Приказ Федеральной службы государственной регистрации, кадастра и картографии
от 29 января 2013 г. N П/31
"Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Федеральной службе государственной регистрации, кадастра и картографии"
23 января 2014 г.
В целях обеспечения безопасности персональных данных при обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии, а также выполнения требований Федерального закона от 27.06.2006 N 152-ФЗ "О персональных данных" приказываю:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Федерального закона следует читать как "27.07.2006"
1. Утвердить прилагаемое Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии (далее - Положение).
2. Начальникам структурных подразделений центрального аппарата Росреестра, руководителям территориальных органов Росреестра обеспечить реализацию Положения.
Приказом Росреестра от 23 января 2014 г. N П/17 пункт 3 изложен в новой редакции
3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Д.А. Солодовникова.
Руководитель |
Н.Н. Антипина |
Положение
по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии
(утв. приказом Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. N П/31)
Термины и определения
Перечень сокращений
АРМ |
- |
автоматизированное рабочее место |
АС |
- |
автоматизированная система |
ЗИ |
- |
защита информации |
ИБ |
- |
информационная безопасность |
ИР |
- |
информационный ресурс |
ИС |
- |
информационная система |
ИСПДн |
- |
информационная система персональных данных |
ИТ |
- |
информационная технология |
МЭ |
- |
межсетевой экран |
НСД |
- |
несанкционированный доступ |
ОС |
- |
операционная система |
ПДн |
- |
персональные данные |
ПО |
- |
программное обеспечение |
Подразделение ИБ |
- |
подразделение центрального аппарата/территориального органа Росреестра, отвечающее за обеспечение информационной безопасности |
Подразделение ИТ |
- |
подразделение центрального аппарата/территориального органа Росреестра |
Положение |
- |
Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра |
СВТ |
- |
средство вычислительной техники |
СЗИ |
- |
средство защиты информации |
СЗПДн |
- |
система защиты персональных данных |
СКЗИ |
- |
средство криптографической защиты информации |
СТР-К |
- |
"Специальные требования и рекомендации по технической защите конфиденциальной информации", утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. N 282 |
ТС |
- |
техническое средство |
Росреестр |
- |
Федеральная служба государственной регистрации, кадастра и картографии |
Территориальные органы Росреестра |
- |
территориальные органы Федеральной службы государственной регистрации, кадастра и картографии по субъектам Российской федерации |
ФСБ |
- |
Федеральная служба безопасности |
ФСТЭК |
|
Федеральная служба по техническому и экспортному контролю |
1. Общие положения
Настоящее Положение регламентирует вопросы обеспечения безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) в Росреестре и его территориальных органах и определяет порядок организации работ по созданию и эксплуатации системы защиты персональных данных (СЗПДн).
Настоящее Положение разработано на основании следующих основных нормативных правовых актов и документов в области обеспечения безопасности ПДн:
- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (в редакции от 25.07.2011 N 261-ФЗ);
- постановление Правительства Российской Федераций от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановление Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствий с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 5.02.2010 N 58;
- Порядок проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20 (зарегистрирован в Минюсте России 3.04.2008, регистрационный N 11462);
- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 N 282.
Действие настоящего Положения не распространяется на вопросы, связанные с обработкой ПДн, осуществляемой без использования средств автоматизации. Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Росреестра, определяются в отдельном документе с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15.09.2008 N 687.
2. Порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн
Под организацией работ по обеспечению безопасности ПДн при их обработке в ИСПДн понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла ИСПДн, согласованных по цели, задачам, месту и времени, направленных на предотвращение (нейтрализацию) и парирование угроз безопасности ПДн в ИСПДн, восстановление нормального функционирования ИСПДн после нейтрализации угрозы с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.
Организация работ по защите ПДн предусматривает формирование:
- перечня ПДн, обрабатываемых в информационных системах (ИС) Росреестра;
- порядка классификации ИС Росреестра как ИСПДн;
- порядка разработки, ввода в действие и эксплуатации ИСПДн в части реализации мероприятий по обеспечению безопасности ПДн;
- порядка взаимодействия между ответственными за обеспечение безопасности ПДн и эксплуатирующими подразделениями (администраторами) по вопросам обеспечения безопасности ПДн;
- порядка привлечения структурных подразделений Росреестра и специализированных сторонних организаций к разработке и эксплуатации СЗПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн в соответствии с требованиями Руководящих документов по безопасности с учетом механизмов, предусмотренных Федеральным законом от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд";
- ответственности должностных лиц за обеспечение безопасности ПДн, своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн;
- порядка контроля обеспечения требуемого уровня защищенности ПДн.
Согласование подключений сторонних организаций к сети Росреестра осуществляется после согласования схемы подключения центральным аппаратом Росреестра, подписания лицензионного договора на использование ПК ПВД между Росреестром и сторонней организацией и соглашения о взаимодействии между такой сторонней организацией, территориальным органом Росреестра и филиалом федерального государственного бюджетного учреждения "Федеральная кадастровая палата Федеральной службы государственной регистрации, кадастра и картографии" по субъекту Российской Федерации.
Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн ответственным за обеспечение безопасности ПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается специалист по информационной безопасности (отдел) (далее -подразделение информационной безопасности (ИБ).
Непосредственно исполнение работ по защите информации (ПДн) в ИСПДн с использованием средств автоматизации возлагается на начальников соответствующих структурных подразделений центрального аппарата Росреестра и территориальных органов Росреестра, ответственных за развитие и использование (эксплуатацию) ИСПДн Росреестра.
Для проведения классификации ИСПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается специальная внутренняя комиссия (рабочая группа). В состав этой комиссии (группы) включаются представители подразделения ИБ, правового обеспечения, должностные лица - обладатели информационных ресурсов ИСПДн.
Для придания необходимого статуса рабочей группе могут издаваться соответствующие распоряжения руководителя Росреестра/территориального органа Росреестра, в которых, в частности, даются указания всем начальникам структурных подразделений центрального аппарата Росреестра/территориального органа Росреестра об оказании содействия и необходимой помощи в работе комиссии (рабочей группе) при проведении работ. Для оказания помощи на время работы группы в подразделениях начальниками этих структурных подразделений выделяются работники, владеющие детальной информацией по вопросам обработки ПДн в данных подразделениях.
Проведение предпроектного обследования ИСПДн, разработка и реализация СЗПДн могут осуществляться как работниками центрального аппарата/территориального органа Росреестра (специалистами по информационной безопасности и информационным технологиям центрального аппарата/территориального органа Росреестра), так и на договорной основе с другими специализированными организациями, имеющими соответствующие лицензии на деятельность по технической защите конфиденциальной информации, по согласованию с Росреестром результатов работ данными организациями в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд". Научно-техническое и методическое руководство, непосредственная организация работ по созданию (модернизации) СЗПДн и контроль за эффективностью использования предусмотренных мер возлагается на специалиста по информационной безопасности (подразделение ИБ) в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
В случае разработки СЗПДн или ее отдельных компонентов специализированными организациями подразделение ИБ отвечает за организацию и проведение мероприятий по защите информации. Разработка, внедрение и эксплуатация СЗПДн осуществляются во взаимодействии разработчика с подразделением ИБ.
Контроль за реализацией проектных решений возлагается на заместителя руководителя Росреестра и заместителей руководителя территориального органа Росреестра, отвечающих за ИТ.
2.1. Порядок определения защищаемой информации и классификации ИСПДн
Внутренней комиссией (рабочей группой)*(1), образованной приказом Росреестра (территориального органа Росреестра), для каждой ИСПДн определяется перечень ПДн, уточняются цели и основание обработки ПДн, а также срок хранения и условия прекращения обработки.
Целью классификации ИС Росреестра как ИСПДн является определение по её результатам перечня обоснованных организационных и технических мероприятий, позволяющих выполнить требования по обеспечению безопасности ПДн с учётом особенностей конкретной ИСПДн. Классификация может проводиться на этапе создания ИС или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИС).
Классификация ИСПДн осуществляется в соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
Классификация ИСПДн проводится внутренней комиссией (рабочей группой) и включает в себя следующие этапы:
- сбор и анализ исходных данных по ИС;
- присвоение ИС соответствующего класса и его документальное оформление.
При проведении классификации ИСПДн внутренней комиссией (рабочей группой) определяется:
- заданные оператором (Росреестр) характеристики безопасности ПДн, обрабатываемых в ИС;
- структура ИС;
- наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена;
- режим обработки ПДн;
- режим разграничения прав доступа пользователей ИС;
- местонахождение технических средств ИС.
В случае выделения в составе ИС подсистем, каждая из которых является ИС, ИС в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем, если данные ИС не разделены между собой МЭ.
Предложения комиссии (рабочей группы) по отнесению ИС к определенному классу согласовываются с оператором информационных ресурсов (ИР) ИСПДн.
Результаты классификации ИСПДн Росреестра оформляются актом, утверждаемым руководителем Росреестра/территориального органа Росреестра, в соответствии с Приложением N 1 к Специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К), утвержденным приказом Гостехкомиссии России от 30.08.2002 N 282. Сформированные по результатам классификации материалы являются неотъемлемой частью организационно-распорядительной документации ИСПДн и относятся к информации конфиденциального характера. Оригиналы организационно-распорядительной документации ИСПДн хранятся у лица, ответственного за организацию работ по защите ПДн.
Класс ИСПДн может быть пересмотрен комиссией (рабочей группой) в установленном порядке в соответствии с требованиями приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных" в следующих случаях:
- на основе результатов проведенного анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИС;
- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в ИС.
2.2. Порядок разработки, ввода в действие и эксплуатации СЗПДн
Предусматриваются следующие стадии разработки и сопровождения СЗПДн:
- предпроектная стадия;
- стадия проектирования (разработки проектов) и реализации ИСПДн;
- стадия ввода в действие СЗПДн.
2.2.1. Предпроектная стадия
На предпроектной стадии проводится предпроектное обследование ИСПДн и разработка технического (частного технического) задания на создание СЗПДн.
Выполнение данных работ может осуществляться на договорной основе специализированной сторонней организацией в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд", имеющей соответствующую лицензию на деятельность по технической защите конфиденциальной информации.
Условия соблюдения конфиденциальности специалистами привлекаемой специализированной сторонней организации при проведении работ оформляются в рамках государственного контракта в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд".
Нумерация подразделов приводится в соответствии с источником
2.2.1. Стадия проектирования и реализации СЗПДн
Проектирование (разработка проектов) и реализация СЗПДн проводится на основании требований, изложенных в техническом (частном техническом) задании на разработку СЗПДн, а также в соответствии с требованиями приказа Росреестра от 14.06.2011 N П/217 "Об утверждении порядка организации процессов жизненного-цикла программных средств информационных систем и информационных технологий Федеральной службы государственной регистрации, кадастра и картографии". Выбор исполнителя для разработки проекта (или раздела проекта) на создание СЗПДн в составе ИСПДн осуществляется руководителем подразделения ИБ и утверждается руководителем Росреестра/территориального органа Росреестра.
При разработке СЗПДн в составе ИСПДн проводятся следующие мероприятия:
- разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
- разработка раздела технического проекта на ИСПДн в части защиты информации;
- проведение строительно-монтажных работ в соответствии с проектной документацией;
- использование серийно выпускаемых технических средств обработки, передачи и хранения информации;
- разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
- использование сертифицированных технических, программных и программно-технических СЗИ и их установка;
- сертификация по требованиям безопасности информации программных СЗИ в случае, если на рынке отсутствуют требуемые сертифицированные СЗИ;
- разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;
- определение подразделений и назначение лиц, ответственных за эксплуатацию СЗИ, с их обучением по направлению безопасности ПДн;
- разработка рабочей, эксплуатационной документации на СЗПДн, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
- выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.
Проектная документация подлежит согласованию с начальником Отдела ИБ Росреестра/территориального органа Росреестра.
2.2.2. Стадия ввода в действие СЗПДн
На стадии ввода в действие СЗПДн выполняются следующие мероприятия:
- опытная эксплуатация средств защиты в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки технологического процесса обработки (передачи) информации;
- приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;
- организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;
- оценка соответствия ИСПДн требованиям безопасности ПДн.
Ввод в эксплуатацию СЗПДн осуществляется на основании приказа руководителя Росреестра/территориального органа Росреестра, который издается на основании положительных результатов оценки соответствия ИСПДн Росреестра/территориального органа Росреестра требованиям безопасности ПДн.
Эксплуатация СЗПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требований и положений, изложенных в настоящем документе.
При определении порядка проведения технического обслуживания и ремонтных работ в СЗПДн учитывается требование исполнения данных работ только уполномоченными работниками Росреестра/территориального органа Росреестра (или в их присутствии), назначенными ответственными за обслуживание (сопровождение) СЗПДн.
Все процедуры, связанные с изменением конфигурации СЗПДн, проведением технического обслуживания и ремонтных работ на технических средствах СЗПДн предусматривают документирование объемов и сроков выполненных работ, а также лиц (организаций), проводивших эти работы.
2.3. Порядок привлечения структурных подразделений Росреестра и специализированных сторонних организаций к разработке и эксплуатации ИСПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн
Для организации и обеспечения безопасности ПДн при их обработке в ИСПДн ответственным структурным подразделением за обеспечение безопасности ПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается подразделение ИБ Росреестра. В территориальных органах Росреестра ответственными за обеспечение безопасности ПДн назначаются подразделения ИБ.
Подразделение ИБ обеспечивает методическое руководство, разработку требований к мерам защиты ИСПДн Росреестра/территориального органа Росреестра и контроль за эффективностью использования предусмотренных мер защиты информации.
Подразделение ИБ обеспечивает подготовку предложений по совершенствованию и реализации положений Политики безопасности информации и контролирует выполнение установленных требований в структурных подразделениях Росреестра и территориальных органов Росреестра.
Подразделение ИБ осуществляет следующие основные функции:
- разрабатывает предложения по определению класса защищенности объектов ИСПДн и автоматизированной системы (АС);
- участвует в организации работ по выявлению актуальных угроз безопасности ПДн;
- осуществляет методическое руководство и участвует в разработке (согласовании) конкретных требований по защите ПДн и разработке технического (частного технического) задания на создание СЗПДн;
- согласовывает выбор конкретных средств обработки ПДн, технических и программных средств защиты;
- осуществляет контроль реализации проектных решений на создание СЗПДн;
- участвует в организации работ по оценке соответствия ИСПДн предъявляемым требованиям по обеспечению безопасности ПДн;
- участвует в организации разработки организационно-распорядительной документации по защите информации в ИСПДн;
- проводит контроль требуемого уровня обеспечения защищенности ПДн при эксплуатации СЗПДн, в том числе контроль соблюдения условий использования СЗИ;
- участвует в организации обучения должностных лиц Росреестра и территориальных органов Росреестра, ответственных за эксплуатацию СЗИ, по направлению обеспечения безопасности ПДн;
- участвует в организации охраны и физической защиты помещений Росреестра и территориальных органов Росреестра, в которых размещаются средства обработки ПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;
- оказывает методическую помощь должностным лицам территориально удаленных подразделений территориальных органов Росреестра, назначенным ответственными за обеспечение безопасности ПДн.
Подразделение ИТ разрабатывает правила работы с информацией, техническими средствами и правила использования ПДн в соответствии с возможностями, функциями, предназначением и степени защищенности этих средств, ресурсов и требованиям к защите и доступности ПДн, осуществляет предоставление ИТ-сервисов всем структурным подразделениям Росреестра и его территориальных органов, отвечает за их целостность и доступность, обеспечивает разграничение доступа к ПДн в процессе их использования, контроль над ходом информационных процессов.
Привлечение для разработки СЗПДн или ее отдельных компонентов сторонних специализированных организаций осуществляется в соответствии с порядком, устанавливаемым нормативными и организационно-распорядительными документами ФСТЭК и ФСБ России.
В случае привлечения для обеспечения безопасности ПДн сторонних специализированных организаций в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд" рекомендуется выполнение следующих условий:
- наличие у организации лицензии на право проведения работ по технической защите конфиденциальной информации;
- оформление соглашения о неразглашении конфиденциальных сведений;
- проведение инструктажа исполнителей работ по вопросам ИБ;
- другие условия, устанавливаемые соответствующими нормативными и организационно-распорядительными документами.
При привлечении сторонних специализированных организаций работникам следует учитывать следующие функции в техническом задании:
а) на предпроектной стадии:
- уточнение перечня ПДн, подлежащих защите;
- определение условий расположения ИСПДн относительно границ контролируемой зоны;
- определение конфигурации и топологии ИСПДн в целом, и ее отдельных компонент, физические, функциональные и технологические связи как внутри ИСПДн, так и с другими системами различного назначения;
- определение технических средств и систем, включаемых в состав ИСПДн, условий их расположения, общесистемных и прикладных программных средств;
- определение режимов обработки ПДн в ИСПДн;
- разработка предложений по уточнению класса защищенности ИСПДн;
- уточнение степени участия работников в обработке ПДн, характера их взаимодействия между собой;
- определение (уточнение) угроз безопасности ПДн с учётом конкретных условий функционирования ИСПДн, разработка проекта частной модели угроз;
- участие в разработке (согласовании) конкретных требований по защите ПДн и разработке технического (частного технического) задания на создание СЗПДн.
б) на стадии проектирования:
- разработка технического проекта на создание СЗПДн в соответствии с требованиями Руководящих документов ФСТЭК России и ФСБ России;
- монтажные работы в соответствии с проектной документацией;
- использование сертифицированных технических, программных и программно-технических СЗИ и их установка;
- организация сертификации по требованиям безопасности информации программных СЗИ в случае, когда на рынке отсутствуют требуемые сертифицированные СЗИ;
- разработка разрешительной системы доступа пользователей к ПДн, обрабатываемым в ИСПДн;
- разработка (в согласованном объеме) эксплуатационной документации на СЗПДн.
в) на стадии ввода СЗПДн в эксплуатацию:
- установка СЗИ;
- предварительные испытания и опытная эксплуатация СЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;
- приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;
- оценка соответствия ИСПДн требованиям безопасности ПДн.
3. Основные требования и правила по обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра
Обеспечение безопасности ПДн при их обработке в ИСПДн Росреестра достигается применением организационных и технических мер, причем в интересах обеспечения безопасности в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации.
Основными направлениями защиты информации (ПДн) являются:
- обеспечение защиты информации (ПДн) от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет несанкционированного доступа (НСД) и специальных воздействий;
- обеспечение защиты информации (ПДн) от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
Основными мерами защиты информации (ПДн) являются:
- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к ИР, ИС и связанным с ее использованием работам, документам;
- ограничение доступа пользователей в помещения, где размещены технические средства (ТС), позволяющие осуществлять обработку ПДн, а также хранятся носители информации;
- разграничение доступа пользователей и обслуживающего персонала к ИР, программным средствам обработки (передачи) и защиты информации;
- регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа (НСД) и действий пользователей, обслуживающего персонала и посторонних лиц;
- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
- резервирование ТС, дублирование массивов и носителей информации;
- использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия требованиям безопасности информации;
- использование защищенных каналов связи;
- размещение ТС, позволяющих осуществлять обработку ПДн в пределах охраняемой территории;
- использование ТС, удовлетворяющих требованиям стандартов по электромагнитной совместимости, безопасности, санитарным нормам, предъявляемым к видеодисплейным терминалам;
- размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах охраняемой территории;
- обеспечение развязки цепей электропитания ТС с помощью защитных фильтров, блокирующих (подавляющих) информационный сигнал;
- обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных ТС и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация;
- размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
- организация физической защиты помещений и собственно ТС, позволяющих осуществлять обработку ПДн;
- предотвращение внедрения в ИС вредоносных программ (программ-вирусов) и программных закладок.
Для обеспечения безопасности ПДн от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД в зависимости от класса ИСПДн, заданных характеристик безопасности обрабатываемых ПДн, угроз безопасности ПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режимов обработки ПДн в рамках СЗИ от НСД реализуются функции управления доступом, регистрации и учёта, обеспечения целостности, анализа защищённости, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.
Перечень мер по защите информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи применяются по решению руководителя Росреестра/территориального органа Росреестра.
Применяемые СЗИ учитываются в Журнале учета СЗИ. Форма Журнала приведена в Приложении (см. Приложение Ж). В случае проведения аттестации ИСПДн учет применяемых технических СЗИ ведется в документе "Технический паспорт ИСПДн" в соответствии с требованиями СТР-К*(2).
3.1. Требования по организации разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации
Данный раздел Положения регламентирует порядок взаимодействия подразделений Росреестра и его территориальных органов по обеспечению безопасности ПДн при организации разрешительной системы доступа к сервисам и ресурсам ИСПДн Росреестра.
Разрешительная система доступа к обрабатываемой в ИСПДн информации предусматривает установление единого порядка обращения со сведениями, содержащими ПДн клиентов и работников Росреестра и его территориальных органов, и их носителями, определяет степень ограничения на доступ к данной информации и степень ответственности за сохранность предоставленной информации.
Организация разрешительной системы доступа относится к основным вопросам управления обеспечением безопасности ПДн и включает:
- распределение функций управления доступом к данным и их обработкой между должностными лицами;
- определение порядка изменения правил доступа к защищаемой информации;
- определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
- контроль функционирования разрешительной системы доступа и расследование фактов неправомерного доступа лиц к защищаемой информации, в случае выявления таковых;
- оценку эффективности проводимых мер по исключению утечки информации;
- организацию деятельности должностных лиц, ответственных за подготовку предложений о внесении изменений в должностные обязанности и иные документы, определяющие задачи и функции работников ИСПДн Росреестра;
- разработку внутренних организационно-распорядительных документов, определяющих порядок реализации и функционирования разрешительной системы доступа.
Основные условия правомерного доступа работников Росреестра и его территориальных органов к обрабатываемой в ИСПДн Росреестра информации включают в себя:
- подписание работником Росреестра и его территориальных органов обязательства о неразглашении конфиденциальной информации*(3);
- наличие у работника Росреестра и его территориальных органа "оформленного в установленном порядке права допуска к ПДн, обрабатываемым в ИСПДн Росреестра";
- наличие утвержденных в соответствии с трудовым законодательством Российской Федерации, законодательством о государственной гражданской службе Российской Федерации должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации.
Лица, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании списка, утвержденного руководителем Росреестра (руководителем территориального органа Росреестра). Форма списка лиц, допущенных к ПДн, обрабатываемым в ИСПДн, приведена в Приложении (см. Приложение Б). Права доступа работников к защищаемой информации определяются в Матрице доступа (см. Приложение В).
Для обеспечения персональной ответственности за свои действия каждому пользователю ИСПДн, допущенному к работе с защищаемой информацией в ИСПДн, присваивается уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя ("группового имени") запрещается.
При регистрации и назначении прав доступа пользователей ИСПДн Росреестра выполняются следующие требования:
- каждому пользователю присваивается уникальный идентификатор пользователя, по которому его можно однозначно идентифицировать;
- учетные записи всех пользователей привязываются к конкретным автоматизированным рабочим местам (АРМ), за исключением учетных записей технического персонала, обслуживающего компоненты ИСПДн Росреестра;
- при регистрации пользователей проводится проверка соответствия уровня доступа возложенным на пользователя задачам (вмененным обязанностям);
- назначенные пользователю права доступа документируются;
- пользователь знакомится под роспись с предоставленными ему правами доступа и порядком его осуществления;
- в ИСПДн предусматривается разрешение доступа к сервисам только аутентифицированным пользователям;
- при внесении нового пользователя разрабатывается и обновляется формальный список всех пользователей, зарегистрированных для работы в ИСПДн;
- при изменении должностных обязанностей (увольнении) пользователя проводится немедленное исправление (аннулирование) прав его доступа;
- администраторами ИСПДн проводится удаление всех неиспользуемых учетных записей. Предусмотренные в системе запасные идентификаторы недоступны другим пользователям.
Контроль выполнения требований разрешительной системы доступа к ПДн возлагается на администратора безопасности информации (администратора безопасности). Подробное описание обязанностей администратора безопасности приведены в Приложении (см. Приложение Г).
Допуск к ИР ИСПДн сторонних организаций (правоохранительных органов, судебных органов, органов статистики, органов исполнительной и законодательной власти субъектов Российской Федерации) регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение информации, а также настоящим Положением.
Порядок допуска к ИР ИСПДн сторонних организаций, выполняющих работы на договорной основе, определяется в договоре на выполнение работ (оказание услуг) в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд". Обязательным условием договора является заключение соглашения о конфиденциальности.
Подробное описание порядка организации разрешительной системы доступа приведено в Приложении (см. Приложение А).
3.2. Требования к проведению мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где размещены средства ИСПДн
Данный раздел Положения содержит общие требования к проведению мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где размещены ИСПДн Росреестра:
1. Организуется контроль доступа работников и посетителей в помещения Росреестра, его территориальных органов, в которых установлены ТС ИСПДн и осуществляется обработка ПДн, а также хранятся носители ПДн.
2. Доступ работников структурных подразделений центрального аппарата Росреестра, его территориальных органов в помещения, в которых осуществляется обработка ПДн, организовывается на основании списков, утверждаемых руководителем Росреестра/территориального органа Росреестра. Доступ других работников центрального аппарата Росреестра, его территориальных органов и посетителей в эти помещения осуществляется в сопровождении ответственных должностных лиц. При этом время и дата их посещения и выхода протоколируются подразделением по охране объекта в специальном журнале учета посетителей или с применением ТС контроля физического доступа.
3. Посетители получают доступ только в соответствии с необходимостью и ознакамливаются с инструкциями по безопасности и по действиям в аварийных ситуациях.
4. Для защиты помещений, в которых расположены ТС ИСПДн, принимаются меры для минимизации воздействий огня, дыма, воды, пыли, взрыва, химических веществ, а также кражи.
5. ТС ИСПДн и размещенное совместно с ними вспомогательное оборудование подвергаются регулярным осмотрам с целью выявлений изменения конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.).
6. Обеспечивается размещение устройств вывода информации средств вычислительной техники, дисплеев АРМ ИСПДн таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПДн.
7. Работникам Росреестра запрещается подключать к сети неучтенные информационно-телекоммуникационные средства.
3.3. Правила обеспечения безопасности ПДн при использовании съемных носителей ПДн
3.3.1. Правила обращения со съемными носителями ПДн
При обращении со съемными носителями ПДн выполняются следующие основные правила:
- носители ПДн учитываются и выдаются пользователям под роспись и защищены;
- носители ПДн, срок эксплуатации которых истек, уничтожаются в установленном порядке;
- для выноса носителей ПДн за пределы объектов Росреестра и территориальных органов Росреестра*(4) дается специальное разрешение, а факт выноса фиксируется в специальной базе данных;
- все носители ПДн хранятся в безопасном месте в соответствии с требованиями по их эксплуатации.
Ответственным за хранение, учет и выдачу съемных носителей ПДн является ответственный работник Отдела ИБ Росреестра, его территориального органа.
3.3.2. Порядок учета носителей информации
Все находящиеся на хранении и в обращении съемные носители ПДн учитываются в Журнале учета носителей ПДн. Форма Журнала приведена в приложении (см. Приложение З).
Каждый носитель, с записанными на нем ПДн, имеет этикетку, на которой указывается метка съемного носителя и гриф.
Пользователи ИСПДн для выполнения работ получают учтенный съемный носитель от ответственного работника Отдела ИБ Росреестра. При получении делаются соответствующие записи в Журнале учета.
После окончания работ пользователь ИСПДн сдает съемный носитель в помещение для хранения, о чем делается соответствующая запись в Журнале учета. При наличии личного сейфа у пользователя ИСПДн допускается хранение учтенных съемных носителей в личных сейфах, опечатанных печатью пользователя ИСПДн.
3.3.3. Порядок уничтожения носителей ПДн
Носители ПДн, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.
Уничтожение носителей ПДн осуществляется комиссией по уничтожению, назначенной руководителем Росреестра/территориального органа Росреестра по представлению руководителя Отдела ИБ (подразделения, отвечающее за безопасность информации).
Уничтожение магнитных, оптических, магнитооптических и электронных носителей информации производится путем их физического разрушения. Перед уничтожением носителя информация с него стирается (уничтожается), если это позволяют физические принципы работы носителя.
Бумажные носители данных уничтожаются на специальных бумагорезательных устройствах (шредерах).
Перед утилизацией оборудования, участвующего в обработке ПДн, работником подразделения ИТ осуществляется проверка всех его компонентов, включая носители информации (жесткие диски) на отсутствие ПДн и лицензированного программного обеспечения (ПО).
По результатам уничтожения комиссией составляется Акт уничтожения носителей ПДн, который хранится в помещении для хранения носителей ПДн, уничтоженные носители ПДн (утилизированное оборудование) снимается с материального учета.
3.4. Порядок и правила использования паролей пользователей
Организационное и техническое обеспечение смены, прекращения действия паролей в ИСПДн Росреестра, процессов генерации и использования возлагается в пределах своих полномочий на работников подразделения ИТ и администратора безопасности, сопровождающего механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.
При использовании паролей в ИСПДн Росреестра выполняются следующие правила:
- пароли обязаны меняться с установленной периодичностью в соответствии с требованиями организационно-распорядительного документа Росреестра;
- пароль имеет не менее 6 символов и содержать буквенные и цифровые символы;
- обязательно применение индивидуальных паролей;
- применение групповых паролей не допускается;
- при создании пароля пользователя администратором предусмотривается его автоматическое изменение самим пользователем после первого же его входа в ИСПДн Росреестра;
- для предотвращения повторного использования паролей ведется их учет (запись) за предыдущие 12 месяцев;
- при вводе пароль не выдается на монитор компьютера в явном виде;
- пароли могут храниться только на АРМ владельца пароля в зашифрованном виде с использованием стойких алгоритмов шифрования. Файл с паролями хранится отдельно от системных приложений;
- рекомендуется использование возможностей операционной системы (ОС) по контролю за периодичностью смены (не реже 1 раза в 3 месяц), составу символов и недопущению повторений паролей.
Контроль за действиями пользователей ИСПДн Росреестра при работе с паролями возлагается на администратора безопасности в пределах своих полномочий.
При использовании паролей запрещается:
- использовать в качестве пароля свои имя, фамилию, дату рождения, имена родственников, кличку собаки и т. п., равно как и обычные слова;
- использовать в качестве пароля русское слово, введенное при нахождении клавиатуры в латинском регистре;
- использовать в качестве пароля легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ), а также общепринятые сокращения;
- использовать в качестве пароля "пустой" пароль, имя входа в систему, а также выбирать пароли, которые уже использовались ранее;
- использовать один и тот же пароль при загрузке АРМ и при работе в ИСПДн Росреестра;
- записывать пароль на неучтённых бумажных носителях информации;
- разглашать кому бы то ни было свои персональные пароли доступа.
Владельцы паролей ознакомливаются с перечисленными требованиями организации парольной защиты в Росреестре с проставлением собственноручно подписи в листе ознакомления с соответствующей документированной процедурой и предупреждаются об ответственности за использование паролей, не соответствующих установленным требованиям, а также за разглашение парольной информации.
3.5. Обязанности работников Росреестра, его территориальных органов при возникновении инцидентов ИБ
Настоящий раздел регламентирует взаимодействие подразделений Росреестра, его территориальных органов при возникновении нештатных ситуаций.
При возникновении инцидентов ИБ работник, обнаруживший инцидент, немедленно ставит в известность своего непосредственного руководителя и уполномоченного работника подразделения ИБ и в установленном порядке оформляет отчёт.
Руководитель подразделения ИБ проводит предварительный анализ ситуации.
По факту возникновения инцидента ИБ по решению руководителя подразделения ИБ Группой реагирования на инциденты ИБ*(5) проводится выяснение причин его возникновения. Результаты расследования фиксируются в акте. К акту прилагаются (при наличии) поясняющие материалы (копии экрана, распечатка журнала событий и др.) и при выявлении виновных докладывается руководителю Росреестра/территориального органа.
Рекомендуемый состав Группы реагирования на инциденты ИБ и общие обязанности членов Группы реагирования на инциденты ИБ:
- работники подразделения ИТ - обеспечение координационной, административной, экспертной и технологической деятельности;
- работники подразделения ИБ- обеспечение координационной, административной, экспертной деятельности (в рамках своей компетенции);
- работники правового обеспечения - обеспечение экспертной и нормативно-правовой деятельности;
- начальники профильных структурных подразделений - поддержка обеспечения административной, экспертной и технологической деятельности;
- внешние эксперты (при необходимости) - обеспечение консультативной, экспертной и технологической деятельности.
Инструкция о действиях лиц, допущенных к информации, содержащей ПДн, в случае нештатных ситуаций приведена в Приложении (см. Приложение И).
3.6. Требования к резервированию ИР
Резервное копирование защищаемой информации (ПДн) применяется для оперативного восстановления данных в случае утери или по другим причинам.
В состав ИР, подлежащих резервному копированию, в обязательном порядке включаются ИР, являющиеся объектом защиты в Росреестре и его территориальных органах.
При организации резервирования ИР обеспечивается выполнение следующих требований:
- резервные копии ИР и инструкции по их восстановлению хранятся в специально выделенном месте, территориально отдаленном от места хранения основной копии информации;
- к резервным копиям применяется комплекс физических и организационных мер защиты;
- носители, на которые осуществляется резервное копирование, регулярно проверяются на отсутствие сбоев;
- применяемая система резервного копирования обеспечивает производительность, достаточную для сохранения информации, в установленные сроки и с заданной периодичностью;
- предусмотрены регулярная проверка процедур восстановления и практический тренинг работников по восстановлению данных.
Резервное копирование информации осуществляется работниками подразделения ИТ в пределах своих полномочий в соответствии с графиком резервного копирования. Допускается осуществление резервного копирования в автоматизированном режиме.
График резервного копирования составляется для каждого вида информации, подлежащей периодическому резервному копированию, утверждается руководителем подразделения ИТ и согласовывается с руководителем подразделения ИБ. Периодичность проведения резервного копирования устанавливается Графиком резервного копирования не реже одного раза в неделю и может осуществляться ежедневно (в автоматизированном режиме).
Резервное копирование информации производится в соответствии с документацией на используемое ПО.
Программно-аппаратные средства, обеспечивающие проведение резервного копирования и носители, на которые осуществляется резервное копирование, не реже одного раза в месяц проверяются на отсутствие сбоев работниками подразделения ИТ в соответствии с документацией на программно-аппаратные средства с отметкой в Журнале проверки работоспособности системы резервного копирования.
Резервные копии данных хранятся вместе с инструкцией по восстановлению данных из резервных копий в отдельном помещении от используемых данных.
Восстановление данных из резервной копии производится работниками подразделения ИТ на основании Заявки начальника структурного подразделения - обладателя ИР, согласованной с руководителем подразделения ИБ. Заявка может предоставляться в электронной форме.
Восстановление данных из резервных копий осуществляется в соответствии с документацией на используемое ПО в максимально сжатые сроки, ограниченные техническими возможностями системы, но не более одного рабочего дня.
Инструкция по организации резервного копирования приведена в Приложении (см. Приложение К).
3.7. Правила защиты ИСПДн от вредоносных программ
При использовании в ИСПДн средств антивирусной защиты и защиты от вредоносных программ выполняются следующие организационные меры:
- использование съемных носителей ПДн пользователя ИСПДн на других компьютерах только с механической защитой от записи;
- запрет на использование посторонних съемных носителей ПДн при работе в ИСПДн;
- запрет на передачу съемных носителей ПДн посторонним лицам
- запрет на запуск программ с внешних съемных носителей информации при работе в ИСПДн;
- запрет на несанкционированное использование отчуждаемых носителей информации (оптических дисков, флэш-карт и т. п.);
- использование в ИСПДн только дистрибутивов программных продуктов, приобретенных у официальных дилеров фирм-разработчиков этих продуктов;
- обязательная проверка всех программных продуктов;
- проверка всех программных файлов и файлов документов, полученных по электронной почте, специальными антивирусными средствами;
- систематическая проверка содержимого дисков файловых хранилищ обновленными версиями антивирусных программ;
- контроль и обновление списка разрешенных ссылок на веб-ресурсы сети Интернет.
Ответственность за эксплуатацию средств антивирусной защиты и защиты от вредоносных программ возлагается:
- на работников подразделения ИТ в части наличия антивирусного ПО на клиентских рабочих станциях и использования данного ПО пользователями;
- на работников подразделения ИБ в части централизованного управления СЗИ.
Инструкция по проведению антивирусного контроля приведена в Приложении (см. Приложение Л).
3.8. Требования по обеспечению безопасности при работе в сети Интернет
Доступ в сеть Интернет и другие глобальные сети пользователям предоставляется исключительно в целях повышения эффективности выполнения ими свои служебных обязанностей.
Организация доступа пользователей ИСПДн к сети Интернет осуществляется работником подразделения ИТ на основании мотивированного запроса руководителя подразделения Росреестра и/или его территориального органа, согласованного с подразделением ИБ. Установка дополнительного оборудования и ПО для осуществления доступа пользователей ИСПДн Росреестра осуществляется в порядке, установленным настоящим Положением для внесения изменений в ПО и аппаратные средства Росреестра. Запрещается использование подключений к сети Интернет и каналов связи, использование которых не согласовано с подразделением ИТ. Подразделениям по защите государственной тайны доступ к ресурсам сети Интернет запрещен.
Пользователи ИСПДн Росреестра могут использовать сети Интернет в качестве:
- транспортной среды при обмене информацией между несколькими территориально разнесенными элементами ИСПДн или другими ИС (транспортная задача);
- средства предоставления открытой общедоступной информации, содержащейся в ИР Росреестра, внешнему абоненту (портальная задача);
- средства получения необходимой пользователям ИСПДн Росреестра информации, содержащейся в ИР сети Интернет или других корпоративных сетей (информационная задача).
Подразделение ИТ может ограничивать доступ к ресурсам сети Интернет, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены международным и российским законодательством, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.
При работе с ресурсами сети Интернет запрещается:
- разглашение конфиденциальной информации, ставшей известной работнику Росреестра, его территориального органа по служебной необходимости либо иным путем;
- распространение защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны;
- публикация, загрузка и распространение материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления НСД, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения НСД к платным ресурсам в сети Интернет, а также размещение ссылок на вышеуказанную информацию;
- загрузка и запуск исполняемых либо иных файлов без предварительной проверки на наличие вирусов установленным антивирусным пакетом;
- использование анонимных прокси-серверов;
- доступ к ресурсам сети Интернет, содержащим развлекательную (в том числе музыкальные, видео, графические и другие файлы, не связанные с производственной деятельностью), эротическую или порнографическую информацию.
Вся информация о ресурсах, посещаемых работниками Росреестра, его территориальных органов, протоколируется.
Уполномоченный работник подразделения ИБ обязан проводить анализ использования ресурсов сети Интернет и в случае необходимости представлять отчет об использовании Интернет-ресурсов работниками Росреестра и/или территориальных органов Росреестра руководителю подразделения ИБ.
В случае обнаружения значительных отклонений в параметрах работы средств обеспечения доступа к ресурсам сети Интернет от среднестатистических значений немедленно сообщается руководителю подразделения ИБ для принятия последующих решений.
Руководители подразделений вправе запросить от подразделения ИБ отчет об использовании ресурсов сети Интернет работниками своего подразделения.
При нарушении работником Росреестра, его территориальных органов Правил работы в сети Интернет либо возникновении нештатных ситуаций доступ к ресурсам сети Интернет блокируется уполномоченным работником подразделения ИТ с последующим уведомлением руководителя подразделения ИТ.
Электронная почта в Росреестре и территориальных органах Росреестра является средством коммуникации, распределения информации и управления процессами в производственных целях: повышения эффективности труда работников Росреестра и территориальных органов Росреестра и экономии ее ресурсов. Корпоративная (внутренняя) электронная почта Росреестра и территориальных органов Росреестра предназначена исключительно для использования в служебных целях. Использование личной почты в служебных целях запрещено.
Организацией и обеспечением порядка работы электронной почты в Росреестре и территориальных органов Росреестра занимается подразделение ИТ. Ответственность за использование электронной почты возлагается на работников подразделения ИТ в рамках их должностных обязанностей.
При работе с корпоративной электронной почтой Росреестра пользователь учитывает следующие принципиальные положения:
- электронная почта не является средством гарантированной доставки отправленного сообщения до адресата;
- внутренняя электронная почта, организованная с применением средств криптографической защиты, является средством передачи информации, обеспечивающим конфиденциальность передаваемой информации. Передача информации ограниченного доступа осуществляется только в зашифрованном виде.
3.9. Правила использования ПО и аппаратных средств ИСПДн
Настоящий раздел регламентирует взаимодействие подразделений Росреестра и территориальных органов Росреестра по обеспечению безопасности информации при проведении модификаций ПО, технического обслуживания и ремонта средств вычислительной техники (СВТ) ИСПДн Росреестра. На АРМ и сервера ИСПДн без дополнительного согласования устанавливается ПО, необходимое для оказания государственных услуг заявителю, в частности ПК ЕГРП, ПК ПВД и другое.
3.9.1. Права на внесение изменений в ПО и аппаратные средства ИСПДн Росреестра
Все изменения конфигурации ТС и программных средств рабочих станций (АРМ) и серверов ИСПДн, обрабатывающих ПДн, производятся только на основании заявок начальников структурных подразделений, согласованных с подразделением ИБ и подразделением ИТ.
Право внесения изменений в конфигурацию программно-аппаратных средств информационных узлов (рабочих станций, серверов) и телекоммуникационного оборудования, обрабатывающего ПДн, предоставляется:
- в отношении системных и прикладных программных средств, а также в отношении аппаратных средств - уполномоченным работникам подразделения ИТ;
- в отношении программно-аппаратных СЗИ - администратору безопасности и уполномоченным работникам подразделения ИБ;
- в отношении программно-аппаратных средств телекоммуникаций - уполномоченным работникам подразделения ИТ.
Изменение конфигурации аппаратно-программных средств защищенных рабочих станций (АРМ) и серверов кем-либо, кроме уполномоченных работников перечисленных подразделений, запрещено.
Право внесения изменений в конфигурацию программно-аппаратных средств рабочих станций (серверов) локальной вычислительной сети, не обрабатывающих ПДн, предоставляется работникам подразделения ИТ (на основании служебных записок начальников структурных подразделений на имя руководителя подразделения ИТ).
3.9.2. Порядок внесения изменений в ПО и аппаратные средства ИСПДн Росреестра
Для внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций ИСПДн начальник структурного подразделения, в котором вносятся изменения, подается заявка на имя руководителя подразделения ИТ, которая им рассматривается и утверждается по согласованию с руководителем подразделения ИБ.
При необходимости планового проведения изменений (обновлений версий) ПО, заявка выпускается руководителем подразделения ИТ и, после согласования с подразделением ИБ, направляется уполномоченному работнику подразделения ИТ.
В заявках могут быть указаны следующие виды необходимых изменений в составе программных и аппаратных средств рабочих станций и серверов подразделения:
- установка в подразделении новой рабочей станции (АРМ) или сервера;
- замена рабочей станции (АРМ) или сервера подразделения;
- изъятие рабочей станции (АРМ) или сервера подразделения;
- добавление устройства (узла, блока) в состав конкретной рабочей станции (АРМ) или сервера подразделения;
- замена устройства (узла, блока) в составе конкретной рабочей станции (АРМ) или сервера подразделения;
- изъятие устройства (узла, блока) из состава конкретной рабочей станции (АРМ) или сервера;
- установка (развертывание) на конкретной рабочей станции (АРМ) или сервере программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной рабочей станции или сервере);
- обновление (замена) на конкретной рабочей станции (АРМ) или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);
- удаление с конкретной рабочей станции (АРМ) или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной рабочей станции).
В заявке указываются условные наименования развернутых рабочих станций (АРМ) и серверов в соответствии с их паспортами. Программные средства указываются в соответствии с перечнем программных средств фонда алгоритмов и программ, которые используются в ИСПДн.
Подразделение ИБ при согласовании заявки учитывает возможность совмещения решения новых задач (обработки информации) на указанных в заявке рабочих станциях (АРМ) или серверах в соответствии с требованиями по безопасности.
Руководитель подразделения ИТ подписывает заявку после согласования с подразделением ИБ и получения (в устной форме) заключения о технической возможности осуществления затребованных изменений от уполномоченных работников подразделения ИТ.
После этого заявка передается уполномоченному работнику подразделения ИТ для непосредственного исполнения работ по внесению изменений в конфигурацию рабочих станций (АРМ) или серверов ИСПДн.
Начальник структурного подразделения, в котором установлены аппаратно-программные средства, подлежащие модернизации, допускает уполномоченных исполнителей подразделения ИТ и подразделения ИБ (администратора безопасности) к внесению изменений в состав аппаратных средств и ПО только по предъявлении последними подписанного задания (в заявке) на осуществление данных изменений.
Установка, изменение (обновление) и удаление системных и прикладных программных средств производится уполномоченными работниками подразделения ИТ.
Если рабочая станция (АРМ) или сервер обрабатывают ПДн, то установка, снятие, и внесение необходимых изменений в настройки СЗИ от НСД и средств контроля целостности файлов на рабочих станциях осуществляется уполномоченным работником подразделения ИТ под контролем администратора безопасности. Работы производятся в присутствии пользователя данной рабочей станции.
Подготовка модификаций ПО защищенных серверов и рабочих станций, тестирование, стендовые испытания и передача исходных текстов, документации и дистрибутивных носителей программ в фонд алгоритмов и программ и другие необходимые действия производится уполномоченным работником подразделения ИТ.
Установка или обновление подсистем ИСПДн проводится в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
Модификация ПО на сервере осуществляется уполномоченными работниками подразделения ИТ по согласованию с администратором безопасности.
После установки модифицированных модулей на сервер администратор безопасности в присутствии уполномоченных работников подразделения ИТ устанавливает защиту целостности модулей на сервере (производит пересчет контрольных сумм эталонов модулей на файл-сервере с помощью специальных программных средств, прошедших оценку соответствия).
После проведения модификации ПО на рабочих станциях уполномоченный работник подразделения ИТ проводит антивирусный контроль.
Установка и обновление общего ПО (системного, тестового) на рабочие станции (АРМ) и серверы производится с оригинальных лицензионных дистрибутивных носителей (компакт дисков и др.), полученных установленным порядком, а прикладного ПО - с эталонных копий программных средств, полученных из фонда алгоритмов и программ.
Все добавляемые программные и аппаратные компоненты предварительно проверяются на работоспособность, контроль наличия проверок работоспособности осуществляет подразделение ИБ.
После установки (обновления) ПО уполномоченный работник подразделения ИТ (при использовании специализированных СЗИ от НСД - администратор безопасности) производит настройку средств управления доступом к данному программному средству и проверяет работоспособность ПО и правильность настройки СЗИ.
После завершения работ по внесению изменений в состав аппаратных средств рабочей станции (АРМ), обрабатывающей ПДн, ее системный блок закрывается уполномоченным работником подразделения ИТ на ключ (при наличии штатных механических замков) и опечатывается (пломбируется, защищается специальной наклейкой) с возможностью постоянного визуального контроля за ее целостностью уполномоченным работником подразделения ИБ.
Уполномоченные исполнители работ производят соответствующую запись в "Журнале фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов) структурного подразделения".
Уполномоченный работник подразделения ИБ (администратор безопасности) проводит периодический контроль за опечатыванием узлов и блоков ИСПДн.
На обратной стороне заявки делается отметка о выполнении и исполненная заявка передается в подразделение ИТ для хранения вместе с паспортом данной рабочей станции (сервера).
При изъятии рабочей станции (сервера), обрабатывающей ПДн, из состава рабочих станций (серверов) структурного подразделения ее передача на склад, в ремонт или в другое структурное подразделение для решения иных задач осуществляется только после того, как уполномоченный работник подразделения ИБ снимет с данной рабочей станции (сервера) СЗИ и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется Актом о затирании остаточной информации, хранившейся на диске компьютера.
Оригиналы заявок (документов), на основании которых производились изменения в составе ТС или программных средств рабочих станций с отметками о внесении изменений в состав программно-аппаратных средств хранятся вместе с оригиналами паспортов рабочих станций (серверов) и "Журналом фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов)" в подразделении ИТ. Копии заявок и актов хранятся в подразделении ИБ. Они используются:
- для восстановления конфигурации рабочих станций (серверов) после аварий;
- для контроля правомерности установки на конкретной рабочей станции (сервере) средств для решения соответствующих задач при разборе конфликтных ситуаций;
- для проверки правильности установки и настройки СЗИ рабочих станций (серверов).
3.10. Требования по обеспечению безопасности при применении средств криптографической защиты информации
Для защиты информации, не содержащей сведений, составляющих государственную тайну, при применении средств криптографической защиты информации (СКЗИ) соблюдаются нормативные требования*(6). Криптографическая защита в ИСПДн Росреестра создаётся на основе сертифицированных СКЗИ, встраивание которых в ИСПДн происходит с выполнением интерфейсных и криптографических протоколов, определенных технической документацией на СКЗИ.
В Росреестре и территориальных органах Росреестра выделяются должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности СКЗИ. Вопросы обеспечения функционирования и безопасности СКЗИ отражаются в специально разработанных документах в соответствии с требованиями регуляторов в области защиты информации, утвержденных руководителем Росреестра и руководителями территориальных органов Росреестра, с учетом эксплуатационной документации на СКЗИ.
К работе с СКЗИ решением руководства Росреестра и территориальных органов Росреестра допускаются работники, обладающие знаниями о правилах его эксплуатации, правилах пользования, об эксплуатационной документации и прошедшие обучение работе с СКЗИ.
Ответственное должностное лицо, уполномоченное на руководство заявленными видами деятельности со средствами СКЗИ, имеет представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и СЗИ.
Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее помещения), обеспечивают безопасность информации, СКЗИ и криптоключей, сводят к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами.
Порядок допуска в помещения определяется на основании инструкции "Об организации пропускного и внутриобъектового режимов на объектах Росреестра и его территориальных органов".
При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими НСД в помещения. Эти помещения имеют прочные входные двери, на которые устанавливаются надежные замки.
Для хранения криптоключей, нормативной и эксплуатационной документации, инсталлирующих криптосредство носителей, помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей хранятся в сейфе ответственного лица, назначаемого руководством Росреестра и территориальных органов Росреестра. Порядок охраны помещений предусматривает периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.
Размещение и установка СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ. Системные блоки АРМ с СКЗИ оборудуются средствами контроля их вскрытия.
Более подробно требования по обеспечению безопасности при применении СКЗИ отражены в документированной процедуре "Порядок организации работы со средствами криптографической защиты информации в "ЮТК"*(7).
4. Порядок организации внутреннего обучения работников правилам и мерам защиты ПДн
Решение основных вопросов обеспечения защиты ПДн предусматривает соответствующую подготовку работников. Проведение обучения работников Росреестра и территориальных органов Росреестра позволит организовать обработку информации в соответствии с требованиями законодательства и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн и реализовать установленный комплекс организационных и технических мер по защите ПДн.
Систему внутреннего обучения работников в области защиты ПДн составляет:
- проведение инструктажа пользователей ИСПДн;
- самостоятельное изучение работниками Росреестра и территориальных органов Росреестра необходимых для работы документов, средств и продуктов;
- проведение курсов повышения квалификации государственных гражданских служащих Росреестра в области защиты персональных данных.
В результате прохождения обучения работники Росреестра и территориальных органов Росреестра получат необходимые знания и навыки в отношении:
- правил использования СЗИ;
- содержания основных нормативных правовых актов, руководящих и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн;
- основных мероприятий по организации и техническому обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра;
- планирования, организации и контроля выполнения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн.
4.1. Проведение инструктажа пользователей ИСПДн
Пользователи ИСПДн, допущенные к работе с ПДн, обязаны пройти инструктаж по вопросам обеспечения безопасности ПДн с целью подтверждения своих знаний и уяснения своих обязанностей по поддержанию установленного режима защиты ПДн.
Инструктаж представляет собой ознакомление работников Росреестра и территориальных органов Росреестра, допущенных к работе в ИСПДн, с положениями настоящего Положения и действующих нормативных документов по обеспечению безопасности информации при ее обработке в ИСПДн, в том числе и с Инструкцией пользователя ИСПДн Росреестра (см. Приложение Д).
Ознакомление с положениями нормативной документации работник Росреестра и территориальных органов Росреестра подтверждает своей личной подписью в журнале инструктажа, что свидетельствует о прохождении инструктажа.
Контроль проведения инструктажа и периодическая проверка знания пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн возлагается на администратора безопасности совместно с начальниками структурных подразделений Росреестра и территориальных органов Росреестра, использующих ИСПДн. Ответственность за непосредственное проведение инструктажа возлагается на начальников структурных подразделений Росреестра и территориальных органов Росреестра.
Работники Росреестра и территориальных органов Росреестра, не прошедшие инструктаж, к работе в ИСПДн не допускаются. Инструктаж проводится перед началом работы в ИСПДн вновь принятых на государственную гражданскую службу работников Росреестра и территориальных органов Росреестра, а также не реже одного раза в год для всех пользователей ИСПДн.
Проверка знаний пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн проводится администратором безопасности не реже одного раза в год в ходе периодического контроля соблюдения режима безопасности информации.
4.2. Самостоятельное изучение
При данном виде подготовки работниками Росреестра и территориальных органов Росреестра, осуществляющими обработку ПДн, а также работниками подразделения ИТ и подразделения ИБ самостоятельно изучаются (в части касающейся):
- руководящие и нормативно-методические документы в области обеспечения безопасности ПДн;
- правила (инструкции) по использованию программных и аппаратных СЗИ.
- внутренние положения (локальные акты) Росреестра, устанавливающие порядок обращения с ПДн и их защиты.
Время для самостоятельного изучения определяется начальниками соответствующих структурных подразделений Росреестра и территориальных органов Росреестра.
5. Ответственность должностных лиц за обеспечение безопасности ПДн, своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн
Ответственность за обеспечение безопасности ПДн распределяется между должностными лицами Росреестра и территориальных органов Росреестра на основании настоящего Положения.
Ответственность за организацию режима обеспечения безопасности ПДн возлагается на руководителя Росреестра, руководителей территориальных органов Росреестра и начальников структурных подразделений центрального аппарата Росреестра и территориальных органов Росреестра.
Ответственность за своевременность и качество формирования требований по защите ПДн, за качество и научно-технический уровень разработки СЗПДн, а также контроль исполнения правил и требований, направленных на обеспечение безопасности ПДн, возлагается на работников подразделения ИБ.
Ответственность за выполнение обязанностей по обеспечению режима безопасности ПДн, возложенных на структурные подразделения центрального аппарата Росреестра и территориальных органов Росреестра, эксплуатирующие ИСПДн, несут начальники соответствующих структурных подразделений.
Средства информатизации, входящие в состав ИСПДн, закрепляются за ответственными должностными лицами (владельцами). Владельцем средств информатизации может быть начальник структурного подразделения или специально назначаемое должностное лицо Росреестра и территориальных органов Росреестра. На владельца средств информатизации возлагается ответственность за выполнение установленных мероприятий по защите закрепленных средств информатизации и обрабатываемых ими ПДн.
Руководители и работники Росреестра и территориальных органов Росреестра, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную и уголовную ответственность, предусмотренную законодательством Российской Федерации.
6. Порядок контроля за обеспечением уровня защищенности ПДн и оценки соответствия ИСПДн
Контроль обеспечения требуемого уровня защищенности ПДн заключается в проверке выполнения требований нормативных документов по защите ПДн*(8), а также в оценке обоснованности и эффективности принятых мер. Мероприятия по контролю защищенности ПДн могут проводиться как уполномоченными работниками подразделения ИБ, так и на договорной основе сторонней организацией, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Мероприятия по контролю защищенности ПДн и оценке соответствия ИСПДн включают:
- внутренний контроль режима безопасности ПДн (оперативный и периодический);
- обследование защищенности ПДн с привлечением сторонней организации;
- оценку соответствия ИСПДн требованиям безопасности ПДн.
6.1. Внутренний контроль режима безопасности ПДн и оценки соответствия ИСПДн требованиям безопасности ПДн
Внутренний оперативный контроль соблюдения режима безопасности ПДн проводится специалистом по информационной безопасности (администратором безопасности) ежедневно в режиме "реального времени". Внутренний контроль заключается в анализе защищенности ПДн посредством используемых в составе ИСПДн программных и программно-аппаратных средств (систем) анализа защищенности.
В ходе проведения контроля соблюдения режима безопасности ПДн специалист по информационной безопасности (администратор безопасности):
- осуществляет анализ лог-файлов, производимых средствами защиты и другими элементами ИСПДн (ОС, прикладные программы);
- просматривает оповещения средств защиты ИСПДн;
- принимает меры по результатам анализа полученных оповещений и лог-файлов.
Внутренний периодический контроль соблюдения режима безопасности ПДн (контрольные обследования защищенности ИСПДн) организуется подразделением ИБ по планам, ежегодно утверждаемым - руководителем Росреестра (руководителем территориального органа Росреестра). Форма Плана контроля выполнения требований по обеспечению безопасности ПДн приведена в Приложении (см. Приложение Е). По решению руководителя Росреестра (руководителя территориального органа Росреестра) внутренний контроль может проводиться во внеочередном порядке в случаях выявления нарушений безопасности ПДн с целью определения причин произошедших нарушений и разработки мер по их устранению.
Внутренний периодический контроль заключается в оценке выполнения требований нормативных документов по обеспечению безопасности ПДн, обрабатываемых в ИСПДн.
В ходе проведения внутреннего периодического контроля проверяются следующие вопросы:
- соответствие состава и структуры программно-технических средств, обрабатывающих защищаемую информацию (ПДн), документированному составу и структуре средств, разрешенных для обработки такой информации;
- знание персоналом руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях;
- проверка наличия документов, подтверждающих возможность применения технических и программных средств вычислительной техники для обработки ПДн и применения СЗИ (сертификатов соответствия и других документов);
- проверка правильности применения СЗИ;
- проверка выполнения требований по условиям размещения АРМ в рабочих помещениях;
- соответствие реального уровня полномочий по доступу к защищаемой информации (ПДн) различных пользователей установленному в списке лиц, допущенных к обработке ПДн, уровню полномочий;
- знание инструкций по обеспечению безопасности информации пользователями ИСПДн;
- организация хранения носителей ПДн и допуска в помещения, где размещены средства обработки и осуществляется обработка ПДн;
- прохождение инструктажа пользователей по вопросам обеспечения безопасности ПДн и выполнение ими установленных требований.
По фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, составляется соответствующее заключение, на основе которого впоследствии осуществляется разработка и реализация мер по предотвращению возможных опасных последствий подобных нарушений.
Результаты контроля оформляются Актом, в котором делаются выводы о состоянии обеспечения безопасности ПДн на проверяемом объекте информатизации и приводятся рекомендации по его совершенствованию.
6.2. Обследование защищенности ПДн внешней специализированной организацией
Обследование защищенности ПДн внешней специализированной организацией проводится при создании ИСПДн (предпроектное обследование) или при доработке (модернизации) СЗПДн в случае, если:
- изменился состав или структура ИСПДн или технические особенности его построения (состав или структура ПО, ТС обработки ПДн, топологии и т.п.);
- изменился состав угроз безопасности ПДн;
- изменился класс защищённости ИСПДн.
Обследование защищенности ПДн внешней специализированной организацией проводится по решению руководителя Росреестра (руководителя территориального органа Росреестра). Привлекаемая для проведения обследования внешняя специализированная организация обязана иметь лицензию на деятельность по технической защите конфиденциальной информации.
6.3. Порядок оценки соответствия ИСПДн требованиям безопасности ПДн
Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в форме проверки готовности СЗИ к использованию.
Проверка готовности СЗИ к использованию осуществляется в ходе приемо-сдаточных испытаний СЗПДн с составлением протоколов проверки и заключений о возможности их эксплуатации.
В качестве организации, проводящей проверку готовности СЗИ к использованию или добровольную аттестацию ИСПДн, привлекается организация, имеющая лицензию ФСТЭК России на право деятельности по технической защите конфиденциальной информации в соответствии с постановлением Правительства Российской Федерации от 03.02.2012 N 79.
Проверка готовности СЗИ к использованию проводится в соответствии с разрабатываемой программой и методикой испытаний соответствующих СЗИ, определяющих порядок проверки выполнения СЗИ заявленных функций защиты.
Аттестация проводится в соответствии с действующими нормативными и методическими документами ФСТЭК России.
Порядок подготовки и проведения аттестации ИСПДн определяется в приказах руководителя Росреестра (руководителя территориального органа Росреестра).
------------------------------
*(1) В состав комиссии по классификации включаются представители Отдела ИБ, Управления информационных систем, Управления кадров, Правового управления и должностные лица - обладатели информационных ресурсов ИСПДн.
*(2) Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. N 282.
*(3) Либо включить обязательства о неразглашении конфиденциальной информации в трудовой договор, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обстоятельства.
*(4) Под объектами понимаются здания Росреестра, его территориальных органов и удаленные подразделения территориальных органов Росреестра.
*(5) ГОСТ Р ИСО/МЭК ТО 18044-2007 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности". Введ. 01.07.2008.
*(6) Требования к Заявителю на право установки (инсталляции), эксплуатации сертифицированных средств и предоставления услуг по шифрованию информации по уровню "С";
"Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", N 149/6/6-622, 2008 г.
*(7) Введенной Приказом Генерального директора от 16.07.2009 г. N 00307-П (ЮТК-ДП-1.54-09.2).
*(8) Федеральный закон "О персональных данных", N 152-ФЗ, 2006 г., Постановление Правительства Российской Федерации oт 01.11.2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативно-правовые акты и методические документы ФСТЭК России и ФСБ России по защите персональных данных при их обработке в информационных системах персональных данных.
Приложение А
"Положение (инструкция) о разрешительной системе допуска к
обрабатываемой в ИСПДн информации"
(Проект)
УТВЕРЖДАЮ
Руководитель
территориального органа Росреестра
_________________
(личная подпись)
"___" ____________ 2013 г.
Положение
о разрешительной системе допуска к информационным ресурсам
информационных систем персональных данных территориального органа
Росреестра
(Проект)
СОГЛАСОВАНО СОГЛАСОВАНО
2013
1. Общие положения
1.1. Настоящее "Положение о разрешительной системе допуска к информационным ресурсам информационных систем персональных данных территориального органа Росреестра" (далее - Положение) разработано в соответствии с Федеральным законом "О персональных данных" от 27.07.2006 N 152-ФЗ, постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и руководящими документами ФСТЭК России по вопросам обеспечения безопасности персональных данных, разработанными в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 N 1119.
1.2. Разрешительная система доступа к информационным ресурсам информационных систем персональных данных территориального органа Росреестра (далее - ИСПДн территориального органа Росреестра) представляет собой совокупность процедур оформления прав субъектов на доступ к информационным ресурсам (ИР) (объектам доступа) Росреестра и прав и обязанностей ответственных лиц, осуществляющих реализацию этих процедур.
1.3. Действие настоящего Положения распространяется на структурные подразделения территориального органа Росреестра.
1.4. Объектами доступа являются:
- ИР, обрабатываемые в ИСПДн Росреестра (в том числе содержащие персональные данные), в виде баз данных, библиотек, архивов и на отдельных съемных носителях;
- технологическая информация системы защиты информации ИСПДн Росреестра.
1.5. Субъектами доступа являются:
- уполномоченные работники Росреестра и территориальных органов Росреестра (далее - территориальные органы Росреестра);
- уполномоченные органы государственной власти и юридические лица;
- физические лица - субъекты персональных данных (ПДн);
- уполномоченные представители субъектов ПДн.
1.6. Субъекты доступа несут персональную ответственность за соблюдение ими установленного порядка обеспечения защиты ИР ИСПДн Росреестра.
1.7. Ответственными лицами, осуществляющими реализацию процедур оформления и прав субъектов на доступ к ИР, являются:
- руководитель Росреестра;
- назначенные работники информационной безопасности территориального органа Росреестра (далее - подразделение информационной безопасности (ИБ);
- руководители отделов территориальных органов Росреестра, управлений и отделов Росреестра;
- администраторы ИСПДн Росреестра;
- администратор безопасности информации.
2. Порядок формирования информационных ресурсов ИСПДн Росреестра
2.1. Порядок формирования и использования информационных ресурсов ИСПДн Росреестра в соответствии с Федеральным законом от 07.07.2003 N 126-ФЗ "О связи", постановлением Правительства Российской Федерации от 18.05.2005 N 310 "Об утверждении правил оказания услуг местной, внутризоновой, междугородной и международной телефонной связи", постановлением Правительства Российской Федерации от 10.09.2007 N 575 "Об утверждении правил оказания телематических услуг связи", главой 14 Трудового кодекса Российской Федерации (Федеральный закон от 30.12.2001 N 197-ФЗ) определяется Росреестром, который является собственником информационных ресурсов ИСПДн Росреестра.
2.2. Подлежащие защите информационные ресурсы ИСПДн включаются в "Перечень информационных ресурсов, подлежащих защите в ИСПДн территориального органа Росреестра" (Приложение N 1).
3. Допуск к информационным ресурсам ИСПДн Росреестра
3.1. Наделение пользователей полномочиями доступа к информационным ресурсам ИСПДн Росреестра
3.1.1. Лица, доступ которых к персональным данным, обрабатываемым в ИСПДн Росреестра, необходим для выполнения служебных (трудовых) обязанностей, допускаются к ним на основании списков*, утверждаемых руководителем Росреестра (руководителем/заместителем руководителя территориального органа Росреестра).
3.1.2. Необходимость доступа работника к ИР ИСПДн Росреестра определяет начальник структурного подразделения Росреестра, территориального органа Росреестра на основании должностных (трудовых) обязанностей работника. Допуск работников к информации, содержащей персональные данные, осуществляется в объеме, необходимом для выполнения ими должностных обязанностей. Права доступа работников к защищаемой информации определяются в Матрице доступа.
3.1.3. Основанием для предоставления (изменения, либо прекращения (отзыва) прав доступа пользователям ИСПДн Росреестра является заполненная в установленном порядке письменная Заявка, подписанная начальником структурного подразделения Росреестра, территориального органа Росреестра и согласованная с начальником соответствующего структурного подразделения - обладателя информационного ресурса, а также руководителем подразделения ИБ (уполномоченным лицом в удаленных подразделениях территориального органа Росреестра).
3.1.4. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в сети администратором ИСПДн.
Оформленная заявка поступает к администратору безопасности информации, который её визирует и направляет администратору ИСПДн, осуществляющему администрирование указанных в заявке ИСПДн Росреестра.
После получения заявки администратор ИСПДн в соответствии с документацией на средства защиты производит необходимые действия по созданию (изменению, удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам ИСПДн Росреестра, включению его в соответствующие группы пользователей и другие необходимые действия. Для всех пользователей ИСПДн Росреестра устанавливается режим принудительного запроса смены пароля не реже одного раза в квартал.
Уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе, присваивается каждому пользователю ИСПДн для обеспечения персональной ответственности за свои действия. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя ("группового имени") запрещается.
3.1.5. При изменении должностных обязанностей работника, связанных с переводом в другое подразделение, переводом на другую должность и т.п., учетная запись пользователя на основании заявки начальника соответствующего структурного подразделения подлежит изменению (корректировке), при этом старые полномочия аннулируются.
3.1.6. При необходимости уполномоченный работник (администратор) в соответствии с назначаемыми правами доступа осуществляют настройку телекоммуникационных средств ИСПДн Росреестра в части контроля доступа пользователей.
3.1.7. Администратор ИСПДн проводит регистрацию прав доступа к ресурсам указанных в заявке рабочих станций (автоматизированных рабочих мест) с отметкой изменений в Матрице доступа и другие необходимые операции.
3.1.8. После внесения изменений в Матрицу доступа администратор безопасности информации производит настройку (при их наличии) специализированных средств защиты рабочих станций (автоматизированных рабочих мест).
3.1.9. По результатам изменений в правах доступа администратор безопасности информации и администратор ИСПДн делают отметку об исполнении задания на бланке Заявки.
3.1.10. Все изменения в правах доступа выполняются администраторами не позднее трех суток с момента получения заявки на внесение изменений.
3.1.11. Работнику, зарегистрированному в качестве нового пользователя системы, под роспись (подпись) доводится имя соответствующего ему пользователя и начальное значение пароля, которое он обязан сменить при первом же входе в систему (при первом подключении к ИСПДн).
3.1.12. Оригиналы исполненных заявок хранятся в подразделении ИБ (администратора безопасности информации) и могут впоследствии использоваться в следующих случаях:
- для восстановления полномочий пользователей после сбоев в ИСПДн;
- для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;
- для проверки правильности настройки средств разграничения доступа к ресурсам ИСПДн.
3.1.13. Блокирование учётных записей на время отпуска пользователей ИСПДн Росреестра осуществляется администратором ИСПДн по заявке начальника соответствующего структурного подразделения. Учётная запись пользователя ИСПДн Росреестра может быть временно разблокирована, либо изменены права доступа по заявке начальника структурного подразделения, в котором работает пользователь.
3.2. Отзыв прав доступа
3.2.1. При увольнении должностных лиц - пользователей ИСПДн Росреестра и/или лишения их прав доступа к ресурсам ИСПДн Росреестра начальник структурного подразделения, в котором работает увольняемый работник, подает заявку на имя заместителя руководителя, ответственного за ИТ территориального органа Росреестра / Управления информационных технологий и эксплуатации систем Росреестра (далее - подразделение ИТ). Руководитель подразделения ИТ визирует Заявку, утверждая тем самым лишение прав пользователя на доступ к информационным ресурсам ИСПДн Росреестра.
3.2.2. После визирования Заявка на бумажном носителе или в электронном виде поступает к соответствующему администратору ИСПДн и администратору безопасности информации.
3.2.3. Администратор ИСПДн удаляет учетные записи из всех указанных в заявке списков доступа.
Администратор безопасности информации:
- проводит смену (удаление) действующих настроек прав доступа на соответствующих средствах защиты в соответствии с изменившимися полномочиями;
- производит необходимые отметки в Матрице доступа;
- совместно с непосредственным руководителем работника анализирует целостность данных, к которым имел доступ работник.
Удаление или сохранение содержимого почтового ящика, личных локальных и сетевых папок согласовывается с начальником структурного подразделения и администратором безопасности информации.
Администратор безопасности информации вместе с администратором ИСПДн анализирует автоматизированное рабочее место уволенного работника на наличие закладок, вирусов, после чего все данные на жестком диске работника уничтожаются и операционная система (ОС) на рабочем месте переинсталлируется.
По результатам изменений в правах доступа администратор безопасности информации и администратор ИСПДн делают отметку об исполнении задания на бланке Заявки.
Все изменения в правах доступа, связанные с увольнением пользователя ИСПДн Росреестра, выполняются администраторами не позднее трех суток с момента получения заявки на внесение изменений.
3.3. Порядок и периодичность проверки прав пользователей
Проверка прав пользователей проводится администратором безопасности информации с периодичностью не реже одного раза в три месяца путем сравнения прав согласно утвержденной Матрицы доступа с правами пользователей по доступу к информационным ресурсам, указанным в Матрице доступа к информационным ресурсам ИСПДн Росреестра.
4. Допуск к информационным ресурсам ИСПДн Росреестра сторонних организаций
4.1. К организациям, деятельность которых не связана с выполнением функций ИСПДн Росреестра, относятся в том числе:
- правоохранительные органы;
- судебные органы;
- органы статистики;
- органы исполнительной и законодательной власти субъектов Российской Федерации;
- средства массовой информации и др.
4.2. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций ИСПДн Росреестра, регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение такой информации, а также настоящим Положением.
4.3. Доступ к информационным ресурсам ИСПДн Росреестра сторонних организаций осуществляется на основании письменных запросов.
В письменном запросе указывается:
- основание (с приведением ссылки на нормативный акт), в соответствии с которым предоставляется информация;
- для каких целей необходима информация;
- конкретное наименование предоставляемой информации и её объём;
- способ доступа (предоставления).
4.4. Основанием для доступа (предоставления) информации служит резолюция уполномоченного руководителя (Росреестра или территориального органа Росреестра) на соответствующем документе (запросе).
5. Допуск к информационным ресурсам ИСПДн Росреестра сторонних организаций, выполняющих работы на договорной основе
5.1. К организациям, выполняющим работы на договорной основе, могут относиться:
- организации, оказывающие услуги связи от имени Росреестра на основании договора по поручению услуг связи третьему лицу;
- организации, осуществляющие монтаж и настройку ИСПДн Росреестра, сопровождение программно-прикладного обеспечения и технических средств;
- организации, оказывающие услуги в области защиты информации (проведение обследований, монтаж и настройка средств защиты информации, контроль эффективности системы защиты информации, аттестация объектов информатизации и т.п.);
- другие организации, оказывающие услуги по информационно-техническому обеспечению и т.п.
5.2. Порядок допуска определяется в договоре на выполнение работ (оказание услуг) в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд" - Обязательным условием договора является заключение соглашения о конфиденциальности.
5.3. Решением о допуске является подписанный в установленном порядке "Договор на выполнение работ или оказание услуг".
5.4. Доступ к информационным ресурсам ИСПДн Росреестра сторонних организаций осуществляется на основании:
- письменных запросов;
- письменных соглашений (договоров) сторон об обмене информацией.
5.5. В письменном запросе (договоре) указывается:
- основание (ссылка на нормативный акт, договор), в соответствии с которым предоставляется информация;
- для каких целей необходима информация;
- конкретное наименование предоставляемой информации и её объем;
- способ доступа (предоставления).
5.6. Основанием для доступа (предоставления) информации служит резолюция руководителя Росреестра / руководителя территориального органа Росреестра на соответствующем документе (запросе).
5.7. При наличии официального соглашения со сторонней организацией о допуске (предоставлении) к информации доступ к ней осуществляется в порядке, указанном в подписанном соглашении (договоре).
5.8. Запрещается передача электронных копий баз данных любым сторонним организациям, за исключением санкционированных случаев передачи электронных файлов, выгружаемых из баз данных в рамках осуществления уставной деятельности Росреестра.
5.9. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, а также иной защищаемой информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.
6. Контроль функционирования разрешительной системы допуска к информационным ресурсам ИСПДн Росреестра
6.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам организуется в соответствии с:
- планом основных мероприятий по защите информации на текущий год;
- функциональными обязанностями должностных лиц;
- приказами руководителей Росреестра и территориальных органов Росреестра.
6.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам осуществляется ответственными должностными лицами Росреестра и территориальных органов Росреестра.
Организация контроля возлагается на руководителей подразделений ИБ, а также на начальников структурных подразделений, назначенных ответственными за защиту информации (ПДн).
------------------------------
* Списки пользователей оформляются в виде отдельного документа.
Приложение N 1
Перечень
информационных ресурсов, подлежащих защите в ИСПДн
N п/п |
Наименование информационных ресурсов |
Категория информационных ресурсов (уровень конфиденциальности) |
|
Информационные базы данных Росреестра, содержащие персональные данные работников Росреестра, в том числе: - фамилия, имя, отчество работников/абонентов/ Росреестра и территориальных органов Росреестра; - пол; - данные документа, удостоверяющего личность (вид документа, серия, номер, дата и место выдачи, код подразделения, дата регистрации по месту жительства); - дата и место рождения; - адрес местожительства (регистрации) или адрес установки оконечного оборудования; - номер лицевого счета; - сведения о расчетах за оказанные услуги связи, в том числе сведения о соединениях, трафике и платежах абонента; - абонентский номер телефона; - контактный номер телефона; - адрес электронной почты; - гражданство; - семейное положение; - данные о составе семьи - ближайших родственниках (степень родства, фамилия, имя, отчество, дата рождения); - идентификационный номер налогоплательщика; - номер страхового свидетельства пенсионного страхования; - сведения о наличии инвалидности (группа, документ, на основании которого присвоена группа инвалидности, срок действия документа)*; - сведения об образовании, профессии, квалификации или наличии специальных знаний; - сведения о стаже работы; - подразделение, должность; - должностной оклад, премия; - основной и дополнительный зарплатные счета (банк, филиал, номер счета, срок действия); - сведения о воинском учете; - знание иностранного языка; - наличие и сведения о водительском удостоверении; - информация об аттестации, повышении квалификации, профессиональной переподготовке; - сведения о приёме на работу и переводах на другую работу; - данные о поощрениях и наградах; - данные о социальных льготах (номер и дата выдачи документа, основание); - сведения об обязательном медицинском страховании: наименование организации, серия, номер и срок действия полиса обязательного медицинского страхования; - сведения о прекращении трудового договора (увольнении); - сведения о гражданско-правовых договорах работников: дата, общая сумма по договору, сумма выплаты (за месяц, за квартал), порядок оплаты, период этапов выполнения; - сведения о несписочном составе (бывших работниках, акционерах). |
Персональные данные |
|
Технологическая информация системы защиты информации ИСПДн Росреестра, в том числе: - управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.); - технологическая информация средств доступа к ИСПДн Росреестра (аутентификационная информация, ключи и атрибуты доступа и др.); - информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления; - информация о системе защиты персональных данных, её составе и структуре, принципах, средствах защиты и технических решениях защиты; - информационные ресурсы (базы данных, файлы и другие), содержащие информацию о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах; - служебные данные (метаданные), появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных |
Иная защищаемая информация |
* В данном случае, сведения о наличии инвалидности являются дополнительными сведениями о субъекте ПДн и используются Компанией для соблюдения трудового законодательства и выплат социальных пособий (ст. 23, 27 Федерального закона от 24.11.1995 г. N 181-ФЗ (ред. от 9.12.2010 г.) "О социальной защите инвалидов в РФ" (принят ГД ФС РФ 20.07.1995 г.)).
Приложение Б
"Форма списка лиц, допущенных к ПДн,
обрабатываемым в ИСПДн Росреестра"
УТВЕРЖДАЮ
Руководитель
территориального органа Росреестра
_________________
(личная подпись)
"___" ____________ 2013 г.
Список
лиц, допущенных к персональным данным, обрабатываемым в ________________
(наименование ИСПДн)
N п/п |
Фамилия, имя, отчество |
Должность |
Подразделение |
Права (тип) доступа |
1 |
|
|
|
|
2 |
|
|
|
|
3 |
|
|
|
|
СОГЛАСОВАНО:
Руководитель подразделения
информационной безопасности
_________________________ ______________
(личная подпись)
"___" ______________ 2013 г.
__________________________________
(обладатель информационного ресурса -
должность)
________________ ____________________
(личная подпись) (инициалы, фамилия)
"___" ______________ 2013 г.
Приложение В
"Матрица доступа к информационным ресурсам ИСПДн Росреестра"
N п/п |
Фамилия, имя, отчество работника Росреестра (учетная запись) |
Должность работника Росреестра |
Уровень полномочий |
Вид выполняемых функций (роль) |
Наименование (тип) ресурса |
Место хранения, размещения защищаемого ресурса |
Содержание ресурса |
Права (тип) доступа к защищаемым ресурсам |
Отметка о принятии зачета, роспись за инструктаж |
Примечание |
Подразделение 1 | ||||||||||
1 |
Иванов Александр Петрович (ivanovap) |
|
Администратор |
Администратор безопасности информации |
Информационный |
|
ПДн клиентов (абонентов) Росреестра: - ...; - и т.д. |
Чтение, поиск. Запись, удаление, сортировка. Изменение (редактирование), передача |
|
|
2 |
|
|
|
|
|
|
|
Чтение, поиск |
|
|
3 |
|
|
|
|
|
|
|
Изменение (редактирование), передача |
|
|
4 |
|
|
|
|
|
|
|
|
|
|
5 |
|
|
|
|
|
|
|
|
|
|
Подразделение 2 | ||||||||||
1 |
Петров Иван Петрович (РФ) |
Бухгалтер |
Пользователь |
Оформление налоговой отчетности; Начисление заработной платы и т.д. |
информационный |
|
Пдн работников Росреестра: - ...; - и т.д. |
Запись, удаление, сортировка |
|
|
2 |
|
|
|
|
аппаратный |
Flash накопитель (учетный N 001) |
|
|
|
|
3 |
|
|
|
|
|
|
|
|
|
|
Руководитель подразделения информационной безопасности Администратор безопасности
территориального органа Росреестра
____________________ ____________ ____________________ ____________
(личная подпись) (личная подпись)
"___" ____________ 20__ г. "___" ____________ 20__ г.
Приложение Г
"Инструкция администратора безопасности информации
Росреестра"
(проект)
УТВЕРЖДАЮ
Руководитель
территориального органа Росреестра
_________________
(личная подпись)
"___" ____________ 2013 г.
ИНСТРУКЦИЯ
администратора безопасности информации
территориального органа Росреестра
(Проект)
СОГЛАСОВАНО СОГЛАСОВАНО
2013
1. Общие положения
1.1. Настоящая Инструкция определяет обязанности должностного лица, ответственного за обеспечение безопасности информации (в том числе персональных данных (ПДн)), обрабатываемой в информационных системах ПДн (ИСПДн) территориального органа Росреестра, далее - администратора безопасности информации (администратора безопасности).
1.2. Действие настоящей Инструкции распространяется на структурные подразделения территориального органа Росреестра.
1.3. Администратор безопасности назначается приказом руководителя территориального органа Росреестра из числа подготовленных работников подразделения информационной безопасности (ИБ).
1.4. Администратор безопасности по вопросам обеспечения безопасности информации подчиняется руководителю подразделения ИБ, являющемуся структурным подразделением, назначаемым ответственным за обеспечение безопасности информации в Росреестре и территориальных органах Росреестра.
1.5. Администратор безопасности отвечает за поддержание установленного уровня безопасности защищаемой информации, в том числе ПДн, при их обработке в ИСПДн Росреестра.
1.6. Администратор безопасности осуществляет методическое руководство деятельностью пользователей ИСПДн Росреестра в вопросах обеспечения безопасности информации.
1.7. Требования администратора безопасности, связанные с выполнением им своих обязанностей, обязательны для исполнения всеми пользователями ИСПДн Росреестра.
1.8. Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ИСПДн Росреестра, состояние и поддержание установленного уровня защиты информации, обрабатываемой в ИСПДн Росреестра.
2. Задачи администратора безопасности
2.1. Основными задачами администратора безопасности являются:
- поддержание необходимого уровня защиты ИСПДн Росреестра от несанкционированного доступа (НСД) к информации;
- обеспечение конфиденциальности обрабатываемой, хранимой и передаваемой по каналам связи информации;
- установка средств защиты информации и контроль выполнения правил их эксплуатации;
- сопровождение средств защиты информации (СЗИ) от НСД и основных технических средств и систем (ОТСС) ИСПДн Росреестра;
- периодическое обновление СЗИ и комплекса мероприятий по предотвращению инцидентов ИБ;
- оперативное реагирование на нарушения требований по ИБ в ИСПДн Росреестра и участие в их прекращении.
2.2. В рамках выполнения основных задач администратор безопасности осуществляет:
- текущий контроль работоспособности и эффективности функционирования эксплуатируемых программных и технических СЗИ;
- текущий контроль технологического процесса автоматизированной обработки ПДн;
- участие в проведении служебных расследований фактов нарушений или угрозы нарушений безопасности ПДн;
- контроль соблюдения нормативных требований по защите информации, обеспечения комплексного использования технических средств, методов и организационных мероприятий по безопасности информации в структурных подразделениях Росреестра и территориальных органах Росреестра;
- методическую помощь всем работникам Росреестра и территориальных органов Росреестра по вопросам обеспечения безопасности ПДн.
3. Обязанности администратора безопасности информации
Администратор безопасности обязан:
3.1. Знать и выполнять требования нормативных документов по защите информации, регламентирующих порядок защиты информации, обрабатываемой в ИСПДн Росреестра.
3.2. Участвовать в установке, настройке и сопровождении программных средств защиты информации.
3.3. Участвовать в приемке новых программных средств обработки информации.
3.4. Обеспечить доступ к защищаемой информации пользователям ИСПДн Росреестра согласно их правам доступа при получении оформленного соответствующим образом разрешения (заявки).
3.5. Уточнять в установленном порядке обязанности пользователей ИСПДн Росреестра при обработке ПДн.
3.6. Вести контроль осуществления резервного копирования информации.
3.7. Анализировать состояние защиты ИСПДн Росреестра.
3.8. Контролировать правильность функционирования средств защиты информации и неизменность их настроек.
3.9. Контролировать физическую сохранность технических средств обработки информации.
3.10. Контролировать исполнение пользователями ИСПДн Росреестра введенного режима безопасности, а также правильность работы с элементами ИСПДн и средствами защиты информации.
3.11. Контролировать исполнение пользователями правил парольной политики.
3.12. Периодически анализировать журнал учета событий, регистрируемых средствами защиты, с целью контроля действий пользователей и выявления возможных нарушений.
3.13. Не допускать установку, использование, хранение и размножение в ИСПДн Росреестра программных средств, не связанных с выполнением функциональных задач.
3.14. Осуществлять периодические контрольные проверки автоматизированных рабочих мест (АРМ) ИСПДн Росреестра.
3.15. Оказывать помощь пользователям ИСПДн Росреестра в части применения средств защиты и консультировать по вопросам введенного режима защиты.
3.16. Периодически представлять руководству отчёт о состоянии защиты ИСПДн Росреестра и о нештатных ситуациях и допущенных пользователями нарушениях установленных требований по защите информации.
3.17. В случае отказа работоспособности технических средств и программного обеспечения ИСПДн Росреестра, в том числе средств защиты, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.
3.18. В случае выявления нарушений режима безопасности информации (ПДн), а также возникновения внештатных и аварийных ситуаций принимать необходимые меры с целью ликвидации их последствий.
3.19. Принимать участие в проведении работ по оценке соответствия ИСПДн Росреестра требованиям безопасности информации*.
4. Права администратора безопасности
Администратор безопасности имеет право:
4.1. Отключать от ресурсов ИСПДн Росреестра работников, осуществивших НСД к защищаемым ресурсам ИСПДн или нарушивших другие требования по ИБ.
4.2. Давать работникам обязательные для исполнения указания и рекомендации по вопросам ИБ.
4.3. Инициировать проведение служебных расследований по фактам нарушений установленных требований обеспечения ИБ, НСД, утраты, порчи защищаемой информации и технических средств ИСПДн Росреестра.
4.4. Организовывать и участвовать в любых проверках по использованию пользователями Росреестра и территориальных органов Росреестра телекоммуникационных ресурсов.
4.5. Осуществлять контроль информационных потоков, генерируемых пользователями ИСПДн Росреестра при работе с корпоративной электронной почтой, съемными носителями информации, подсистемой удаленного доступа.
4.6. Осуществлять взаимодействие с руководством и персоналом Росреестра и территориальных органов Росреестра по вопросам обеспечения ИБ.
4.7. Запрещать устанавливать на серверах и автоматизированных рабочих местах нештатное программное и аппаратное обеспечение.
4.8. Запрашивать и получать от начальников и специалистов структурных подразделений Росреестра и территориальных органов Росреестра информацию и материалы, необходимые для организации своей работы.
4.9. Вносить на рассмотрение руководства предложения по улучшению состояния ИБ ПДн, обрабатываемых в Росреестре и территориальных органах Росреестра.
5. Ответственность администратора безопасности
Администратор безопасности несет ответственность**:
5.1. За организацию защиты информационных ресурсов и технических средств ИСПДн Росреестра.
5.2. За качество проводимых работ по контролю действий пользователей и администраторов ИСПДн, состояние и поддержание необходимого уровня защиты информационных и технических ресурсов ИСПДн Росреестра.
5.3. За разглашение сведений ограниченного доступа (коммерческая тайна, персональные данные и иная защищаемая информация), ставших известными ему по роду работы.
6. Действия администратора безопасности при обнаружении попыток НСД
6.1. К попыткам НСД относятся:
- сеансы работы с телекоммуникационными ресурсами Росреестра и территориальных органов Росреестра незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, либо срок действия полномочий которых истек, либо в состав полномочий которых не входят операции доступа к определенным данным или манипулирования ими;
- действия третьего лица, пытающегося получить доступ (или получившего доступ) к информационным ресурсам ИСПДн Росреестра с использованием учетной записи администратора или другого пользователя ИСПДн, в целях получения коммерческой или другой личной выгоды, методом подбора пароля или другого метода (случайного разглашения пароля и т.п.) без ведома владельца учетной записи.
6.2. При выявлении факта/попытки НСД администратор безопасности обязан:
- прекратить доступ к информационным ресурсам со стороны выявленного участка НСД:
- доложить руководству подразделения ИБ о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;
- известить начальника структурного подразделения Росреестра и/или территориальных органов Росреестра, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка НСД, о факте НСД;
- проанализировать характер НСД;
- по решению руководства подразделения ИБ осуществить действия по выяснению причин, приведших к НСД;
- предпринять меры по предотвращению подобных инцидентов в дальнейшем.
------------------------------
* Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", постановление Правительства Российской Федерации от 01.11.2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативно-правовые акты и методические документы ФСТЭК России и ФСБ России по защите персональных данных при их обработке в информационных системах персональных данных.
** Работники организации и территориальных органов, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
Приложение Д
"Инструкция пользователя ИСПДн Росреестра по
обеспечению безопасности информации"
(Проект)
УТВЕРЖДАЮ
Руководитель
территориального органа Росреестра
_________________
(личная подпись)
"___" ____________ 2013 г.
ИНСТРУКЦИЯ
пользователя информационных систем персональных данных
территориального органа Росреестра
по обеспечению безопасности
(Проект)
СОГЛАСОВАНО СОГЛАСОВАНО
2013
1. Общие требования по обеспечению безопасности обработки информации в ИСПДн
1.1. К защищаемой информации, обрабатываемой в информационных системах персональных данных Росреестра (далее - ИСПДн Росреестра), относятся персональные данные, служебная (технологическая) информация системы защиты, другая информация конфиденциального характера в соответствии с "Перечнем защищаемых информационных ресурсов ИСПДн Росреестра".
1.2. Действие настоящей Инструкции распространяется на структурные подразделения территориального органа Росреестра.
1.3. Обработка защищаемой информации в ИСПДн Росреестра разрешается на основании приказа руководителя территориального органа Росреестра.
1.4. Ответственность за организацию защиты информации в ИСПДн Росреестра и выполнение установленных условий её функционирования возлагается на администратора безопасности информации территориального органа Росреестра. Ответственность за выполнение мероприятий по обеспечению безопасности информации возлагается на лицо, производящее её обработку (пользователя ИСПДн Росреестра).
1.5. Допуск пользователей к работе в ИСПДн Росреестра осуществляется в соответствии со "Списком лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей", утверждаемом руководителем Росреестра/территориального органа Росреестра.
1.6. К самостоятельной работе на автоматизированных рабочих местах (АРМ), входящих в состав ИСПДн Росреестра, допускаются лица, изучившие требования настоящей Инструкции и освоившие правила эксплуатации АРМ и технических средств защиты. Допуск производится после проверки знания настоящей Инструкции и практических навыков в работе.
1.7. Помещения, в которых размещены технические средства ИСПДн Росреестра, отвечают режимным требованиям и в нерабочее время сдаваться под охрану установленным порядком.
1.8. Вход в помещение, в котором производится автоматизированная обработка защищаемой информации, разрешается постоянно работающим в нем работникам, а также лицам, привлекаемым к проведению ремонтных, наладочных и других работ и посетителей в сопровождении работников Росреестра и территориальных органов Росреестра.
1.9. Техническое обслуживание АРМ, уборка помещения и т.п. проводятся только под контролем уполномоченного лица Росреестра и территориальных органов Росреестра. При проведении этих работ обработка защищаемой информации (ПДн) запрещается.
1.10. По фактам и попыткам несанкционированного доступа к защищаемой информации, а также в случаях её утечки и (или) модификации (уничтожения) проводятся служебные расследования.
2. Обязанности пользователя
2.1. При первичном допуске к работе в ИСПДн Росреестра пользователь знакомится с требованиями руководящих, нормативно-методических и организационно-распорядительных (регламентирующих) документов по вопросам безопасности при автоматизированной обработке информации, изучает настоящую Инструкцию, получает личный текущий пароль у должностного лица, выполняющего функции администратора безопасности информации в ИСПДн Росреестра (далее - администратор безопасности).
2.2. Каждый работник Росреестра и территориальных органов Росреестра, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн Росреестра, несет персональную ответственность* за свои действия и ОБЯЗАН:
2.2.1. Строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн Росреестра.
2.2.2. Знать и строго выполнять правила работы со средствами защиты информации, установленными в ИСПДн Росреестра.
2.2.3. Хранить в тайне свой пароль.
2.2.4. Передавать для хранения установленным порядком при необходимости свои реквизиты разграничения доступа только администратору безопасности Росреестра и территориальных органов Росреестра.
2.2.5. Выполнять требования по антивирусной защите в части, касающейся действий пользователей.
2.2.6. Немедленно ставить в известность администратора безопасности в следующих случаях:
- при подозрении компрометации личного пароля;
- обнаружения нарушения целостности пломб (наклеек) на аппаратных средствах АРМ или иных фактов совершения в отсутствие пользователя попыток несанкционированного доступа (НСД) к ресурсам ИСПДн Росреестра;
- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн Росреестра;
- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ИСПДн Росреестра, выхода из строя или неустойчивого функционирования узлов или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;
- некорректного функционирования установленных средств защиты;
- обнаружения непредусмотренных отводов кабелей и подключенных устройств;
- обнаружения фактов и попыток НСД и случаев нарушения установленного порядка обработки защищаемой информации.
2.3. Пользователю категорически ЗАПРЕЩАЕТСЯ:
2.3.1. Использовать компоненты программного и аппаратного обеспечения ИСПДн Росреестра в неслужебных целях.
2.3.2. Самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн Росреестра или устанавливать дополнительно любые программные и аппаратные средства.
2.3.3. Осуществлять обработку защищаемой информации в присутствии посторонних (недопущенных к данной информации) лиц.
2.3.4. Записывать и хранить защищаемую информацию на неучтенных носителях информации (гибких магнитных дисках и т.п.).
2.3.5. Оставлять включенным без присмотра АРМ, не активизировав средства защиты от НСД.
2.3.6. Оставлять без личного присмотра на АРМ или где бы то ни было свои персональные реквизиты доступа, машинные носители и распечатки, содержащие защищаемую информацию.
2.3.7. Умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к ознакомлению с защищаемой информацией посторонних лиц. Об обнаружении такого рода ошибок - ставить в известность администратора безопасности.
2.3.8. Производить перемещения технических средств АРМ без согласования с администратором безопасности.
2.3.9. Вскрывать корпуса технических средств АРМ и вносить изменения в схему и конструкцию устройств, производить техническое обслуживание (ремонт) средств вычислительной техники без согласования с администратором безопасности и без оформления соответствующего Акта.
2.3.10. Подключать к АРМ нештатные устройства и самостоятельно вносить изменения в состав и конфигурацию.
2.3.11. Осуществлять ввод пароля в присутствии посторонних лиц.
2.3.12. Оставлять без контроля АРМ в процессе обработки конфиденциальной информации.
2.3.13. Привлекать посторонних лиц для производства ремонта (технического обслуживания) технических средств АРМ.
------------------------------
* Работники территориальных органов Росреестра, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
Приложение Е
"ПЛАН КОНТРОЛЯ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН"
(ФОРМА)
УТВЕРЖДАЮ
Руководитель
территориального органа Росреестра
____________________
(личная подпись)
"___" ____________ 2013 г.
ПЛАН
контроля выполнения требований по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных территориального органа Росреестра
СОГЛАСОВАНО СОГЛАСОВАНО
2013
N п/п |
Дата проведения мероприятий |
Краткое описание проверочных мероприятий |
Периодичность проверочных мероприятий |
Результат проверки |
ФИО ответственного пользователя, подпись |
Фамилия и роспись лица, проводившего проверку |
Примечание |
1 |
|
Контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны |
1 раз в месяц |
|
|
|
|
2 |
|
Проверка выполнения требований по условиям размещения АРМ в помещениях, в которых размещены средства ИСПДн |
1 раз в 3 месяца |
|
|
|
|
3 |
|
Проверка соответствия состава и структуры программно-технических средств ИСПДн документированному составу и структуре средств, разрешенных для обработки ПДн |
1 раз в 3 месяца |
|
|
|
|
4 |
|
Проверка целостности наклейки на системных блоках и других ТС, участвующих в обработке ПДн |
1 раз в месяц |
|
|
|
|
5 |
|
Проверка допуска в помещения, где размещены средства ИСПДн, и осуществляется обработка ПДн |
1 раз в 3 месяца |
|
|
|
|
6 |
|
Проверка соответствия реального уровня полномочий по доступу к ПДн различных пользователей установленному в списке лиц, допущенных к обработке ПДн, уровню полномочий |
1 раз в 3 месяца |
|
|
|
|
7 |
|
Проверка наличия средств защиты информации в соответствии с указанными в Журнале учета средствами защиты информации |
1 раз в 3 месяца |
|
|
|
|
8 |
|
Проверка правильности применения средств защиты информации |
1 раз в 3 месяца |
|
|
|
|
9 |
|
Проверка неизменности настроенных параметров антивирусной защиты на рабочих станциях пользователей |
1 раз в месяц |
|
|
|
|
10 |
|
Контроль за обновлениями ПО и единообразия применяемого ПО на всех элементах ИСПДн |
1 раз в неделю |
|
|
|
|
11 |
|
Проверка соблюдения правил парольной защиты |
1 раз в 3 месяца |
|
|
|
|
12 |
|
Проверка работоспособности системы резервного копирования |
1 раз в месяц |
|
|
|
|
13 |
|
Проведение мероприятий по проверке организации учета и условий хранения съемных носителей ПДн |
1 раз в 3 месяца |
|
|
|
|
14 |
|
Проверка соблюдения требований по обеспечению безопасности при использовании ресурсов сети Интернет |
1 раз в месяц |
|
|
|
|
15 |
|
Проверка знаний персоналом руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях |
1 раз в год |
|
|
|
|
16 |
|
Проверка знаний инструкций по обеспечению безопасности информации пользователями ИСПДн |
1 раз в 6 месяцев |
|
|
|
|
17 |
|
Проверка наличия документов, подтверждающих возможность применения технических и программных средств вычислительной техники для обработки ПДн и применения средств защиты (сертификатов соответствия и других документов) |
1 раз в 3 месяца |
|
|
|
|
Приложение Ж
"ЖУРНАЛ УЧЕТА СЗИ, ИСПОЛЬЗУЕМЫХ В
ИСПДН РОСРЕЕСТРА" (ФОРМА)
Журнал начат "___" ________________ 20__ г. Журнал завершен"___" ________________ 20__ г.
(должность ответственного лица) (должность ответственного лица)
_____________________________ (ФИО) _____________________________ (ФИО)
На _________ листах
N п/п |
Наименование СЗИ |
Регистрационный номер СЗИ |
Сведения о сертификате |
Наименование организации, установившей СЗИ |
Место установки |
Дата установки |
Дата вывода из эксплуатации |
Примечание |
Подпись ответственного лица |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение З
"ЖУРНАЛ УЧЕТА НОСИТЕЛЕЙ ИНФОРМАЦИИ, ИСПОЛЬЗУЕМЫХ В
ИСПДН РОСРЕЕСТРА" (ФОРМА)
Журнал начат "___" ________________ 20__ г. Журнал завершен"___" ________________ 20__ г.
(должность ответственного лица) (должность ответственного лица)
_____________________________ (ФИО) _____________________________ (ФИО)
На _________ листах
Учётный номер |
Дата постановки на учёт |
Подпись принявшего на учёт |
Вид носителя информации |
Отметка о получении носителя |
Местонахождение носителя информации |
Состав информации на носителе информации |
Ответственный за хранение |
Отметка об обратном приеме |
Отметка об отправке (куда отправлен, номер и дата сопроводительного письма), уничтожении (номер и дата акта) |
|||
Номер и дата получения |
Откуда поступил (номер и дата сопроводительного письма) |
Фамилия |
Подпись |
Дата |
||||||||
01пд |
12.01. 2012 |
|
ЖМД ST0987654, зав. номер 123ER89YU |
|
|
АРМ, зав. N 23145 (или инв. N 45678), пом. N 11 |
Персональные данные работников |
Соколов |
|
|
|
|
02пд |
14.01. 2012 |
|
Флеш-накопитель |
|
|
Пом. N 22 |
Персональные данные абонентов |
Петров |
|
|
|
|
03пд |
15.01. 2012 |
|
CD-диск |
|
|
Пом. N 33 |
Персональные данные акционеров |
Власов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение И
"Инструкция о действиях лиц, допущенных к
информации, содержащей ПДн, в случае нештатных
ситуаций"
(Проект)
УТВЕРЖДАЮ
Руководитель
территориального органа Росреестра
________________
(личная подпись)
"___" ____________ 2013 г.
Инструкция
о действиях лиц, допущенных к информации, содержащей персональные
данные, в случае нештатных ситуаций
(Проект)
СОГЛАСОВАНО СОГЛАСОВАНО
2013
1. Общие положения
1.1. Настоящая инструкция определяет действия работников Росреестра (далее - Росреестра) в случае возникновения нештатных ситуаций в процессах обработки персональных данных в информационных системах персональных данных (ИСПДн) Росреестра.
1.2. Положения инструкции обязательны для исполнения всеми должностными лицами территориального органа Росреестра в части выполнения вмененных им обязанностей.
1.3. Общими требованиями ко всем работникам Росреестра и территориальных органов Росреестра в случае возникновения нештатной ситуации являются:
- работник, обнаруживший нештатную ситуацию, немедленно ставит в известность своего непосредственного руководителя и администратора информационной безопасности;
- администратор информационной безопасности (далее - администратор безопасности) обязан проводить анализ ситуации и, в случае невозможности исправить положение, ставит в известность руководство Росреестра (территориальных органов Росреестра). Кроме этого, администратор безопасности для локализации (блокирования) проявлений угроз информационной безопасности может привлекать пользователей ИСПДн Росреестра, а также уполномоченного работника, ответственного за сопровождение технических средств ИСПДн;
- по факту возникновения нештатной ситуации и выяснению причин ее проявления проводится служебное расследование.
2. Действия пользователей ИСПДн при возникновении нештатных ситуаций
2.1. Сбой программного обеспечения.
2.1.1. Администратор безопасности совместно с уполномоченным работником подразделения информационных технологий (далее - подразделение информационных технологий (ИТ)) выясняют причину сбоя программного обеспечения. Если привести систему в работоспособное состояние своими силами (в том числе после консультации с разработчиками программного обеспечения) не удалось, копия акта и сопроводительных материалов (а так же файлов, если это необходимо) направляются разработчику программного обеспечения для устранения причин, приведших к сбою. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения информационной безопасности (далее - подразделение информационной безопасности (ИБ)) для принятия решения по существу.
2.2. Отключение электропитания технических средств ИСПДн
2.2.1. Администратор безопасности совместно с уполномоченным работником подразделения ИТ проводят анализ на наличие потерь и (или) разрушения данных и программного обеспечения, а также проверяют работоспособность оборудования. В случае необходимости производится восстановление программного обеспечения и данных из последней резервной копии с составлением акта. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения ИБ для принятия решения по существу.
2.3. Выход из строя технических средств ИСПДн (серверов, рабочих станций).
2.3.1. Уполномоченный работник подразделения ИТ совместно с администратором безопасности выполняют мероприятия по немедленному вводу в действие резервного сервера для обеспечения непрерывной работы ИСПДн (замене рабочей станции).
2.3.2. О выходе из строя сервера (рабочей станции) уполномоченный работник подразделения ИТ, ответственный за эксплуатацию сервера (рабочей станции), сообщает руководителю подразделения ИТ.
2.3.3. При необходимости производятся работы по восстановлению программного обеспечения и данных из резервных копий с составлением акта. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения ИБ для принятия решения по существу.
2.4. Потеря данных.
2.4.1. При обнаружении потери данных уполномоченный работник подразделения ИТ проводит мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность программного обеспечения, целостность и работоспособность оборудования).
2.4.2. При необходимости уполномоченным работником подразделения ИТ производится восстановление программного обеспечения и данных из резервных копий с составлением акта. О произошедшем инциденте уполномоченный работник подразделения ИТ сообщает администратору безопасности. Администратор безопасности сообщает руководителю подразделения ИБ для принятия решения но существу.
2.5. Обнаружение вредоносной программы в программной среде средств автоматизации ИСПДн Росреестра.
2.5.1. При обнаружении вредоносной программы (ВП) производится её локализация с целью предотвращения её дальнейшего распространения. При этом зараженная рабочая станция (сервер) физически отсоединяется от локальной вычислительной сети, и уполномоченным работником подразделения ИТ и администратором безопасности проводится анализ состояния рабочей станции (сервера).
2.5.2. В результате анализа может быть предпринята попытка сохранения данных, так как после перезагрузки рабочей станции (сервера) данные могут быть потеряны. После успешной ликвидации ВП сохранённые данные подвергаются повторной проверке на наличие ВП. Кроме того, при обнаружении ВП следует руководствоваться инструкцией по эксплуатации применяемого антивирусного программного обеспечения.
2.5.3. После ликвидации ВП проводится внеочередная проверка на всех средствах локальной вычислительной системы с применением обновлённых антивирусных баз. При необходимости производится восстановление программного обеспечения и данных из резервных копий с составлением акта.
2.5.4. По факту появления ВП в локальной вычислительной сети Группой реагирования на инциденты ИБ проводится служебное расследование. Решение о необходимости проведения служебного расследования принимается руководителем подразделения ИБ.
2.6. Утечка информации.
2.6.1. При обнаружении утечки информации ставится в известность администратор безопасности и начальник структурного подразделения. По факту инициируется процедура служебного расследования. Если утечка информации произошла по техническим причинам, проводится анализ защищённости процессов ИСПДн Росреестра и, если необходимо, принимаются меры по устранению каналов утечки и предотвращению их возникновения.
2.7. Взлом операционной системы средств автоматизации ИСПДн (несанкционированное получение доступа к ресурсам операционной системы).
2.7.1. При обнаружении взлома сервера ставится в известность руководитель подразделения ИТ и руководитель подразделения ИБ.
2.7.2. По возможности производится временное отключение сервера от локальной вычислительной сети Росреестра (территориального органа Росреестра) для проверки на наличие ВП. Возможен временный переход на резервный сервер.
2.7.3. Уполномоченным работником подразделения ИТ проверяется целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения. Уполномоченным работником подразделения ИТ проводится анализ состояния файлов - скриптов и журналов сервера, производится смена всех паролей, которые имели отношение к данному серверу.
2.7.4. В случае необходимости уполномоченным работником подразделения ИТ производится восстановление программного обеспечения и восстановление данных из эталонного архива и резервных копий с составлением акта.
2.7.5. По результатам анализа ситуации проверяется вероятность проникновения несанкционированных программ в локальную вычислительную сеть, после чего проводятся аналогичные работы по проверке и восстановлению программного обеспечения и данных на других информационных узлах ИСПДн.
2.8. Попытка несанкционированного доступа (НСД).
2.8.1. При попытке НСД уполномоченным работником подразделения ИТ и администратором безопасности проводится анализ ситуации на основе информации журналов регистрации попыток НСД и предыдущих попыток НСД. По результатам анализа, в случае необходимости (есть реальная угроза НСД), принимаются меры по предотвращению НСД.
2.8.2. Проводится внеплановая смена паролей. В случае появления обновлений программного обеспечения, устраняющих уязвимости системы безопасности, уполномоченным работником подразделения ИТ устанавливаются такие обновления.
2.8.3. По факту попытки НСД Группой реагирования на инциденты ИБ проводится служебное расследование. Решение о необходимости проведения служебного расследования принимается руководителем подразделения ИБ.
2.8.4. В случае установления в ходе служебного расследования факта осуществления попытки НСД со стороны внешних по отношению к ИСПДн субъектов, лицами, уполномоченными на проведение такого расследования, принимаются меры по фиксации и документированию факта инцидента и готовятся материалы для передачи в компетентные органы дознания для проведения предварительного расследования, установления субъекта-нарушителя, определения наличия состава преступления и принятия решения о возбуждении уголовного дела.
2.9. Компрометация ключевой информации (паролей доступа).
2.9.1. При компрометации ключевой информации (пароля доступа) администратором безопасности проводится смена пароля, анализируется ситуация на наличие последствий компрометации и принимаются необходимые меры по минимизации возможного (или нанесённого) ущерба.
2.9.2. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения ИБ для принятия решения по существу.
2.10. Физическое повреждение или хищение оборудования технических средств ИСПДн.
2.10.1. Работником, обнаружившим физическое повреждение элементов ИСПДн, ставятся в известность: непосредственный руководитель, руководители подразделений ИБ и ИТ.
2.10.2. Уполномоченным работником подразделения ИТ совместно с администратором безопасности проводится анализ с целью оценки возможности утечки или повреждения информации. Определяется причина повреждения элементов ИСПДн и возможные угрозы информационной безопасности.
2.10.3. О факте повреждения элементов ИСПДн работник подразделения ИТ докладывает руководителю подразделения ИТ.
2.10.4. В случае возникновения подозрения на целенаправленный вывод оборудования из строя Группой реагирования на инциденты ИБ проводится служебное расследование.
2.10.5. Уполномоченным работником подразделения ИТ проводится проверка программного обеспечения на целостность и на наличие ВП, а также проверка целостности данных и анализ электронных журналов.
2.10.6. При необходимости уполномоченным работником подразделений ИТ проводятся мероприятия по восстановлению программного обеспечения и данных из резервных копий с составлением акта.
2.11. Невыполнение установленных правил ИБ (правил работы в ИСПДн), использование ИСПДн с нарушением требований, установленных в нормативно-технической и (или) конструкторской документации.
2.11.1. Работником, обнаружившим невыполнение установленных правил ИБ, использование ИСПДн с нарушением требований, установленных в нормативно-технической и (или) конструкторской документации, ставятся в известность: непосредственный руководитель и руководитель подразделения ИБ.
2.11.2. Администратором безопасности проводится анализ с целью оценки возможности утечки или повреждения информации. Определяются возможные угрозы информационной безопасности в результате инцидента.
2.11.3. Об обнаруженном факте администратор безопасности докладывает руководителю подразделения ИБ.
2.11.4. При необходимости по решению руководителя подразделения ИБ по фактам выявленных нарушений Группой реагирования на инциденты ИБ проводится служебное расследование.
2.12. Ошибки работников.
2.12.1. В случае возникновения сбоя, связанного с ошибками работников, руководитель подразделения Росреестра (территориального органа Росреестра), в котором произошёл инцидент, ставит в известность уполномоченного работника подразделения ИТ и руководителя подразделения ИБ.
2.12.2. Администратором безопасности и уполномоченным работником подразделения ИТ проводится анализ с целью оценки возможности утечки или повреждения информации. Определяются возможные угрозы информационной безопасности в результате инцидента и необходимость восстановления программного обеспечения и данных.
2.12.3. При необходимости уполномоченным работником подразделения ИТ проводятся мероприятия по восстановлению программного обеспечения и данных из резервных копий с составлением акта.
2.12.4. В случае нанесения Росреестра (территориальному органу Росреестра) значительного ущерба вследствие ошибок работников Группой реагирования на инциденты ИБ проводится служебное расследование.
2.13. Отказ в обслуживании.
2.13.1. Работником, обнаружившим отказ в обслуживании, ставятся в известность; непосредственный руководитель и руководители подразделений ИТ и ИБ.
2.13.2. Уполномоченным работником подразделения ИТ и администратором безопасности проводится анализ с целью определения причин, вызвавших отказ в обслуживании.
2.13.3. Уполномоченным работником подразделения ИТ проводится проверка программного обеспечения на целостность и на наличие ВП, а также проверка целостности данных и анализ электронных журналов.
2.13.4. При необходимости, уполномоченным работником подразделения ИТ проводятся мероприятия по восстановлению программного обеспечения и данных из резервных копий с составлением акта.
2.13.5. О причинах инцидента и принятых мерах уполномоченный работник подразделения ИТ информирует руководителя подразделения ИБ.
2.14. Несанкционированные изменения состава программных и аппаратных средств (конфигурации) ИСПДн.
2.14.1. В случае обнаружения несанкционированного изменения состава программных и аппаратных средств (конфигурации) ИСПДн администратором безопасности проводится анализ с целью оценки возможности утечки или повреждения информации. Определяются возможные угрозы ИБ в результате инцидента.
2.14.2. Уполномоченным работником подразделения ИТ проводятся мероприятия по восстановлению программного обеспечения и данных из резервных копий с составлением акта, а также (при необходимости) проверка на наличие компьютерных ВП.
2.14.3. Об инциденте администратор безопасности докладывает руководителю подразделения ИБ.
2.15. Техногенные и природные проявления нештатных ситуаций.
2.15.1. При стихийном бедствии, пожаре или наводнении, грозящем уничтожению или повреждению информации (данных), работнику, обнаружившему факт возникновения нештатной ситуации:
- немедленно оповестить других работников и принять все меры для самостоятельной оперативной защиты помещения;
- немедленно позвонить в соответствующие службы помощи (пожарная охрана, служба спасения и т.д.);
- немедленно сообщить своему непосредственному руководителю и администратору безопасности.
2.15.2. После оперативной ликвидации причин, вызвавших пожар или наводнение, назначается внутренняя комиссия по устранению последствий инцидента.
2.15.3. Комиссия определяет ущерб (состав и объем уничтоженных оборудования и информации) и причины, по которым произошло происшествие, а также выявляет виновных.
Приложение К
"Инструкция по организации резервного
копирования"
(Проект)
УТВЕРЖДАЮ
Руководитель
территориального органа Росреестра
________________
(личная подпись)
"___" ____________ 2013 г.
Инструкция
по организации резервного копирования
в информационных системах персональных данных
территориального органа Росреестра
(Проект)
СОГЛАСОВАНО СОГЛАСОВАНО
2013
1. Общие положения
1.1. Настоящая Инструкция устанавливает основные требования к организации резервного копирования (восстановления) программ и данных, хранящихся в базах данных на серверах территориального органа Росреестра, а также к резервированию аппаратных средств.
1.2. Настоящая Инструкция разработана с целью:
- определения категории информации, подлежащей обязательному резервному копированию;
- определения процедуры резервирования данных для последующего восстановления работоспособности информационных систем при полной или частичной потере информации, вызванной сбоями или отказами аппаратного или программного обеспечения, ошибками пользователей, чрезвычайными обстоятельствами (пожаром, стихийными бедствиями и т.д.);
- определения порядка восстановления информации в случае возникновения такой необходимости;
- упорядочения работы и определения ответственности должностных лиц, связанной с резервным копированием и восстановлением информации.
1.3. Под резервным копированием информации понимается создание избыточных копий защищаемой информации в электронном виде для быстрого восстановления работоспособности информационных систем персональных данных (ИСПДн) в случае возникновения аварийной ситуации, повлекшей за собой повреждение или утрату данных.
1.4. Резервному копированию подлежит информация следующих основных категорий:
- персональная информация пользователей (личные каталоги) и групповая информация (общие каталоги подразделений) на файловых серверах;
- информация, обрабатываемая пользователями в ИСПДн, а также информация, необходимая для восстановления работоспособности ИСПДн, в т.ч. систем управления базами данных (СУБД) общего пользования и справочно-информационные системы общего использования;
- рабочие копии установочных компонент программного обеспечения общего назначения и специализированного программного обеспечения ИСПДн, СУБД, серверов и рабочих станций;
- информация, необходимая для восстановления серверов и систем управления базами данных ИСПДн, локальной вычислительной сети, системы электронного документооборота;
- регистрационная информация системы информационной безопасности ИСПДн;
- другая информация ИСПДн, по мнению пользователей и администратора безопасности, являющаяся критичной для работоспособности ИСПДн.
1.5. Для каждой ИСПДн разрабатывается отдельный Регламент резервного копирования в зависимости от следующих требований:
- состав и объем копируемых данных, необходимая периодичность проведения резервного копирования (по форме, приведенной в Приложении N 1);
- максимальный срок хранения резервных копий;
- требований к надежности и защищенности хранения резервных копий;
- требований к резервируемым аппаратным средствам ИСПДн (при необходимости, в случае предъявления высоких требований к обеспечению доступности данных, обрабатываемых в ИСПДн и значительного ущерба Росреестра при нарушении заданных характеристик безопасности ПДн).
Допускается составление одного Регламента для нескольких ИСПДн в случае идентичности требований к их резервированию.
1.6. Машинным носителям информации, содержащим резервную копию, присваивается гриф конфиденциальности по наивысшему грифу содержащихся на них сведений.
1.7. Резервные копии хранятся вне пределов серверного помещения, доступ к резервным копиям ограничен. К носителям информации, содержащим резервные копии, а также к резервируемым программным и аппаратным средствам допускаются только работники Росреестра, указанные в Списке лиц, имеющих доступ к резервируемым программным и аппаратным средствам ИСПДн (форма Списка лиц приведена в Приложении N 2). Список лиц формируется на основании письменной Заявки руководителя подразделения информационных технологий (ИТ), согласованной с руководителем подразделения информационной безопасности (ИБ). Изменение прав доступа к резервируемым техническим средствам, массивам и носителям информации производится на основании Заявки руководителя подразделения ИТ, согласованной с руководителем подразделения ИБ. О выявленных попытках несанкционированного доступа к резервируемой информации и аппаратным средствам, а также иных нарушениях ИБ, произошедших в процессе резервного копирования, сообщается в подразделение ИБ служебной запиской в течение рабочего дня после обнаружения указанного события.
2. Общие требования к резервному копированию
2.1. В Регламенте резервного копирования описываются действия при выполнении следующих мероприятий:
- резервное копирование с указанием конкретных резервируемых данных и аппаратных средств (в случае необходимости);
- контроль резервного копирования:
- хранение резервных копий;
- полное или частичное восстановление данных.
2.2. Архивное копирование резервируемой информации производится при помощи специализированных программно-аппаратных систем резервного копирования, программный и аппаратный состав которых обеспечивает выполнение требования к резервному копированию, приведенные в п. 1.5. Система резервного копирования обеспечивает производительность, достаточную для сохранения информации, указанной в п. 1.4, в установленные сроки и с заданной периодичностью.
2.3. Требования к техническому обеспечению систем резервного копирования:
- это комплекс взаимосвязанных технических средств, обеспечивающих процессы сбора, передачи, обработки и хранения информации, основывающийся на единой технологической платформе;
- имеет возможность расширения (замены) состава технических средств, входящих в комплекс, для улучшения их эксплуатационно-технических характеристик по мере возрастания объемов обрабатываемой информации:
- обеспечивает выполнение функций, перечисленных в п. 2.1;
- средства вычислительной техники отвечают действующим на момент сертификации российским и международным стандартам и рекомендациям.
2.4. Требования к программному обеспечению систем резервного копирования:
- лицензионное системное программное обеспечение и программное обеспечение резервного копирования;
- программное обеспечение резервного копирования обеспечивает простоту процесса инсталляции, конфигурирования и сопровождения.
2.5. Сопровождение системы резервного копирования возлагается на уполномоченных работников подразделения ИТ, которые обязаны следить за работоспособностью программных и аппаратных средств, осуществляющих архивное копирование, в соответствии с их инструкциями по эксплуатации.
2.6. Предварительный учет магнитных носителей архивных копий производится в отдельном журнале учета магнитных носителей для архивного копирования, который находится в подразделении ИТ (форма журнала приведена в Приложении N 3). Все магнитные носители с архивными копиями маркируются, на них указывается предназначение носителя.
В случае неотделимости носителей архивной информации от системы резервного копирования допускается их не маркировать и учитывать всю систему как одно целое.
2.7. Хранение отдельных магнитных носителей архивных копий организуется в отдельном от используемых данных помещении. Физический доступ к архивным копиям строго ограничен. Контроль за физическим доступом возлагается на администратора безопасности.
2.8. Доступ к носителям архивных копий имеют только уполномоченные работники подразделений ИТ и ИБ, которые несут персональную ответственность за сохранность архивных копий и невозможность ознакомления с ними лиц, неимеющих на то права.
2.9. Магнитные носители для архивных копий изымаются для работы только работником, непосредственно осуществляющим резервное копирование, под роспись в журнале учета магнитных носителей архивных копий. Передача магнитных носителей с архивными копиями кому бы то ни было без документального оформления не допускается.
2.10. Уничтожение отделяемых магнитных носителей архивных копий производится установленным порядком в случае прихода их в негодность или замены типа носителя с обязательной записью в журнале их учета.
3. Ответственность за состояние резервного копирования
3.1. Ответственность за периодичность и полноту резервного копирования, а также состояние системы резервного копирования возлагается на уполномоченных работников подразделения ИХ, осуществляющих резервное копирование.
3.2. Ответственность за контроль над своевременным осуществлением резервного копирования и соблюдением соответствующего Регламента, а также за выполнением требований по хранению архивных копий и предотвращению несанкционированного доступа к ним возлагается на администратора безопасности.
3.3. В случае обнаружения попыток несанкционированного доступа к носителям архивной информации, а также иных нарушениях ИБ, произошедших в процессе резервного копирования, сообщается в подразделение ИБ служебной запиской в течение рабочего дня после обнаружения указанного события.
4. Периодичность резервного копирования
4.1. Резервное копирование специализированного программного обеспечения производится при его получении (если это предусмотрено инструкцией по его применению и не противоречит условиям его распространения), а также при его обновлении и получении исправленных и обновленных версий.
4.2. Резервное копирование открытой информации делается не позднее чем через сутки после её изменения, но не реже одного раза в месяц.
4.3. Информация (ПДн), содержащаяся в постоянно изменяемых базах данных Росреестра, сохраняется в соответствии со следующим графиком:
- ежедневно проводится копирование изменённой и дополненной информации. Носители с ежедневной информацией должны храниться в течение недели;
- еженедельно проводится резервное копирование всей базы данных. Носители с еженедельными копиями хранятся в течение месяца;
- ежемесячно производится резервное копирование на специально выделенный носитель длительного хранения, информация на котором хранится постоянно.
4.4. Не реже одного раза в год на носители длительного хранения записывается информация, не относящаяся к постоянно изменяемым базам данных (приказы, распоряжения, открытые издания и т.д.).
5. Контроль результатов резервного копирования
5.1. Контроль результатов всех процедур резервного копирования осуществляется ответственными должностными лицами, указанными в Приложении N 2, в срок до 17 часов рабочего дня, следующего за установленной датой выполнения этих процедур. В случае обнаружения ошибки лицо, ответственное за контроль результатов, сообщает руководителю подразделения ИТ до 18 часов текущего рабочего дня.
5.2. На протяжении периода времени, когда система резервного копирования находится в аварийном состоянии, осуществляется ежедневное копирование информации, подлежащей резервированию, с использованием средств файловых систем серверов, располагающих необходимыми объемами дискового пространства для её хранения.
6. Ротация носителей резервной копии
6.1. Система резервного копирования обеспечивает возможность периодической замены (выгрузки) резервных носителей без потерь информации на них, а также обеспечивать восстановление текущей информации ИСПДн в случае отказа любого из устройств резервного копирования.
6.2. Все процедуры по загрузке, выгрузке носителей из системы резервного копирования осуществляются ответственным работником подразделения ИТ, указанным в Приложении N 2. В качестве новых носителей допускается повторно использовать те, у которых срок хранения содержащейся информации истек. Информация ограниченного доступа с носителей, которые перестают использоваться в системе резервного копирования, уничтожается.
7. Восстановление информации из резервных копий
7.1. В случае необходимости восстановление данных из резервных копий производится ответственным работником подразделения ИТ, указанным в Приложении N 2.
7.2. Восстановление данных из резервных копий происходит в случае её исчезновения или нарушения вследствие несанкционированного доступа в систему, воздействия вирусов, программных ошибок, ошибок работников и аппаратных сбоев.
7.3. Восстановление системного программного обеспечения и программного обеспечения общего назначения производится с их носителей в соответствии с инструкциями производителя.
7.4. Восстановление специализированного программного обеспечения производится с дистрибутивных носителей или их резервных копий в соответствии с инструкциями по установке или восстановлению данного программного обеспечения.
7.5. Восстановление информации, не относящейся к постоянно изменяемым базам данных, производится с резервных носителей. При этом используется последняя копия информации.
7.6. При частичном нарушении или исчезновении записей баз данных восстановление производится с последней ненарушенной ежедневной копии. Полностью информация восстанавливается с последней еженедельной копии, которая затем дополняется ежедневными частичными резервными копиями.
Приложение N 1
Перечень
резервируемой информации
N п/п |
Резервируемые ресурсы |
Оценочный объем данных, Гб |
Адрес хранения информации |
Срок хранения резервной копии |
Примечание* |
1 |
|
|
|
|
|
2 |
|
|
|
|
|
... |
|
|
|
|
|
n |
|
|
|
|
|
* Описание резервируемой информации
Приложение N 2
Список
лиц, имеющих доступ к резервируемым программным и аппаратным средствам ИСПДн
N п/п |
Выполняемая роль |
ФИО ответственного работника |
1 |
Первоначальная настройка системы резервного копирования (создание медиа-сетов, расписаний, selection lists, оповещений). Запуск в промышленную эксплуатацию системы резервного копирования |
|
2 |
Внесение существенных изменений в настройку системы резервного копирования |
|
3 |
Анализ логов резервного копирования, отслеживание необходимости изменений настроек резервного копирования, обеспечение ротации носителей |
|
4 |
Ротация носителей, проверка корректности резервной копии, обеспечения хранения резервной копии вне офиса на случай катастрофы |
|
... |
|
|
n |
|
|
Приложение N 3
Журнал
учета магнитных носителей для архивного копирования информации
N п/п |
Носитель (маркировка) |
Кому выдан (ФИО работника, должность, подразделение Росреестра) |
Получен (дата, подпись) |
Возвращен (дата, подпись) |
Уничтожен (причина, ФИО работника, должность, подразделение, дата, подпись) |
1 |
|
|
|
|
|
2 |
|
|
|
|
|
... |
|
|
|
|
|
n |
|
|
|
|
|
Приложение Л
"Инструкция по проведению антивирусного контроля
в информационных системах персональных данных
Росреестра" (Проект)
УТВЕРЖДАЮ
Руководитель
территориального органа Росреестра
________________
(личная подпись)
"___" ____________ 2013 г.
Инструкция
по проведению антивирусного контроля в
информационных системах персональных данных
территориального органа Росреестра
(Проект)
СОГЛАСОВАНО СОГЛАСОВАНО
2013
1. Общие положения
1.1. Настоящая Инструкция определяет требования к организации антивирусной защиты информационных систем персональных данных территориального органа Росреестра (далее - ИСПДн Росреестра).
1.2. Настоящая Инструкция предназначена для уполномоченных работников территориального органа Росреестра, подразделения информационных технологий (ИТ), а также должностного лица, выполняющего функции администратора безопасности информации (далее - администратор безопасности) и пользователей, осуществляющих обработку персональных данных в ИСПДн Росреестра.
1.3. Действие настоящей Инструкции распространяется на структурные подразделения территориального органа Росреестра.
1.4. В целях обеспечения защиты от деструктивных воздействий компьютерных вредоносных программ производится антивирусный контроль. Обязательному антивирусному контролю подлежит любая информация, поступающая на средства вычислительной техники, в том числе получаемая на внешних носителях из сторонних организаций.
1.5. Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на ресурсы информационных систем.
Вредоносная программа способна выполнять ряд функций, в том числе:
- скрывать признаки своего присутствия в программной среде рабочей станции (сервера);
- обладать способностью к самодублированию, ассоциированию себя с другими программами и/или переносу своих фрагментов в иные области оперативной или внешней памяти;
- разрушать (искажать произвольным образом) код программ в оперативной памяти;
- сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
- искажать произвольным образом, блокировать и/или подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.
1.6. Основными задачами системы обеспечения антивирусной защиты являются:
- исключение или существенное затруднение противоправных действий в отношении ИСПДн Росреестра как носителей защищаемой информации;
- обеспечение условий для устойчивой бесперебойной работы объектов, сетей передачи данных.
1.7. Объектом защиты от воздействия вредоносных программ являются вычислительные структуры и транспортная среда передачи данных ИСПДн Росреестра.
1.8. Обеспечение антивирусной защиты включает:
- регулярные профилактические работы;
- анализ ситуации проявления вредоносных программ и причины их появления;
- уничтожение вредоносных программ на автоматизированных рабочих местах (АРМ) (серверах);
- принятие мер по предотвращению причин появления вредоносных программ.
1.9. Для выполнения требований по антивирусной защите информационных структур ИСПДн Росреестра используется специализированное программное обеспечение (ПО), обеспечивающее надежную ежедневную автоматическую антивирусную защиту и контроль чистоты информационных массивов данных от вредоносных программ.
1.10. Организация работ по антивирусной защите и ответственность за сопровождение системы антивирусной защиты возлагается на подразделение ИТ.
1.11. Ответственность за контроль установленного порядка антивирусной защиты возлагается на администратора безопасности.
1.12. Периодический контроль состояния антивирусной защиты ИСПДн Росреестра возлагается на работников подразделения ИТ и администратора безопасности.
1.13. Работники, на которых возлагается ответственность по антивирусной защите, имеют полноправный доступ ко всем АРМ, серверам и другому оборудованию ИСПДн Росреестра.
1.14. Все процессы производятся в автоматическом режиме без участия пользователей и без помех для работы основного и специального ПО.
Процесс плановой полной проверки файловой системы рабочих станций пользователей и серверов ИСПДн Росреестра проводится во время наименьшей нагрузки оборудования пользовательскими задачами.
1.15. Работник, отвечающий за ежедневное сопровождение антивирусной защиты, обладает необходимыми практическими навыками и теоретическими знаниями по данному вопросу. В основные обязанности по антивирусной защите входит:
- проведение периодического анализа и оценки ситуации по обеспечению антивирусной безопасности для контроля степени защищенности ИСПДн Росреестра и выработки предложений по изменению и улучшению состояния дел;
- проверка соблюдения порядка обновления средств и баз данных антивирусной защиты;
- осуществление контроля за состоянием средств антивирусной защиты на серверах, рабочих станциях пользователей;
- осуществление контроля за соблюдением работниками требований по обеспечению антивирусной защиты;
- обеспечение контроля за соблюдением требований при работе с сетью Интернет, а также за характером и объемом трафика, получаемого из сети Интернет, и его соответствия служебной необходимости;
- передача еженедельного отчета по состоянию антивирусной защиты администратору безопасности.
Администратор безопасности осуществляют следующие действия:
- контроль и анализ еженедельных отчетов по состоянию антивирусной защиты;
- проведение служебных расследований по фактам обнаружения вредоносных программ, повлекших не устойчивую работу и (или) разрушение технологического оборудования, локально-вычислительной сети и информационных массивов Росреестра;
- организация мероприятий по улучшению антивирусной защиты Росреестра.
1.16. Устанавливаемое (изменяемое) ПО в ИСПДн Росреестра предварительно проверяется представителем эксплуатирующего подразделения на отсутствие вредоносных программ. Непосредственно после установки (изменения) ПО администратор безопасности либо уполномоченный работник подразделения ИТ выполняет антивирусную проверку на рабочих станциях и серверах ИСПДн Росреестра.
1.17. При возникновении подозрения на наличие вредоносных программ (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) администратор безопасности либо уполномоченный работник подразделения ИТ проводит внеочередной антивирусный контроль рабочих станций (серверов) ИСПДн Росреестра.
1.18. Для пользователей рабочих станций ИСПДн Росреестра запрещена возможность изменения настроек и параметров защиты антивирусных средств на своей рабочей станции, эти действия производит администратор безопасности или уполномоченный работник подразделения ИТ с помощью средств централизованного управления или вручную.
1.19. По факту появления и проникновения вредоносных программ, повлекших неустойчивую работу и (или) вывод из строя технологического оборудования, локально-вычислительной сети и информационных массивов Росреестра, проводится служебное расследование Группой реагирования на инциденты информационной безопасности.
1.20. Результаты расследования причин появления и последствий воздействия вредоносных программ на рабочую станцию (сервер) докладываются руководителю Отдела информационной безопасности территориального органа Росреестра с предложениями по принятию мер, предотвращающими в будущем повторение подобных фактов.
2. Требования к антивирусному программному обеспечению
2.1. Применение только лицензионного антивирусного ПО.
2.2. Возможность обнаружения как можно большего числа известных вредоносных программ, в том числе вирусов, деструктивного кода (макро-вирусы, объектов ActiveX, апплетов языка Java и т.п.), а также максимальная готовность быстрого реагирования на появление новых видов вирусных угроз.
2.3. Исчерпывающий список защищаемых точек (почтовые серверы, файловые серверы, автоматизированные рабочие места и т.д.) возможного проникновения вредоносных программ.
2.4. Обеспечение обновлений, консультаций и других форм сопровождения эксплуатации поставщиком антивирусного ПО.
2.5. Возможность автоматического распространения обновлений антивирусных баз на каждую рабочую станцию (сервер) в ИСПДн Росреестра.
2.6. Соответствие системных требований антивирусного ПО платформам, характеристикам и комплектации применяемой вычислительной техники.
2.7. Надежность и работоспособность антивирусного ПО в любом из предусмотренных режимов работы, по возможности, в русскоязычной среде.
2.8. Наличие документации, необходимой для практического применения и освоения антивирусного ПО, на русском языке.
3. Мероприятия по штатному управлению средствами антивирусного контроля
3.1. В штатном режиме работы системы антивирусной администратор безопасности либо уполномоченный работник подразделения ИТ выполняет:
- установку средств антивирусной защиты на все объекты антивирусной защиты, добавляемые в средства защиты ИСПДн Росреестра, в порядке, описанном в эксплуатационной документации;
- контроль наличия связи между сервером администрирования и защищаемыми объектами;
- необходимые обновления версий средств антивирусной защиты на объектах антивирусной защиты;
- контроль над выполнением задач постоянной защиты;
- настройку автоматических проверок объектов антивирусной защиты не реже одного раза в неделю с целью профилактики;
- контроль актуальности версий антивирусных баз и модулей сканирования ПО сервера администрирования;
- непрерывный мониторинг информационного обмена в средствах защиты ИСПДн Росреестра с целью выявления проявлений программно-математических воздействий;
- обработку сведений, поступающих от средств антивирусной защиты;
- формирование сводных отчетов о работе средств антивирусной защиты, инцидентах и проч.;
- обработку отчетов о состоянии логических сетей;
- формирование отчётов о работе средств антивирусной защиты логической сети.
3.2. Процесс управления системой антивирусной защиты включает в себя следующие действия администратора безопасности либо уполномоченного работника подразделения ИТ:
- внесение изменений в политику антивирусной защиты;
- управление средствами антивирусной защиты, входящими в состав системы антивирусной защиты;
- мониторинг событий, информация о которых поступает от средств антивирусной защиты с объектов защиты.
3.3. В обязанности администратора безопасности либо уполномоченного работника подразделения ИТ входит проведение мероприятий, обеспечивающих возможность анализа результатов работы средств системы антивирусной защиты:
- разработка отчетов о работе средств антивирусной защиты;
- разработка сводных отчетов о работе средств антивирусной защиты, инцидентах и пр. за месяц.
В отчетах о состоянии системы антивирусной защиты отражается следующая информация:
- количество обнаруженных вредоносных программ за данный период;
- наиболее активные обнаруженные вредоносные программы;
- объекты, где наблюдается наибольшая частота обнаружения вредоносных программ;
- список зараженных объектов.
4. Мероприятия по нештатному управлению средствами антивирусного контроля
4.1. В случае заражения рабочих станций (серверов) вредоносными программами администратор безопасности выполняет следующие действия:
- централизованно обновляет антивирусные базы сервера администрирования и всех объектов антивирусной защиты;
- проверяет состояние всех объектов антивирусной защиты, наличие зараженных рабочих станций в случае обнаружения пораженных узлов;
- оперативно принимает меры по предотвращению распространения заражения вредоносными программами и при необходимости отключает от сети зараженную рабочую станцию (сервер);
- проводит действия, направленные на устранение вредоносной программы на всех пораженных узлах ИСПДн Росреестра;
- по завершении мероприятий по устранению последствий заражения восстанавливает работоспособность рабочей станции и передает ее ответственному пользователю.
4.2. Все или часть вышеперечисленных мероприятий может быть делегирована уполномоченному работнику подразделения ИТ.
5. Уничтожение вредоносных программ
5.1. Уничтожение вредоносных программ выполняется администратором безопасности либо уполномоченным работником подразделения ИТ.
5.2. Если вредоносная программа поразила какие-либо программы, то уничтожение вредоносной программы выполняется путем уничтожения программы на жестком диске либо на ином магнитном носителе. После уничтожения зараженной программы восстанавливают программу, используя ее резервную копию.
5.3. Если вредоносная программа поразила файлы, то вредоносная программа уничтожается либо путем стирания этих файлов, либо путем использования специального "лечащего" режима антивирусного ПО. Использование "лечащего" режима не дает полной гарантии восстановления файла, поэтому после "лечения" необходима проверка восстановления данного файла. "Лечащие" программы используются лишь в тех случаях, когда отсутствует резервная копия зараженной программы или файла с данными либо восстановление уничтоженного файла с помощью резервной копии очень трудоемко.
5.4. В любом случае после уничтожения вредоносных программ и восстановления зараженных программ и файлов с данными еще раз выполняется проверка наличия вредоносных программ, используя антивирусную программу с установленными последними обновлениями. Перед повторной проверкой производится перезагрузка сервера или рабочей станции через выключение и последующее их включение. Если повторная проверка не выявила вредоносных программ, то можно быть уверенным в их отсутствии.
6. Ответственность пользователей
6.1. Организация мероприятий по централизованной антивирусной защите ИСПДн Росреестра возлагается на администратора безопасности.
6.2. Администратор безопасности несет ответственность за формирование политики антивирусной защиты, организацию своевременной инсталляции средств антивирусной защиты информации и централизованное обновление баз данных вирусных описаний на комплексе программно-технических средств ИСПДн Росреестра.
6.3. Выполнение технических мероприятий по централизованной антивирусной защите в ИСПДн Росреестра производится непосредственно администратором безопасности либо делегируется уполномоченному работнику подразделения ИТ.
6.4. Непосредственную ответственность за соблюдение в повседневной деятельности установленных норм обеспечения антивирусной защиты информации и требований настоящей Инструкции в части защиты ИСПДн Росреестра несут пользователи, за которыми закреплены соответствующие рабочие станции ИСПДн Росреестра.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Утверждено Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в системах Росреестра.
Положение регламентирует вопросы обеспечения безопасности в Росреестре и его территориальных органах и определяет порядок организации работ по созданию и эксплуатации системы защиты данных.
Под организацией работ по обеспечению безопасности понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла системы, согласованных по цели, задачам, месту, времени. Они должны быть направлены на предотвращение (нейтрализацию) и парирование угроз безопасности, восстановление нормального функционирования системы после нейтрализации угрозы с целью минимизации ущерба от возможной реализации таких угроз.
Обеспечение безопасности достигается применением организационных и технических мер с обязательной защитой технических и программных средств и носителей информации.
Действие положения не распространяется на вопросы, связанные с обработкой данных без использования средств автоматизации.
Правила обработки данных без использования средств автоматизации определяются в отдельном документе с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Правительством РФ.
Приказ Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. N П/31 "Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Федеральной службе государственной регистрации, кадастра и картографии"
Текст приказа официально опубликован не был
В настоящий документ внесены изменения следующими документами:
Приказ Росреестра от 23 января 2014 г. N П/17