Приложение N 6. Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Департамента по культуре Томской области. Приказ Департамента по культуре Томской области от 20.05.2020 N 15/01-09 "Об утверждении документов, направленных на выполнение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"

Приложение N 6
к приказу
Департамента по культуре
Томской области
от 20.05.2020 N 015/01-09

Положение
по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Департамента по культуре Томской области

1. Общие положения

1. Настоящее Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Положение) разработано в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 1 ноября 2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Положение определяет порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке, порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, разработку и принятие мер по предотвращению возможных опасных последствий таких нарушений, порядок приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления, порядок обучения персонала практике работы в ИСПДн, порядок проверки электронного журнала обращений к ИСПДн, порядок контроля соблюдения условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией, правила организации антивирусной защиты и парольной защиты ИСПДн, порядок охраны и допуска посторонних лиц в защищаемые помещения.

2. Порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн

2. Допуск пользователей для работы на компьютере осуществляется на основании разрешения руководителя структурного подразделения Департамента по культуре Томской области (далее - Департамент) в соответствии со списком лиц, допущенных к работе в ИСПДн.

3. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн. При этом для записи и хранения информации, содержащей ПДн, разрешается использовать только учтенные носители информации.

4. Пользователь несет ответственность за правильность включения и выключения компьютера, входа в систему и все действия при работе в ИСПДн.

5. Вход пользователя в систему может осуществляться по выдаваемому ему электронному идентификатору и по персональному паролю в соответствии с Инструкцией по организации парольной защиты в информационной системе персональных данных.

6. При работе со съемными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютере. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения и Инструкцией по организации антивирусной защиты в информационной системе персональных данных.

7. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:

строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;

знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютере;

хранить в тайне свой пароль (пароли) и с установленной периодичностью менять свой пароль (пароли);

хранить установленным порядком свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);

выполнять требования антивирусной защиты в полном объеме, размещать средства ИСПДн так, чтобы исключить возможность визуального считывания информации.

8. Немедленно известить администратора информационной безопасности ИСПДн в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при их обнаружении:

несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн;

отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию компьютера, выхода из строя или неустойчивого функционирования узлов компьютера или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения;

некорректного функционирования установленных на компьютере технических средств защиты;

непредусмотренных отводов кабелей и подключенных устройств.

9. Пользователю компьютера категорически запрещается:

использовать компоненты программного и аппаратного обеспечения компьютера в неслужебных целях;

самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства;

осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;

записывать и хранить персональные данные на неучтенных машинных носителях информации (гибких магнитных дисках и т.п.);

оставлять включенным и/или без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);

оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, машинные носители и распечатки, содержащие персональные данные;

умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации.

3. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения баз данных и средств защиты информации

10. Резервирование и восстановление работоспособности технических средств и программного обеспечения баз данных и средств защиты информации в Департаменте определяется "Инструкцией по резервному копированию в информационной системе персональных данных Департамента по культуре Томской области".

4. Порядок контроля ИСПДн, приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления

Порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации и принятие мер по предотвращению возможных опасных последствий

11. Контроль защиты информации в ИСПДн - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения техническими средствами охраняемых сведений, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности систем информатизации.

Основными задачами контроля являются:

проверка организации выполнения мероприятий по защите информации в подразделениях учреждения/организации, учета требований по защите информации в разрабатываемых плановых и распорядительных документах; выявление демаскирующих признаков объектов ИСПДн;

уточнение зон перехвата обрабатываемой на объектах информации, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;

проверка выполнения требований по защите ИСПДн от несанкционированного доступа;

проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;

проверка знаний работников по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места;

оперативное принятие мер по пресечению нарушений требований (норм) защиты информации в ИСПДн Департамента;

разработка предложений по устранению (ослаблению) демаскирующих признаков и технических каналов утечки информации.

12. Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей на объектах Департамента и осуществляется по объектовому принципу, при котором на объекте одновременно проверяются все вопросы защиты информации.

В ходе контроля проверяются:

соответствие принятых мер по обеспечению безопасности персональных данных (далее - ОБ ПДн);

своевременность и полнота выполнения требований настоящего Положения и других руководящих документов ОБ ПДн;

полнота выявления демаскирующих признаков охраняемых сведений об объектах защиты и возможных технических каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

эффективность применения организационных и технических мероприятий по защите информации;

устранение ранее выявленных недостатков.

13. Основными видами технического контроля на объектах, являются визуально-оптический контроль, контроль эффективности защиты информации от утечки по техническим каналам, контроль несанкционированного доступа к информации и программно-технических воздействий на информацию.

14. Полученные в ходе ведения контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. При обнаружении нарушений норм и требований по защите информации администратор информационной безопасности ИСПДн докладывает начальнику Департамента для принятия решения о прекращении обработки информации и проведения соответствующих организационных и технических мер по устранению нарушения. Результаты контроля защиты информации оформляются в виде записей в соответствующих журналах.

15. Невыполнение предписанных мероприятий по защите ПДн, считается предпосылкой к утечке информации (далее - предпосылка).

По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований по указанию начальника Департамента проводится расследование.

Расследование осуществляется комиссией по проведению мероприятий по защите персональных данных (далее - Комиссия). Комиссия обязана установить, имела ли место утечка сведений и обстоятельства ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению. После окончания расследования начальник Департамента принимает решение о наказании виновных лиц и необходимых мероприятиях по устранению недостатков.

16. Ведение контроля защиты информации осуществляется путем проведения периодических, плановых и внезапных проверок объектов защиты. Периодические, плановые и внезапные проверки объектов организации проводятся, силами штатных сотрудников осуществляющих обслуживание баз данных, технических и программных средств с участием администратора информационной безопасности ИСПДн в соответствии с утвержденным Департаментом планом или по предварительному с ним согласованию.

17. Одной из форм контроля защиты информации является обследование объектов ИСПДн. Оно проводится не реже одного раза в год.

18. Обследование объектов информатизации и связи проводится с целью определения соответствия защищаемых помещений, основных и вспомогательных технических средств и систем требованиям по защите информации.

В ходе обследования проверяется:

соответствие категории обследуемого объекта ИСПДн условиям, сложившимся на момент проверки;

соблюдение организационно-режимных требований защищаемых помещений; отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;

выполнение требований предписаний на эксплуатацию на основные технические средства и системы по их размещению относительно вспомогательных технических средств и систем, организации электропитания и заземления;

соответствие выполняемых на объекте ИСПДн мероприятий по защите информации данным, изложенным в техническом паспорте;

выполнение требований по защите автоматизированных систем от несанкционированного доступа;

выполнение требований по антивирусной защите.

19. Периодический контроль состояния защиты информации осуществляется Федеральной службы по техническому и экспортному контролю России в соответствии с действующим законодательством Российской Федерации. Доступ представителя указанного федерального органа исполнительной власти на объекты для проведения проверки, а также к работам и документам в объеме, необходимом для осуществления контроля, обеспечивается в установленном порядке при предъявлении служебного удостоверения сотрудника, справки о допуске, а также предписания установленной формы на право проведения проверки.

5. Порядок обучения персонала практике работы в ИСПДн

20. Обучение практике и методике работы в ИСПДн должно быть непрерывным, систематическим, разделенным по категориям, при этом наибольшее внимание следует уделять практике работы пользователя с ИСПДн.

Обучение по методике делятся на:

совещания;

обучающие занятия, семинары;

инструктажи;

методическая помощь и практические занятия на месте.

21. Совещания, обучающие занятия и семинары проводятся согласно плану мероприятий по защите персональных данных, обрабатываемых в ИСПДн Департамента по культуре Томской области.

22. Инструктажи, методическая помощь и практические занятия по вопросам обеспечения безопасности ИСПДн должны проводиться в ходе плановых, периодических и внезапных проверок состояния обеспечения безопасности ИСПДн на местах.

23. Первичные инструктажи проводятся администратором информационной безопасности ИСПДн с пользователями ИСПДн при поступлении сотрудника на работу в Департаменте, где происходит обработка персональных данных.

24. Ответственным за организацию обучения и оказание методической помощи Департаменту является администратор информационной безопасности ИСПДн.

25. Для проведения занятий, семинаров и совещаний могут привлекаться специалисты сторонних организаций, а также органов по аттестации объектов ИСПДн.

26. К работе в ИСПДн допускаются только сотрудники, прошедшие инструктаж обеспечения безопасности в ИСПДн.

6. Порядок проверки электронного журнала обращений к ИСПДн

27. Настоящий раздел Положения определяет порядок проверки электронного журнала обращений к ИСПДн.

Проверка электронного журнала обращений проводится с целью выявления несанкционированного доступа к персональным данным. Право проверки электронного журнала обращений имеют:

начальник Департамента;

администратор информационной безопасности ИСПДн.

28. В ИСПДн, где установлены средства защиты информации (далее - СЗИ), проверка электронного журнала производится в соответствии с прилагаемым к указанным СЗИ руководством.

7. Правила антивирусной защиты

29. Правила антивирусной защиты в информационных системах Департамента содержатся в "Инструкции по организации антивирусной защиты в информационных системах персональных данных Департамента по культуре Томской области".

8. Правила парольной защиты

30. Правила, регламентирующие организационно-технические мероприятия по обеспечению процессов генерации, смены и прекращения действия паролей в ИСПДн, а также контроль действий пользователей при работе с паролями, определяются в "Инструкции по организации парольной защиты в информационных системах персональных данных Департамента по культуре Томской области".

9. Порядок контроля соблюдения условий использования средств защиты информации

31. Данный раздел Положения определяет порядок контроля соблюдения условий использования средств защиты информации (далее - СЗИ).

Технические средства защиты информации являются важным компонентом обеспечения безопасности ПДн.

Порядок работы с техническими СЗИ определен в соответствующих Инструкциях к СЗИ, в Руководстве по настройке и использованию СЗИ, обязательных для исполнения, как сотрудниками обрабатывающими персональные данные, так и администратором информационной безопасности ИСПДн Департамента.

Право проверки соблюдения условий использования средств защиты информации имеют:

начальник Департамента;

администратор информационной безопасности ИСПДн Департамента.

Пользователю ИСПДн категорически запрещается:

обработка персональных данных с отключенными СЗИ;

изменение настроек СЗИ.

10. Порядок охраны и допуска посторонних лиц в защищаемые помещения

32. Охрана (сдача под охрану) защищаемых помещений ИСПДн осуществляется в соответствии с порядком доступа государственных гражданских служащих Департамента по культуре Томской области в помещения, в которых ведется обработка персональных данных.

33. Вскрытие и закрытие помещений осуществляется сотрудниками, работающими в данных помещениях. Список сотрудников, имеющих право вскрывать (сдавать под охрану) и опечатывать помещения определяется руководителем структурного подразделения (отдела) по согласованию с администратором информационной безопасности ИСПДн Департамента.

34. При закрытии помещений и сдачей их под охрану сотрудники, ответственные за помещения, проверяют закрытие окон, выключают освещение, бытовые приборы, оргтехнику и проверяют противопожарное состояние помещения, а документы и носители информации на которых содержатся персональные данные, складываются в опечатываемый сейф (металлический шкаф).

35. При обнаружении нарушений целостности оттисков печатей, повреждения запоров или наличия других признаков, указывающих на возможное проникновение в помещение посторонних лиц, помещение не вскрывается, а составляется акт. О происшествии немедленно сообщается начальнику Департамента и администратору информационной безопасности ИСПДн.

Одновременно принимаются меры по охране места происшествия и до прибытия руководителя структурного подразделения и администратора информационной безопасности ИСПДн в помещение никто не допускается.

36. Руководитель структурного подразделения и администратор информационной безопасности ИСПДн организуют проверку АРМ, ИСПДн на предмет несанкционированного доступа к персональных данных и наличие документов и машинных носителей информации, о чем докладывается непосредственно начальнику Департамента.

37. В соответствии с требованиями данного Положения при обработке персональных данных в ИСПДн необходимо исключить возможность неконтролируемого пребывания посторонних лиц в пределах границ контролируемой зоны ИСПДн.

11. Заключительные положения

38. Требования настоящего Положения обязательны для всех сотрудников обрабатывающих персональные данные в ИСПДн Департамента.

39. Нарушение требований настоящего Положения влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.