Раздел II. Техническая защита служебной информации ограниченного доступа. Приказ Аппарата Администрации Ненецкого автономного округа от 13.06.2017 N 48 "О порядке обращения со служебной информацией ограниченного доступа в Аппарате Администрации Ненецкого автономного округа"

Раздел II
Техническая защита служебной информации ограниченного доступа

11. Техническая защита служебной информации ограниченного доступа в Аппарате Администрации Ненецкого автономного округа осуществляется в соответствии с законодательством Российской Федерации, стандартами и иными правовыми актами Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) в области защиты информации, а также настоящим Положением.

12. В целях подтверждения эффективности системы защиты информации, реализованной в защищаемых помещениях, проводится их аттестация на соответствие требованиям безопасности информации.

Аттестация защищаемых помещений проводится в соответствии со Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 года N 282, национальными стандартами ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения" и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний".

Проведение аттестации защищаемых помещений организуется до их ввода в эксплуатацию с привлечением юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Последующая аттестация защищаемых помещений проводится не реже одного раза в 3 года.

13. Программа аттестационных испытаний защищаемых помещений согласовывается с сектором защиты информации Аппарата Администрации Ненецкого автономного округа.

14. Ввод в эксплуатацию защищаемого помещения осуществляется после его аттестации по требованиям безопасности информации на основании выданного аттестата соответствия.

Решение о вводе в эксплуатацию защищаемого помещения оформляется в форме приказа Аппарата Администрации Ненецкого автономного округа.

15. Создание систем защиты персональных данных, обрабатываемых в информационных системах персональных данных Аппарата Администрации Ненецкого автономного округа, осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 (далее - Требования к защите персональных данных), Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 года N 21.

Обеспечение безопасности персональных данных при их обработке в государственных информационных системах Аппарата Администрации Ненецкого автономного округа (далее - ГИС) осуществляется в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 года N 17 (далее - Требования о защите информации) и Требованиями к защите персональных данных.

При обработке персональных данных в ГИС должно быть обеспечено соответствующее соотношение класса защищенности ГИС с уровнем защищенности персональных данных в соответствии с пунктом 27 Требований о защите информации. В случае если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности ГИС, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований о защите информации.

16. Уровень защищенности персональных данных, обрабатываемых в информационной системе персональных данных Аппарата Администрации Ненецкого автономного округа, устанавливается комиссией по классификации информационных систем персональных данных Аппарата Администрации Ненецкого автономного округа в соответствии с Требованиями к защите персональных данных и оформляется актом.

Класс защищенности ГИС, в которой обрабатываются персональные данные, устанавливается комиссией по классификации информационных систем персональных данных Аппарата Администрации Ненецкого автономного округа в соответствии с пунктом 14.2 Требований о защите информации и оформляется актом классификации.

Комиссия по классификации информационных систем персональных данных Аппарата Администрации Ненецкого автономного округа создается распоряжением Аппарата Администрации Ненецкого автономного округа.

17. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Определение типов угроз безопасности персональных данных, актуальных для информационной системы, производится в соответствии с пунктом 7 Требований к защите персональных данных.

Для выбора и реализации в ГИС мер защиты информации в соответствии с пунктом 21 Требований о защите информации применяется методический документ "Меры защиты информации в государственных информационных системах", утвержденный ФСТЭК России 11 февраля 2014 года.

По решению Аппарата Администрации Ненецкого автономного округа методический документ "Меры защиты информации в государственных информационных системах", утвержденный ФСТЭК России 11 февраля 2014 года, применяется для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 года N 21.

18. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится до ввода в эксплуатацию информационной системы персональных данных Аппаратом Администрации Ненецкого автономного округа самостоятельно или с привлечением юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

После ввода в эксплуатацию информационной системы персональных данных оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится не реже одного раза в 3 года.

Решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается Аппаратом Администрации Ненецкого автономного округа самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.

Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения".

В случае обработки персональных данных в ГИС оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации ГИС по требованиям защиты информации в соответствии с Требованиями о защите информации, национальными стандартами ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения" и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний". Аттестация ГИС по требованиям защиты информации проводится не реже одного раза в 3 года.