Приложение N 1. Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах Управления. Приказ Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 23.03.2020 N 60 "Об организации работы по обработке и защите персональных данных" (с изменениями и дополнениями)

Приложение N 1
к приказу Управления
по ГО, ЧС и ПБ
Республики Хакасия
от 23 марта 2020 г. N 60

Положение
по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах Управления

Общие положения

Настоящее Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах Управления (далее - Положение) разработано в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 .07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Цель разработки настоящего Положения - установление порядка организации и проведения работ по обеспечению безопасности персональных данных (далее - ПДн) в информационных системах (далее - ИС) Управления на протяжении всего жизненного цикла ИС.

Термины и определения

В настоящем Положении используются следующие термины и их определения:

Информационная система - система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы, которые обеспечивают и распространяют информацию.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания, если иное не предусмотрено федеральным законом.

Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Порядок организации и проведения работ по обеспечению безопасности персональных данных

Под организацией обеспечения безопасности ПДн при их обработке в ИС понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн, реализуемых в рамках создаваемой системы защиты персональных данных (далее - СЗПДн).

СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн, уровня защищенности ПДн, который необходимо обеспечить, и информационных технологий, используемых в информационных системах.

Безопасность ПДн при их обработке в ИС обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность ПДн при их обработке в информационной системе.

Выбор средств защиты информации для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации (далее - ФСБ России) и Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК России) во исполнение Федерального закона "О персональных данных".

Структура, состав и основные функции СЗПДн определяются исходя из уровня защищенности ПДн при их обработке в ИС.

СЗПДн создается в три этапа:

Этап 1. Предпроектное обследование ИС и разработка технического задания на создание СЗПДн.

Этап 2. Проектирование СЗПДн, закупка, установка, настройка необходимых средств защиты информации.

Этап 3. Ввод ИС с СЗПДн в эксплуатацию.

Этап 1. Проведение предпроектного обследования и разработка технического задания на создание СЗПДн.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

3.7.1. Назначение ответственного за организацию обработки ПДн Управления.

3.7.2. Создание комиссии по определению уровня защищенности ПДн при их обработке в ИС Управления.

3.7.3. Определение целей обработки ПДн Управления.

3.7.4. Определение перечня ИС Управления и состава ПДн, обрабатываемых в ИС.

3.7.5. Определение перечня обрабатываемых Управлением ПДн.

3.7.6. Определение сроков обработки и хранения ПДн, исходя из требования, что ПДн не должны храниться дольше, чем этого требуют цели обработки этих ПДн, по достижению которых ПДн подлежат уничтожению.

3.7.7. Определение перечня используемых в ИС (предлагаемых к использованию в ИС) общесистемных и прикладных программных средств.

3.7.8. Определение режимов обработки ПДн в ИС в целом и в отдельных компонентах.

3.7.9. Назначение ответственного за обеспечение безопасности ПДн в ИС (далее - ответственный) для разработки и осуществления технических мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИС. Для каждой ИС может быть назначен отдельный ответственный.

3.7.10. Назначение ответственного пользователя криптосредств, обеспечивающего функционирование и безопасность криптосредств, предназначенных для обеспечения безопасности ПДн. Утверждение перечня лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности ПДн в ИС (пользователей криптосредств).

3.7.11. Определение перечня помещений, в которых размещены ИС и материальные носители ПДн.

3.7.12. Определение конфигурации и топологии ИС в целом и их отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения. Определение технических средств и систем, используемых в ИС, включая условия их расположения.

3.7.13. Формирование технических паспортов ИС.

3.7.14. Разработка организационно-распорядительных документов (далее - ОРД), регламентирующих процесс обработки и защиты ПДн:

- Политика в отношении обработки персональных данных;

- Инструкции (ответственного за организацию обработки ПДн, ответственного за обеспечение безопасности ПДн в ИС, пользователя ИС, ответственного пользователя криптосредств);

- Раздел должностных инструкций гражданских служащих и работников Управления в части обеспечения безопасности ПДн при их обработке, включая установление персональной ответственности за нарушения правил обработки ПДн.

3.7.15. Получение (при необходимости) согласия на обработку ПДн субъектом ПДн, подписание обязательства о соблюдении конфиденциальности ПДн гражданским служащим и работником Управления.

3.7.16. Утверждение форм уведомлений субъектов ПДн и форм журналов, необходимых в целях обеспечения безопасности ПДн.

3.7.17. Определение уровня защищенности ПДн при их обработке в ИС в соответствии с "Требованиями к защите ПДн при их обработке в информационных системах персональных данных", утвержденными постановлением Правительства Российской Федерации от 01.11.2012 N 1119 (подготовка и утверждение акта определения уровня защищенности ПДн при их обработке в ИС).

3.7.18. Определение типа угроз безопасности ПДн, актуальных для информационной системы, с учетом оценки возможного вреда в соответствии с нормативными правовыми актами, принятыми во исполнение Федерального закона "О персональных данных". Определение угроз безопасности ПДн в конкретных условиях функционирования ИС (разработка моделей угроз безопасности ПДн при их обработке в ИС).

3.7.19. Формирование технического задания на разработку СЗПДн по результатам предпроектного обследования на основе нормативно-методических документов ФСТЭК России и ФСБ России с учетом установленного уровня защищенности ПДн при их обработке в ИС.

Техническое задание на разработку СЗПДн должно содержать:

- обоснование разработки СЗПДн;

- исходные данные создаваемой (модернизируемой) ИС в техническом, программном, информационном и организационном аспектах;

- уровень защищенности ПДн при их обработке в ИС;

- ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн, и приниматься в эксплуатацию ИС;

- конкретизацию мероприятий и требований к СЗПДн;

- состав и содержание работ по этапам разработки и внедрения СЗПДн

- перечень предполагаемых к использованию сертифицированных средств защиты информации.

Этап 2. Проектирование СЗПДн, закупка, установка, настройка и опытная эксплуатация необходимых средств защиты информации.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

3.8.1. Создание СЗПДн является необходимым условием обеспечения безопасности ПДн, в том случае, если существующие организационные и технические меры обеспечения безопасности не соответствуют требованиям к обеспечению безопасности ПДн для соответствующего уровня защищенности ПДн при их обработке в ИС и/или не нейтрализуют всех угроз безопасности ПДн для данной ИС.

3.8.2. Технические меры защиты ПДн предполагают использование программно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов Управления. Применение технических мер должно быть регламентировано нормативным актом Управления.

3.8.3. Средства защиты информации, применяемые в ИС, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

3.8.4. На стадии проектирования и создания СЗПДн для ИС Управления проводятся следующие мероприятия:

- разработка технического проекта СЗПДн;

- приобретение (при необходимости), установка и настройка серийно выпускаемых технических средств обработки, передачи и хранения информации;

- разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

- приобретение, установка и настройка сертифицированных технических, программных и программно-технических средств защиты информации, в том числе (при необходимости) средств криптографической защиты информации;

- реализация разрешительной системы доступа пользователей ИС к обрабатываемой в ИС информации;

- подготовка эксплуатационной документации на используемые средства защиты информации;

- корректировка (дополнение) организационно-распорядительной документации в части защиты информации.

Этап 3. Ввод ИС с СЗПДн в промышленную эксплуатацию.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

3.9.1. На стадии ввода в ИС (СЗПДн) осуществляются:

- опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИС (при необходимости);

- приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации (при необходимости);

- контроль выполнения требований (возможно проведение данного контроля в виде аттестации по требованиям безопасности ПДн).

3.9.2. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Проведение работ по обеспечению безопасности персональных данных

Работы по обеспечению безопасности ПДн проводятся в соответствии с Планом мероприятий по защите персональных данных (Приложение N 1). Внутренние проверки режима защиты ПДн Управления проводятся в соответствии с Планом внутренних проверок режима защиты персональных данных (Приложение N 2).

Контроль за проведением работ по обеспечению безопасности ПДн осуществляет ответственный за организацию обработки ПДн в виде методического руководства, участия в разработке требований по защите ПДн, организации работ по выявлению возможных каналов утечки информации, согласования выбора средств вычислительной техники и связи, технических и программных средств защиты, участия в оценке соответствия ИС Управления требованиям безопасности ПДн.

При необходимости к проведению работ по обеспечению безопасности ПДн могут привлекаться специализированные организации, имеющие лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

Решение вопросов обеспечения безопасности персональных данных в динамике изменения обстановки и контроля эффективности защиты

Модернизация СЗПДн для функционирующих ИС Управления должна осуществляться в случае:

- изменения состава или структуры ИС или технических особенностей ее построения (изменения состава или структуры программного обеспечения, технических средств обработки ПДн, топологии ИС);

- изменения состава угроз безопасности ПДн в ИС;

- изменения уровня защищенности ПДн при их обработке в ИС;

- прочих случаях, по решению оператора.

В целях определения необходимости доработки (модернизации) СЗПДн не реже одного раза в год ответственным за организацию обработки ПДн должна проводиться проверка состава и структуры ИС, состава угроз безопасности ПДн в ИС и уровня защищенности ПДн при их обработке в ИС, соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией. Результаты проверки оформляются актом проверки и утверждаются начальником Управления.

Анализ инцидентов безопасности ПДн и составление заключений в обязательном порядке должно проводиться в случае выявления следующих фактов:

- несоблюдение условий хранения носителей ПДн;

- использование средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн;

- нарушение заданного уровня безопасности ПДн (конфиденциальность/ целостность/доступность).