, только с разрешения руководителя структурного подразделения с записью в соответствующих формах учета.

Регистрацию и учет машинных носителей информации, содержащих информацию, обрабатываемую на ОИ, осуществляет администратор информационной безопасности в соответствующем журнале учета машинных носителей информации, форма которого приведена в Приложении N 7 к настоящему Положению.

17.2. Порядок хранения машинных носителей информации

Хранение машинных носителей информации осуществляется в условиях, исключающих утрату их функциональности и хранимой информации из-за влияния внешних полей, излучений и иных неблагоприятных факторов, а также НСД к информации.

Машинные носители информации должны храниться в недоступном для посторонних лиц месте - в металлических шкафах, оборудованных замками (сейфах).

17.3. Порядок эксплуатации машинных носителей информации

Выдача машинных носителей информации пользователям ОИ производится администратором информационной безопасности под подпись в соответствующем журнале учета машинных носителей информации.

Передача машинных носителей информации для ремонта или утилизации запрещена.

Все машинные носители информации, потерявшие актуальность, передаются администратору информационной безопасности. По результатам уничтожения информации с машинного носителя информации или форматирования такого машинного носителя информации, или уничтожения машинного носителя информации, содержащего информацию, составляется акт об уничтожении информации и/или акт об уничтожении машинного носителя, содержащего информацию. По факту уничтожения машинного носителя информации в журнале учета машинных носителей информации производится отметка об уничтожении.

18. Организация резервирования и восстановления информации на ОИ

18.1. Общие положения

С целью обеспечения возможности незамедлительного восстановления защищаемой информации на ОИ, модифицированных или уничтоженных вследствие НСД к ним или возникновении нештатных ситуаций, повлекших за собой потерю данных, организуется резервирование и восстановление информации на ОИ, а также работоспособности ОИ.

18.2. Информация, подлежащая резервному копированию

Резервному копированию подлежат следующие информационные ресурсы:

- файлы, каталоги, БД, содержащие информацию, обрабатываемую на ОИ;

- системные и конфигурационные файлы общесистемного и прикладного ПО;

- конфигурационные файлы сетевого оборудования;

- системные и конфигурационные файлы СЗИ.

18.3. Порядок резервирования и хранения резервных копий

Резервное копирование защищаемой информации, обрабатываемой на ОИ, должно осуществляться ежемесячно на машинные носители информации, создавая тем самым резервный электронный архив. Факт резервного копирования подлежит обязательной регистрации в соответствующем журнале резервного копирования информационных массивов информационных систем, форма которого приведена в Приложении N 8 к настоящему Положению.

Машинные носители информации, на которые осуществляется резервное копирование, должны быть поставлены на соответствующий учет и зарегистрированы в журнале учета машинных носителей информации.

Перед резервным копированием машинный носитель информации (жесткий магнитный диск, оптический носитель информации СD-, DVD-диск), флеш-накопитель USB) проверяется на отсутствие вредоносного ПО. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль.

Машинные носители информации с обновлениями ПО маркируют датой их получения (датой выхода обновления).

Качество записи резервных копий на машинных носителях информации должно проверяться непосредственно после изготовления копии.

Надежность и правильность записи критической информации следует периодически проверять использованием контрольных процедур восстановления.

18.4. Порядок восстановления работоспособности ОИ

В случае возникновения нештатной ситуации, вызвавшей полную или частичную потерю работоспособности ОИ, должно быть обеспечено ее восстановление из резервной копии. Факт возникновения нештатной ситуации на ОИ подлежит обязательной регистрации в журнале учета нештатных ситуаций в информационных системах, форма которого приведена в Приложении N 9 к настоящему Положению.

При восстановлении работоспособности ПО сначала осуществляется резервное копирование информационных ресурсов, содержащих защищаемую информацию, затем производится полное уничтожение некорректно работающего ПО.

Восстановление ПО производится путем его установки с использованием эталонных дистрибутивов (установочных дисков).

При работе в ИС рекомендуется использовать источники бесперебойного питания с целью предотвращения повреждения ТС, входящих в состав ИС, и (или) защищаемой информации, обрабатываемой в ИС, в результате сбоев в сети электропитания.

Восстановление СЗИ производится с использованием дистрибутива. При восстановлении работоспособности СЗИ необходимо выполнить их настройку в соответствии с требованиями безопасности информации. После настройки СЗИ выполняется резервное копирование настроек данных СЗИ с помощью встроенных в них функций на учтенный машинный носитель информации.

Ответственность за организацию резервного копирования, проведения мероприятий по восстановлению работоспособности информационных ресурсов, технических и программных средств, входящих в состав ОИ, возлагается на администратора информационной безопасности.

19. Порядок работы с электронными журналами протоколирования и анализа (аудита) значимых событий

Правила и порядок протоколирования и анализа (аудита) значимых событий в ИС направлены на превентивную фиксацию и изучение действий субъектов доступа на ОИ, а также на своевременное выявление фактов НСД к защищаемой информации.

Все события, происходящие в общесистемном, прикладном ПО, других критических приложениях и СЗИ, применяемых на ОИ должны протоколироваться в специальные электронные журналы аудита.

Проверке подлежат следующие электронные журналы:

- Журналы, формируемые ОС и прикладным ПО;

- Журнал событий, формируемых СУБД;

- Журнал событий, формируемых СЗИ.

На ОИ, на которых установлены СЗИ от НСД, проверка соответствующего электронного журнала событий, формируемых данными СЗИ, производится в соответствии с прилагаемой к ним технической и эксплуатационной документацией.

Аудит событий, зафиксированных в электронных журналах, должен анализироваться в плановом порядке на постоянной основе не реже 1 (Одного) раза в неделю администратором информационной безопасности с обязательной регистрацией в журнале проверки электронных журналов ОИ, форма которого приведена в Приложении N 10 к настоящему Положению.

20. Порядок обращения со средствами защиты информации

20.1. Учет средств защиты информации

Под СЗИ в настоящем разделе понимается СЗИ, не являющееся средствами криптографической защиты.

Процедура установки СЗИ сопровождается оформлением акта установки СЗИ, форма которого приведена в Приложении N 14 к настоящему Положению. В случае необходимости деинсталляции СЗИ оформляется соответствующая заявка, форма которой приведена в Приложении N 15 к настоящему Положению. Процедура деинсталляции СЗИ сопровождается оформлением акта деинсталляции СЗИ, форма которого приведена в Приложении N 16 к настоящему Положению.

Инсталлирующие СЗИ носители, установленные СЗИ, эксплуатационная и техническая документация к СЗИ подлежат поэкземплярному учету в журнале поэкземплярного учета средств защиты информации информационных систем, эксплуатационной и технической документации к ним, форма которого приведена в Приложении N 11 к настоящему Положению.

Администратор информационной безопасности должен осуществлять один раз в месяц тестирование СЗИ с отметкой в журнале учета периодического тестирования средств защиты информации информационных систем, форма которого приведена в Приложении N 12.

20.2. Распространение средств защиты информации

СЗИ доставляются фельдъегерской (в том числе ведомственной) связью или со специально выделенными сотрудниками при соблюдении мер, исключающих бесконтрольный доступ к СЗИ во время доставки.

При пересылке СЗИ помещаются в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия. Эксплуатационная и техническая документация к СЗИ пересылается заказными, ценными почтовыми отправлениями или доставляется специально выделенными сотрудники.

При пересылке СЗИ, эксплуатационной и технической документации к ним подготавливается сопроводительное письмо, в котором указывается: что посылается и в каком количестве, учетные номера изделий или документов, а также, при необходимости, назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывается в одну из упаковок.

Отправитель контролирует доставку своих отправлений адресатам. Если от адресата своевременно не поступило соответствующего подтверждения, то отправитель направляет ему запрос и принимает меры к уточнению местонахождения отправлений.

20.3. Получение средств защиты информации

Полученные упаковки вскрываются только лицом, для которого они предназначены.

Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получателем составляется акт, который высылается отправителю. Полученные с такими отправлениями СЗИ до получения указаний от отправителя применять не разрешается.

При обнаружении бракованных СЗИ один экземпляр бракованного изделия возвращается отправителю для установления причин происшедшего и их устранения в дальнейшем, а оставшиеся экземпляры хранятся до поступления дополнительных указаний от отправителя.

Получение СЗИ, эксплуатационной и технической документации к ним подтверждается отправителю в соответствии с порядком, указанным в сопроводительном письме.

20.4. Уничтожение средств защиты информации

СЗИ уничтожаются (утилизируются) по решению руководителя.

Намеченные к уничтожению (утилизации) СЗИ изымаются из аппаратных средств, с которыми они функционировали. При этом СЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СЗИ процедура удаления программного обеспечения СЗИ и они полностью отсоединены от аппаратных средств.

Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения используются после уничтожения СЗИ без ограничений.

Уничтожение большого объема инсталлирующих СЗИ носителей оформляется актом. Уничтожение по акту производится комиссией в составе не менее трех человек из числа лиц, допущенных к работе с СЗИ. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых инсталлирующих СЗИ носителей. Исправления в тексте акта оговариваются и заверяются подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в журнале поэкземплярного учета средств защиты информации информационных систем, эксплуатационной и технической документации к ним.

Эксплуатационная и техническая документация к СЗИ уничтожается путем сжигания или с помощью любых бумагорезательных машин. Факт уничтожения эксплуатационной и технической документации к СЗИ оформляется в журнале поэкземплярного учета средств защиты информации информационных систем, эксплуатационной и технической документации к ним.

Уничтожение большого объема эксплуатационной и технической документации к СЗИ оформляется актом. Уничтожение по акту производится комиссией в составе не менее трех человек из числа лиц, допущенных к работе с СЗИ. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемой эксплуатационной и технической документации к СЗИ. Исправления в тексте акта оговариваются и заверяются подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в журнале поэкземплярного учета средств защиты информации информационных систем, эксплуатационной и технической документации к ним.

20.5. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены средства защиты информации

Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СЗИ, должны обеспечивать сохранность ПДн, СЗИ, исключать возможность неконтролируемого проникновения или пребывания в помещениях, где установлены СЗИ, посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

При оборудовании помещений, где установлены СЗИ, должны выполняться требования к размещению и монтажу СЗИ, а также другого оборудования, функционирующего с СЗИ.

Инсталлирующие СЗИ носители, эксплуатационная и техническая документация к СЗИ должна храниться в металлических хранилищах (ящиках, шкафах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

Помещения, где установлены СЗИ, должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время.

Для предотвращения просмотра извне помещений, где установлены СЗИ, их окна должны быть оборудованы шторами или жалюзи.

20.6. Ответственность за нарушение требований эксплуатации средств защиты

Контроль за организацией и обеспечением функционирования СЗИ возлагается на администратора информационной безопасности в пределах его полномочий.

Пользователи ОИ несут персональную ответственность за:

- эксплуатацию установленных на ОИ СЗИ;

- соблюдение положений настоящего Положения. Администратор информационной безопасности несет ответственность за:

- сохранность полученных СЗИ, эксплуатационной и технической документации к СЗИ;

- соответствие проводимых им мероприятий по организации и обеспечению безопасности обработки защищаемой информации с использованием СЗИ лицензионным требованиям и условиям, эксплуатационной и технической документации к СЗИ.

21. Порядок обеспечения информационной безопасности ИС при модернизации (обновлении) аппаратных и программных компонентов

Настоящие правила и порядок модернизации (обновления) аппаратных компонентов, ПО ОИ в целях информационной безопасности направлены на защиту ресурсов от:

- нарушения штатной работы информационных ресурсов и сервисов;

- нарушения штатного функционирования оборудования;

- несанкционированной модификации;

- несанкционированного копирования.

Ответственность за невыполнение требований настоящей главы, проведение в плановом порядке работ по обновлению оборудования, ОС, ПО в целях своевременной ликвидации выявленных уязвимостей ПО в информационной инфраструктуре, за отслеживание появления новых уязвимостей в используемых ОС, за установку патчей, устраняющих данные уязвимости, за тестирование ОИ при внесении изменений и дополнений в ПО и оборудование на отсутствие негативных воздействий на функционирование ОИ, ответственность за мониторинг событий, фиксируемых системами безопасности, несет администратор информационной безопасности.

Установке нового оборудования предшествует тестирование ОИ на отсутствие негативных воздействий вновь устанавливаемого оборудования.

Установке обновлений предшествует тестирование ОИ на отсутствие негативных воздействий от вновь устанавливаемых обновлений.

При обнаружении негативного воздействия устанавливаемого оборудования на ОИ, функционирующие в штатном режиме, такое оборудование не устанавливается. В этом случае разрабатывается план дополнительных мероприятий, направленных на устранение негативного воздействия устанавливаемого оборудования.

Установке новых версий ПО или внесению изменений и дополнений в действующее ПО предшествует тестирование ОИ на отсутствие негативных воздействий устанавливаемого ПО.

Установка протестированного оборудования и (или) патчей, новых версий ПО или внесение изменений и дополнений в действующее ПО, применение организационно-технических и (или) аппаратно-программных решений может быть произведено на основании решения администратора информационной безопасности.

Тестирование нового оборудования и обновлений ПО не должно осуществляться на ресурсах действующей информационной инфраструктуры ИС.

22. Контроль и надзор за эксплуатацией аттестованных ОИ

Государственный контроль и надзор за проведением аттестации ОИ по требованиям безопасности информации, а также за соблюдением правил эксплуатации аттестованных ОИ и эффективностью принятых мер защиты некриптографическими методами, проводится ФСТЭК России и ее территориальными органами.

Объем, содержание и порядок государственного контроля и надзора устанавливаются нормативными и методическими документами по обеспечению безопасности информации при ее обработке на ОИ. Контрольные мероприятия проводятся в соответствии с утвержденными планами работ.

Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации ОИ, проверку правильности оформления отчетных документов и протоколов аттестационных испытаний, проверку своевременности внесения изменений в организационно-распорядительные документы по обеспечению безопасности информации, а также контроль за эксплуатацией аттестованных ОИ.

23. Ответственность за нарушение требований законодательства

Лица, виновные в нарушении норм законодательства в сфере защиты информации, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, предусмотренном законодательством РФ.