Приказ Министерства социальной политики и труда Удмуртской Республики от 09.02.2018 N 80 "Об утверждении Порядка резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных Министерства социальной политики и труда Удмуртской Республики" (с изменениями и дополнениями)

Приказ Министерства социальной политики и труда Удмуртской Республики от 9 февраля 2018 г. N 80
"Об утверждении Порядка резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных Министерства социальной политики и труда Удмуртской Республики"

С изменениями и дополнениями от:

14 августа 2020 г.

В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:

1. Утвердить прилагаемый Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных Министерства социальной политики и труда Удмуртской Республики.

Информация об изменениях:

Пункт 2 изменен с 14 августа 2020 г. - Приказ Министерства социальной политики и труда Удмуртской Республики от 14 августа 2020 г. N 229

Изменения распространяются на правоотношения, возникшие с 17 марта 2020 г.

См. предыдущую редакцию

2. Контроль за исполнением настоящего приказа возложить на первого заместителя министра Лубнину О.В.

Министр

Т.Ю. Чуракова

Порядок
резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных Министерства социальной политики и труда Удмуртской Республики
(утв. приказом Министерства социальной политики и труда Удмуртской Республики от 9 февраля 2018 г. N 80)

I. Общие положения

1. Настоящий Порядок определяет действия пользователей информационных систем персональных данных Министерства социальной политики и труда Удмуртской Республики (далее - Министерство), связанные с функционированием информационных систем персональных данных Министерства, меры и средства поддержания непрерывности работы и восстановления работоспособности информационных систем персональных данных Министерства.

2. Целью настоящего Порядка является превентивная защита элементов информационных систем персональных данных Министерства от предотвращения потери защищаемой информации.

3. Задачами настоящего Порядка являются:

определение мер защиты от потери информации в информационных системах персональных данных Министерства;

определение действий по восстановлению информации в информационных системах персональных данных Министерства в случае ее потери.

4. Действие настоящего Порядка распространяется на всех пользователей информационных систем персональных данных Министерства, имеющих доступ к защищаемым ресурсам, а также к основным системам обеспечения непрерывности работы и восстановления защищаемых ресурсов при возникновении аварийных ситуаций, в том числе к:

системе жизнеобеспечения;

системе обеспечения отказоустойчивости;

системе резервного копирования и хранения данных;

системе контроля физического доступа.

5. Приказом Министерства назначается должностное лицо, ответственное за реагирование на возникновение ситуаций, приводящих к потере защищаемой информации (далее - ответственный за реагирование).

II. Порядок реагирования на инцидент

6. В настоящем Порядке под инцидентом понимается происшествие, связанное со сбоем в функционировании элементов информационных систем персональных данных Министерства, предоставляемых пользователям информационных систем персональных данных, а также потерей защищаемой информации.

7. Происшествие, вызывающее инцидент, может произойти в результате следующих случаев:

1) непреднамеренные действия пользователей информационных систем персональных данных Министерства;

2) преднамеренные действия пользователей информационных систем персональных данных Министерства и третьих лиц;

3) нарушение правил эксплуатации технических средств информационных систем персональных данных Министерства;

4) возникновение внештатных ситуаций и обстоятельств непреодолимой силы.

8. Все действия в процессе реагирования на инцидент должны документироваться ответственным за реагирование.

9. В кратчайшие сроки, не превышающие одного рабочего дня, ответственный за реагирование принимает меры по восстановлению работоспособности информационных систем персональных данных Министерства.

III. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении инцидентов

10. К техническим мерам обеспечения непрерывной работы и восстановления ресурсов относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения инцидентов, такие как:

1) системы жизнеобеспечения;

2) системы обеспечения отказоустойчивости;

3) системы резервного копирования и хранения данных;

4) системы контроля физического доступа.

11. Системы жизнеобеспечения информационных систем персональных данных Министерства включают в себя:

1) пожарную сигнализацию и систему пожаротушения;

2) системы вентиляции и кондиционирования;

3) системы резервного питания.

12. Все помещения, в которых размещаются элементы информационных систем персональных данных Министерства и средства защиты, должны быть оборудованы средствами пожарной сигнализации и пожаротушения.

13. Для выполнения требований по эксплуатации (температура, относительная влажность воздуха) программно-аппаратных средств информационных систем персональных данных Министерства в помещениях, где они установлены, должны применяться системы вентиляции и кондиционирования воздуха.

14. Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы информационных систем персональных данных Министерства, сетевое и коммуникационное оборудование должны подключаться к сети электропитания через источники бесперебойного питания.

15. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания:

1) локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных компьютеров;

2) источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения;

3) дублированные системы электропитания в устройствах (серверы, концентраторы, мосты и т.д.);

4) резервные линии электропитания в пределах комплекса здания;

5) аварийные электрогенераторы.

16. Системы обеспечения отказоустойчивости включают в себя:

кластеризацию;

технологию RAID.

17. Для обеспечения отказоустойчивости критичных компонентов информационных систем персональных данных Министерства при сбое в работе оборудования и их автоматической замены без простоев должны использоваться методы кластеризации, такие как территориально удаленные системы кластеров.

18. Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, которые (кроме RAID-0) применяют дублирование данных, хранимых на дисках.

19. Система резервного копирования и хранения данных должна обеспечивать хранение защищаемой информации на твердый носитель.

20. К организационным мерам обеспечения непрерывной работы и восстановления ресурсов относятся:

1) резервное копирование критически важных компонентов и данных информационных систем персональных данных Министерства;

2) резервное копирование баз данных в информационных системах персональных данных Министерства;

3) организация хранения персональных данных.

21. Резервное копирование персональных данных должно осуществляться на периодической основе:

1) обрабатываемые персональные данные - не реже одного раза в неделю;

2) технологическая информация - не реже одного раза в месяц;

3) эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы информационных систем персональных данных Министерства - не реже одного раза в месяц, и каждый раз при внесении изменений в эталонные копии (выход новых версий).

22. Данные о проведении процедуры резервного копирования должны отражаться в специально созданном журнале учета.

23. На носителях информации, на которые произведено резервное копирование, должны быть указаны номер носителя и дата проведения резервного копирования.

24. Носители информации, на которые произведено резервное копирование, должны храниться в несгораемом шкафу или помещении, оборудованном системой пожаротушения не менее одного года для возможности восстановления данных.