Работа с персональными данными

Политика УФСИН России по Воронежской области в отношении обработки персональных данных

1. Общие положения, термины и определения

1.1. Настоящая политика УФСИН России по Воронежской области в отношении обработки персональных данных (далее – политика) разработана в соответствии
со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и является основополагающим внутренним организационно-распорядительным документом УФСИН России по Воронежской области (далее – управление), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее – ПДн), оператором которых является управление.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод субъекта ПДн при обработке его ПДн в управлении.

1.3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных управлением как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

1.4. Политика основывается на соблюдении баланса интересов личности, общества и государства в информационной сфере и представляет собой совокупность управленческих решений, лежащих в основе организационно-распорядительных документов, регламентирующих правила и нормы обеспечения защиты персональных данных в процессе их сбора, обработки, накопления и распространения.

1.5. За разработку, принятие и внедрение политики информационной безопасности отвечает первый заместитель начальника управления.

В управлении назначаются лица, ответственные за реализацию политики безопасности персональных данных и поддержание ее в актуальном состоянии.

1.6. Термины и определения:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

- сбор;

- запись;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передачу (распространение, предоставление, доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Доступ к информации – возможность получения информации и ее использования.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов 
или требованиями, устанавливаемыми собственником информации.

Защита информации ‑ деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Конфиденциальность персональных данных – обязательное для соблюдения управлением или иным получившим доступ к персональным данным юридическим или физическим лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц,
а также транспортных, технических и иных материальных средств.

Несанкционированный доступ (несанкционированные действия) (НСД) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Объект информатизации – совокупность информационных ресурсов содержащих ПДн, средств и систем обрабатывающих ПДн, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Ресурс информационной системы – именованный элемент системного прикладного или аппаратного обеспечения функционирования информационной системы.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа и отношениями, регулируемыми нормативными правовыми актами.

Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

2. Правовые основания обработки персональных данных

2.1. Обработка ПДн в управлении осуществляется в связи с выполнением законодательно возложенных на управление функций, определяемых:

Уголовно-исполнительным кодексом Российской Федерации от 08.01.1997 № 1-ФЗ;

Федеральным законом от 19.07.2018 № 197-ФЗ «О службе в уголовно-исполнительной системе Российской Федерации и о внесении изменений в Закон Российской Федерации «Об учреждениях и органах, исполняющих уголовные наказания в виде лишения свободы»;

- Федеральным законом от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности»;

- Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ;

- Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

- Федеральным законом от 15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации»;

- иными нормативными правовыми актами Российской Федерации.

2.2. ПДн получаются и обрабатываются управлением на основании федеральных законов и иных нормативных правовых актов Российской Федерации, в необходимых случаях – при наличии письменного согласия субъекта ПДн.

2.3. Управление может предоставлять обрабатываемые ПДн государственным органам и организациям, имеющим, в соответствии с федеральными законами, право на получение соответствующих ПДн.

2.4. В управлении не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральными законами, по окончании обработки ПДн, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся ПНд уничтожатся или обезличиваются.

2.5. При обработке ПДн обеспечиваются их точность, достаточность, при необходимости – актуальность по отношению к целям обработки. Управление принимает необходимые меры по уточнению неполных или неточных ПДн.

2.6. Состав обрабатываемых в управлении ПДн, формируется в соответствии с федеральным законодательством, касающемся обработки ПДн, нормативными и правовыми актами Минюста России, ФСИН России и утверждается приказом управления.

2.7. При разработке политики использованы «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», размещенные на официальном сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Политика разработана с учетом положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информационных технологиях и защите информации», Постановления Правительства Российской Федерации № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной Заместителем директора ФСТЭК России 15.02.2008, приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности».

3. Обеспечение безопасности персональных данных

Основными документами, определяющими стратегию и тактику обеспечения безопасности персональных данных, являются соответственно политика в отношении обработки персональных данных, частная модель угроз безопасности персональных данных, положение и инструкции по защите персональных данных.

Они определяют характер и порядок обеспечения безопасности персональных данных.

Политика предусматривает:

- определение правового статуса и ответственности всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем при соблюдении законодательной базы в области обеспечения безопасности персональных данных;

- разработку механизма оперативного реагирования по фактам противоправных действий в отношении персональных данных, а также порядок ликвидации последствий этих действий и возмещения материального ущерба;

- разработку в рамках действующего законодательства мер дисциплинарного и административного воздействия на пользователей, работающих с информационными ресурсами, при совершении ими противозаконных действий в отношении персональных данных;

- оценку эффективности применения действующего нормативно-методического обеспечения и разработку предложений по ее совершенствованию.

Необходимость разработки политики обусловлена важностью обеспечения режима безопасности не только на техническом, но и на управленческом уровне.

3.1. Цели и принципы обеспечения безопасности персональных данных

Основными целями политики являются:

- разработка и реализация стратегии обеспечения защиты информационных ресурсов и технологий;

- оценка состояния безопасности ПДн, выявление внутренних и внешних угроз информационной безопасности, определение направлений предотвращения и нейтрализации этих угроз;

- координация и контроль деятельности элементов системы обеспечения безопасности персональных данных, выработка предложений по ее совершенствованию;

- создание условий для реализации прав граждан и организаций на разрешенную законом деятельность в информационной сфере;

- проведение единой технической политики в области обеспечения безопасности персональных данных.

Политика строится на принципах:

- соблюдения Конституции и законодательства Российской Федерации, норм международного права, нормативных правовых актов в области защиты информации;

- открытости в реализации функций управления хозяйственной деятельностью, предусматривающей информирование работников об основных аспектах и направлениях жизнедеятельности организации с учетом ограничений, предусмотренных законодательством Российской Федерации в информационной сфере;

- правового равенства всех участников процесса информационного взаимодействия, если данное (поиск, получение, передача, производство и распространение информации) осуществляется любым законным способом;

- рассмотрения информационных ресурсов в качестве объектов собственности, введение которых в хозяйственный оборот осуществляется при соблюдении законных интересов их собственников, владельцев и распорядителей;

- учета того, что ограничение доступа к информации является исключением и вводится только на основании законов Российской Федерации, Указов Президента Российской Федерации, Постановлений Правительства, организационно-распорядительных документов организации и направлено на обеспечение защиты персональных данных или экономической безопасности;

- приоритетности использования при совершенствовании корпоративной информационной инфраструктуры современных конкурентоспособных отечественных информационных и телекоммуникационных технологий, технических и программных средств.

В основе политики лежат нормы:

- персональной ответственности за документирование персональных данных, определение грифа конфиденциальности, а также за его снятие;

- ограничения доступа к информации на основе норм, устанавливаемых федеральными законами и документами по защите информации;

- осуществления сбора, накопления и обработки конфиденциальной информации, в том числе данных о работниках (персональных данных) в соответствии с законодательством и внутренними документами по защите информации;

- централизованной разработки внутренних документов, регламентирующих вопросы безопасности персональных данных, обязательность их выполнения;

- единства технической политики в области реализации программно-технических мер по защите информационных технологий и ресурсов;

- обеспечения постоянного контроля состояния защиты персональных данных.

3.2. Защита информации на материальных носителях

Информация, содержащая ПДн, находящаяся на материальных носителях (бумажных, магнитных, оптических и т.п.), подлежит защите.

Документированная информация ПДн имеет отличительные реквизиты.

На документы или другие материальные носители информации персональных данных проставляется метка конфиденциальности.

Порядок регистрации, учета, оформления, тиражирования, хранения, использования и уничтожения конфиденциальных документов и других материальных носителей с ПДн, регламентируется внутренними нормативными документами.

Документы на материальных носителях, содержащие информацию с персональными данными, хранятся в сейфах, запираемых шкафах (ящиках). Специальные помещения, предназначенные для хранения ПДн, в нерабочее время опечатываются.

Оборудование помещений должно исключать возможность несанкционированного проникновения и бесконтрольного пребывания в них посторонних лиц. Входные двери помещений оборудуются замками и устройствами для опечатывания.

Помещения, оборудованные охранной сигнализацией, могут не опечатываться.

Передача документированной информации с персональными данными по каналам факсимильной связи и сетям общего пользования без принятия мер по охране конфиденциальности информации запрещается.

Сотрудникам, допущенным к информации с персональными данными, создаются следующие условия, обеспечивающие соблюдение ими установленного режима конфиденциальности:

- предоставление рабочего места в помещении, отвечающем требованиям обеспечения сохранности конфиденциальных документов;

- обеспечение сейфами (шкафами, ящиками) для хранения материальных носителей информации с персональными данными;

- установление на автоматизированные рабочие места средств защиты информации;

- обучение правилам обращения с персональными данными.

3.3. Защита персональных данных от утечки по техническим каналам

Одной из основных целей защиты персональных данных является предотвращение (существенное затруднение) несанкционированного съёма информации по всем возможным техническим каналам, которые могут иметь естественный характер или создаваться преднамеренно.

Защита ПДн от утечки по техническим каналам представляет собой процесс, организуемый и поддерживаемый в организации с целью предупреждения и выявления каналов ее утечки.

Возможными каналами утечки информации являются:

-      использование информативного акустического речевого излучения;

-      использование виброакустических сигналов, возникающих при воздействии информативного речевого сигнала на строительные конструкции и инженерно – технические системы защищаемого помещения;

-      прослушивание разговоров, ведущихся в защищаемом помещении, по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая и пейджинговая связь, радиотелефоны) за счет скрытого использования этих видов связи;

-      использование электрических сигналов, возникающих в результате преобразования (микрофонного эффекта) информативного акустического сигнала в электрический, и распространяющихся по проводам и линиям передачи информации, выходящим за пределы контролируемой зоны;

-      использование побочных электромагнитных излучения информативного сигнала от обрабатывающих персональные данные технических средств, в том числе возникающих за счет паразитной генерации, и излучения линий передачи информации;

-      использование электрических сигналов, наводимых обрабатывающими конфиденциальную информацию техническими средствами и линиями передачи, на провода и линии передачи, выходящие за пределы контролируемой зоны;

-      использование модулированного информативным сигналом радиоизлучения, возникающего при работе различных генераторов, входящих в состав технических средств установленных в защищаемом помещении, или при наличии паразитной генерации в узлах (элементах) таких технических средств;

-      использование специальных электронных устройств съема речевой информации, тайно располагаемых в защищаемом помещении.

Защита ПДн от утечки по техническим каналам должна подразумеваться на весь период работы субъекта с персональными данными, но может быть обеспечена организационными мерами, например, запретом на обсуждение сведений конфиденциального характера.

3.4. Защита персональных данных в автоматизированных системах
и вычислительных сетях

Основным объектом защиты является информация, обрабатывающаяся и накапливающаяся в автоматизированных системах и вычислительных сетях управления.

Использование информационных ресурсов управления ведется только в служебных целях.

Информационные ресурсы идентифицируются и классифицируются. Порядок доступа к ним определяется их владельцами и регламентируется.

При определении прав доступа к информационным ресурсам следует руководствоваться должностными обязанностями сотрудников и заключенными договорами о конфиденциальности.

3.4.1. Цели обеспечения безопасности персональных данных в автоматизированных системах и вычислительных сетях

Безопасность автоматизированных систем и вычислительных сетей обеспечиваются на всех стадиях их жизненного цикла с учетом роли всех вовлеченных в этот процесс сторон (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений и организаций).

Разработка технических заданий, проектирование, создание, тестирование, приемка средств и систем защиты автоматизированных систем и вычислительных сетей осуществляются по согласованию с подразделением, ответственным за обеспечение информационной безопасности.

Ввод в эксплуатацию, эксплуатация и вывод из эксплуатации автоматизированных систем и вычислительных сетей в части вопросов информационной безопасности осуществляются при участии подразделения (лица), ответственного за обеспечение информационной безопасности.

В процессе эксплуатации автоматизированных систем и вычислительных сетей управления основной целью системы обеспечения безопасности персональных данных является защита их от воздействий, связанных с имеющимися факторами риска, с целью минимизации потерь от их воздействия.

Это достигается путем:

- предотвращения кризисных ситуаций, способных нанести ущерб программным и аппаратным средствам, информации, а также персоналу;

- минимизации ущерба и быстрейшего восстановления программных и аппаратных средств, информации, пострадавших в результате кризисных ситуаций, расследование причин и принятие соответствующих мер.

Безопасность персональных данных реализуется с помощью средств защиты и управления защитой, средств контроля и регистрации, средств обеспечения безотказной работы и восстановления автоматизированных систем и вычислительных сетей.

В случае возникновения кризисных ситуаций, предотвращение которых средствами защиты невозможно, работа автоматизированных систем и вычислительных сетей осуществляется с применением мер обеспечения непрерывности их работы.

Ликвидация последствий кризисных ситуаций, расследование причин их возникновения и принятие мер осуществляется в установленном порядке.

3.4.2. Принципы обеспечения безопасности автоматизированных систем и вычислительных сетей на стадиях их жизненного цикла

В процессе создания автоматизированных систем и вычислительных сетей (определение требований заинтересованных сторон, анализ требований, техническое проектирование, реализация, интеграция и верификация, поставка, ввод в действие), обеспечивается:

-      обоснованная формулировка требований к системам и сетям и их полноценная реализация;

-      выбор оптимальных проектных решений;

-      выбор адекватной модели жизненного цикла систем и сетей;

-      разработка необходимой документации;

-      приемка систем и сетей в эксплуатацию;

-      предотвращение внесения недокументированных возможностей в системы и сети.

К разработке и вводу в эксплуатацию средств и систем защиты автоматизированных систем и вычислительных сетей управления могут привлекаться на договорной основе организации, имеющие лицензии на данный вид деятельности в соответствии с законодательством Российской Федерации.

Средства защиты автоматизированных систем и вычислительных сетей и их компоненты сопровождаются весь срок их службы.

В случае невозможности выполнения этого требования для вновь разрабатываемых средств в договоре (контракте) оговаривается приобретение полного комплекта рабочей конструкторской документации, обеспечивающего возможность эксплуатации без участия разработчика.

При эксплуатации автоматизированных систем и вычислительных сетей в первую очередь обеспечивается защита от:

- несанкционированного доступа к информации, ее модификации или уничтожения;

- неумышленной модификации или уничтожения информации;

- недоставки или ошибочной доставки информации;

- отказа в обслуживании или ухудшения обслуживания;

- отказа от авторства сообщения.

В процессе сопровождения обеспечивается своевременное внесение изменений, необходимых для поддержки правильного функционирования и состояния автоматизированных систем и вычислительных сетей.

Не допустимо внесение изменений в автоматизированные системы и вычислительные сети, приводящих к нарушению их функциональности или появлению недокументированных возможностей.

На стадии вывода из эксплуатации отдельных элементов автоматизированных систем и вычислительных сетей из запоминающих устройств обеспечивается удаление информации, используемой средствами обеспечения безопасности персональных данных, а также информации, несанкционированное использование которой может нанести ущерб коммерческой деятельности управления.

Требования по безопасности персональных данных включаются во все договора и контракты на проведение работ или оказание услуг на всех стадиях жизненного цикла автоматизированных систем и вычислительных сетей, а также в соответствующую проектную документацию.

3.4.3. Меры по обеспечению безопасности персональных данных в автоматизированных системах и вычислительных сетях

Организационные меры по защите информации обеспечивают разработку, официальное оформление и доведение до исполнителей системы нормативно-методических документов, назначение ответственных за обеспечение информационной безопасности, а также организацию контроля соблюдения установленных правил и требований.

Прежде всего, обращается внимание на исключение возможности нарушения целостности и конфиденциальности обрабатываемой информации и обеспечивается запрет передачи конфиденциальной информации по открытым каналам связи без применения установленных мер по ее защите.

Обеспечивается использование вычислительных средств и информационных активов управления только в служебных целях.

Отдельно оговариваются права на использование сотрудниками лицензируемых продуктов, приобретаемых организацией, и обязательства по порядку их использования и нераспространения.

Для повышения эффективности принимаемых мер наряду с организационными осуществляются технические меры по защите информации.

Они разрабатываются по результатам обследования объекта информатизации и оценки возможностей реализации замысла защиты на основе применения организационных мер, активизации встроенных механизмов используемых операционных систем и аппаратного обеспечения.

Технические меры защиты вычислительных систем и сетей осуществляются с учетом следующих основных принципов:

- обладания минимумом полномочий, необходимых и достаточных для решения пользователем своих задач;

- разделения информационной инфраструктуры на «контуры защиты». Защита организуется как внутри каждого контура, так и между смежными контурами. Информация определенной степени конфиденциальности, как правило, сосредотачивается внутри контура, а вход и выход за пределы контура контролируются.

В составе автоматизированных систем и вычислительных сетей (при необходимости) используются сертифицированные по требованиям безопасности и разрешенные к применению средства защиты информации.

Конкретные меры и способы обеспечения информационной безопасности, а также методы и способы использования средств защиты определяются особенностями конкретной вычислительной системы или сетевого оборудования и уточняются политиками информационной безопасности автоматизированных систем.

Защита серверного оборудования

Меры, принимаемые для защиты серверного оборудования, направляются на обеспечение конфиденциальности и целостности информационных ресурсов путем организации защиты вычислительных средств от несанкционированного доступа (среде выполнения вычислительного процесса, оперативной памяти и дисковому пространству), а также в помещения, где оно располагается.

Обеспечение доступности серверного оборудования достигается использованием средств мониторинга и диагностики, а также с помощью мер и средств обеспечения его безотказной работы.

Защита вычислительных сетей

Основной задачей защиты вычислительной сети управления является обеспечение доступности ресурсов сети и целостности передаваемой информации. Это обеспечивается:

-      обеспечением целостности конфигурации сетей и контролируемого доступа к их ресурсам;

-      затруднением перехвата внутреннего трафика;

-      применением криптографических средств защиты информации, сертифицированных по требованиям безопасности информации в соответствии
с действующим законодательством Российской Федерации, при передаче конфиденциальной информации по сетям общего пользования и вне контролируемых зон;

-      организацией непрерывного управления и контроля состояния коммуникационного и сетеобразующего оборудования;

-      исключением несанкционированного доступа в помещения, в которых располагается коммуникационное и сетеобразующее оборудование.

Для обеспечения доступа к сетям общего пользования (Internet и т.п.) применяются следующие первоочередные меры по защите внутренней сети:

-      осуществление взаимодействия с сетью общего пользования через единый шлюз управления;

-      обеспечение блокировки доступа к внутренним ресурсам рабочих мест и узлов, с которых осуществляется взаимодействие с сетью общего пользования, или выделение их в самостоятельную подсеть;

-      использование сертифицированных криптографических средств защиты при передаче конфиденциальной информации по сети общего пользования;

-      строгая регламентация и ограничение производственной необходимостью доступа сотрудников управления к сети общего пользования.

Защита на уровне прикладных информационных систем

Основной задачей защиты ресурсов информационных систем является обеспечение их доступности и целостности, а также соблюдение установленных требований обработки информации ограниченного доступа.

Меры защиты информационных систем должны предусматривать и регламентировать:

- доступ к информационным ресурсам;

- администрирование на прикладном и системно-техническом уровнях;

- авторизацию и разграничение доступа пользователей;

- аудит действий администраторов и пользователей;

- сопровождение программного обеспечения и поддержание его в актуальном состоянии.

Защита на уровне персональной ЭВМ

Защита персональной ЭВМ (ПЭВМ) является защитой рабочего места пользователя и одним из элементов комплексной защиты.

Меры защиты ПЭВМ должны предусматривать:

-     исключение свободного доступа в помещения, где обрабатывается информация ограниченного доступа;

-     ограничение возможности физического доступа с целью изменения конфигурации средств электронно-вычислительной техники (использование специальных защитных знаков, пломбирование, опечатывание и др.);

-     исключение несанкционированной реконфигурации системного и прикладного программного обеспечения, а также самостоятельной его установки;

-     исключение несанкционированного доступа к ресурсам ПЭВМ, на котором обрабатывается конфиденциальная информация;

-     идентификацию и аутентификацию пользователя при запуске ПЭВМ;

-     исключение возможностей несанкционированного просмотра конфиденциальной информации с монитора ПЭВМ, в том числе в отсутствие пользователя;

-     исключения несанкционированного использования внешних носителей информации (магнитных и оптических дисков, карт памяти, фотоаппаратов, мобильных телефонов и т.п.), а также произвольных коммуникационных устройств;

-     исключение возможности бесконтрольного изменения режима подключения ПЭВМ к вычислительным сетям, в том числе, к сетям общего пользования;

-     антивирусную защиту ПЭВМ;

-   обеспечение ведения системного журнала по основным событиям (журнала аудита).

3.4.4. Организация непрерывной работы автоматизированных систем и вычислительных сетей

Для обеспечения непрерывной работы и восстановления автоматизированных систем и вычислительных сетей в случае аварий, стихийных бедствий и других кризисных ситуаций предусматриваются соответствующие меры и средства.

Бесперебойное электропитание

Бесперебойное электропитание – наиболее важный элемент обеспечения непрерывной работы. Оно обеспечивается использованием системы резервного питания при выходе из строя основного источника, что позволяет сохранить работоспособность систем в течение известного времени.

При критичности автоматизированных систем к продолжительным авариям электросети для обеспечения бесперебойного электропитания могут использоваться автономные источники (дизель – генераторы).

Резервное копирование

Резервное копирование, предусматривающее хранение программного обеспечения и информационных массивов на внешних носителях, – основной способ обеспечения их сохранности.

Способ и периодичность резервного копирования регламентируется и определяется для каждой системы индивидуально.

Обеспечивается хранение несколько поколений данных. На каждую копию имеется дубликат, размещаемый отдельно от основной копии в специально оборудованном защищенном помещении, удаленном от резервируемой системы.

Организуется и регламентируется учет материалов резервного копирования.

Резервирование аппаратных ресурсов

Резервирование аппаратных ресурсов применяется для исключения нарушения работоспособности автоматизированных систем и вычислительных сетей.

Основным критерием целесообразности резервирования является степень критичности нарушения их работоспособности для обеспечения непрерывности деятельности организации, а также экономическая эффективность планируемых мероприятий.

Меры по обеспечению безотказной работы

Для предотвращения возникновения кризисных ситуаций, предусматриваются организационные мероприятия, направленные на предотвращение или снижение
их отрицательного воздействия, которые включают в себя:

-    локализацию области воздействия фактора риска;

-    уведомление соответствующих должностных лиц о факте возникновения кризисной ситуации;

-    предотвращение расширения кризисной ситуации, при необходимости, выведение из эксплуатации комплексов, систем или их отдельных компонентов;

-    регламентирования процессов восстановления аппаратных, программных и информационных элементов автоматизированных систем и вычислительных сетей;

-      расследование причин возникновения кризисной ситуации.

3.5. Обеспечение ответственности в сфере безопасности персональных данных

Действенность системы обеспечения безопасности персональных данных управления достигается установлением порядка, правил и зон ответственности в сфере защиты информации, которые должны определять цели и содержание деятельности управления по обеспечению процессов управления информационной безопасностью.

В управлении для достижения поставленных целей и эффективного выполнения задач по обеспечению информационной безопасности определяется совокупность индивидуальных правил, устанавливающих допустимое взаимодействие между сотрудником и объектами информатизации.

Правила персонифицируются для каждого сотрудника в виде обязанностей с установлением ответственности за их исполнение. Формулировка обязанностей осуществляется с учетом установленного порядка обеспечения информационной безопасности. Ответственность за их надлежащее исполнение для каждого сотрудника закрепляется в должностной инструкции или приказе управления.

Обязанности сотрудника не должны быть критичными для управления с точки зрения последствий их неисполнения.

Обязанности сотрудника не должны совмещать функции разработки, сопровождения, исполнения, администрирования и контроля.

Исполнение обязанностей обеспечивается необходимыми ресурсами.

При приеме на работу проверяются: идентичность личности, заявляемая квалификация, точность и полнота биографических фактов, наличие рекомендаций.

Лица, которые принимаются на работу, связанную с доступом к защищаемым ресурсам, подвергаются оценке их профессиональной пригодности.

Проверка профессиональной компетенции принятых на работу осуществляется как на регулярной основе, так и внепланово при выявлении случаев нарушения
ими требований информационной безопасности.

Все сотрудники управления, допущенные к обработке информации ограниченного распространения, дают письменное обязательство о соблюдении требований законодательства Российской Федерации в данной сфере. При этом условие о соблюдении требований должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей.

Компетентность сотрудников, обеспечивающих информационную безопасность, поддерживается на необходимом уровне существующей в управлении системой переподготовки и повышения квалификации кадров.

Контроль соблюдения режима защиты персональных данных в управлении осуществляется с целью определения соответствия принятых мер по защите персональных данных, установленному режиму защиты персональных данных, выявления возможных каналов утечки и несанкционированного доступа к данной информации и принятию мер по их пресечению.

Контроль осуществляют сотрудники, ответственные за защиту информации путем проведения плановых проверок или проверок по указанию начальника управления состояния защиты персональных данных в подразделениях управления.

3.6. Ответственность за нарушение требований режима защиты персональных данных

Каждый сотрудник управления, имеющий доступ к сведениям, содержащим персональные данные и иным, не подлежащим разглашению сведениям, несет дисциплинарную, материальную, административную, гражданско-правовую, уголовную ответственность, предусмотренную действующим законодательством Российской Федерации, за их разглашение и утрату, а также за нарушение установленного порядка обеспечения информационной безопасности. На начальников подразделений управления возлагаются обязанности по обеспечению соблюдения установленного порядка обращения с информацией ограниченного доступа.

Сотрудники обязаны:

- выполнять установленный порядок обращения с информацией ограниченного доступа;

- не разглашать информацию ограниченного доступа, в том числе и после прекращения трудового договора в течение срока, предусмотренного трудовым договором.

Сотрудники управления, разгласившие информацию ограниченного доступа или нарушившие установленный порядок обращения с ней, а также работники, по вине которых произошла утрата конфиденциальных документов, несут ответственность, предусмотренную действующим законодательством Российской Федерации, внутренними документами организации и условиями трудового договора.

Описанная политика в практическом аспекте реализации представляет собой разрешительную систему доступа к информационным ресурсам.

Разрешительная система доступа пользователей к обрабатываемой информации
в информационной системе персональных данных регулируется в соответствии с матрицей доступа путем соответствующих настроек компонент информационной системы обработки персональных данных.

4. Заключительные положения

4.1. Настоящая политика вступает в силу с момента ее утверждения начальником управления и действует до введения новой.

4.2. Ознакомление субъектов (сотрудников) с условиями настоящей Политики производится под роспись в листе ознакомления, являющемся ее неотъемлемой частью.

4.3. Роспись в листе ознакомления означает согласие и обязательство исполнения.

Дата последнего обновления: 25.02.2020 13:43

архив новостей

« Апрель
Пн Вт Ср Чт Пт Сб Вс
29 30 31 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 1 2
2021 2020 2019  
ИНТЕРНЕТ-ПРИЕМНАЯ Напишите нам электронное письмо

Телефон доверия