Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление Администрации Мещовского района Калужской области от 16 мая 2017 г. N 319 "Об утверждении порядка выполнения требований по обеспечению безопасности персональных данных в информационных системах персональных данных Администрации муниципального района "Мещовский район", эксплуатируемых с использованием криптосредств"
- Приложение N 1. Порядок выполнения требований по обеспечению безопасности персональных данных в информационных системах персональных данных Администрации муниципального района "Мещовский район", эксплуатируемых с использованием криптосредств
Приложение N 1. Порядок выполнения требований по обеспечению безопасности персональных данных в информационных системах персональных данных Администрации муниципального района "Мещовский район", эксплуатируемых с использованием криптосредств
Приложение N 1
к постановлению
Администрации
муниципального района
"Мещовский район"
от 16 мая 2017 г. N 319
Порядок
выполнения требований по обеспечению безопасности персональных данных в информационных системах персональных данных Администрации муниципального района "Мещовский район", эксплуатируемых с использованием криптосредств
В целях выполнения требований Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ РФ 21 февраля 2008 г. N 149/6/6-622) принять следующие организационные и технические меры:
1. Организация системы защиты персональных данных
1.1. В Администрации муниципального района "Мещовский район" (далее - Администрация, Оператор) должен быть назначен ответственный за обеспечение безопасности персональных данных (далее - ПДн) в информационных системах персональных данных (далее - ИСПДн).
1.2. Администрацией должны быть разработаны и введены в действие документы, регламентирующие работу с ПДн.
1.3. Необходимо вести учет пользователей, допущенных к работе в ИСПДн.
1.4. В соответствии с п. 1 постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" необходимо определить перечень должностей, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн.
1.5. В соответствии с п. 5 ч. 2 ст. 19 Федерального закона "О персональных данных" необходимо вести учет машинных носителей ПДн. Форма Журнала учета отчуждаемых машинных носителей персональных данных утверждена нормативным актом Администрации.
1.6. Необходимо обеспечить сохранность носителей ПДн, которые предназначены для передачи ПДн в рамках договоров, заключенных между Администрацией и третьими лицами.
1.7. В соответствии с п. 1 указа Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.
2. Организация системы криптографических мер защиты информации
2.1. На используемые ИСПДн должны быть разработаны модели угроз безопасности ПДн.
2.2. В соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" необходимо установить уровень защищенности ПДн при их обработке в ИСПДн.
3. Разрешительная и эксплуатационная документация
3.1. Необходимо иметь акты ввода в эксплуатацию криптосредств.
3.2. В имеющихся формулярах на криптосредства должны присутствовать записи о закреплении изделия при эксплуатации.
4. Требования к обслуживающему персоналу
4.1. Администрацией должен быть назначен ответственный пользователь криптосредств.
4.2. Ответственному пользователю криптосредств необходимо ознакомиться с Инструкцией ответственного пользователя криптосредств под роспись.
4.3. Ответственному пользователю криптосредств необходимо провести обучение по работе с криптосредствами.
4.4. В должностные инструкции ответственного пользователя криптосредств должны быть внесены необходимые коррективы, связанные с исполнением служебных обязанностей по данному направлению, в соответствии с Рекомендациями по внесению изменений в должностные инструкции персонала в части обеспечения безопасности ПДн при их обработке в ИСПДн.
4.5. Необходимо вести учет лиц, допущенных к работе с криптосредствами. Перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных (пользователи криптосредств), утвержден нормативным актом Администрации.
4.6. Пользователям криптосредств необходимо ознакомиться с Инструкцией пользователя криптосредств под роспись.
5. Эксплуатация криптосредств
5.1. Необходимо вести журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал). Форма соответствующего Журнала утверждена нормативным актом Администрации. Правила заполнения Журнала представлены в Приложении N 1 к настоящим Рекомендациям.
ГАРАНТ:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "Приложение N 1 к настоящему Порядку"
6. Организационные меры
6.1. При размещении криптосредств должны соблюдаться условия, указанные в ч. 4 типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ РФ 21 февраля 2008 г. N 149/6/6-622).