Положение об организации и проведении обработки и защиты персональных данных в информационных системах Архивной службы РСО-Алания и подведомственных ей государственных архивах РСО-Алания
Приложение № 1
УТВЕРЖДЕНО
Приказом Архивной службы
РСО-А от 30.08. 2011 г. № 23
Положение
об организации и проведении обработки и защиты персональных данных в информационных системах Архивной службы Республики Северная Осетия-Алания и подведомственных ей государственных архивах Республики Северная Осетия-Алания
Содержание
TOC \o “1-1″ \h \z \u 1. Информация о документе
5. Порядок отнесения сведений к персональным данным
6. Организационная структура СЗПДн
7. Порядок организации и проведения работ по обеспечению безопасности ПДн
8. Категорирование пдН и Классификация ИСПДн
9. Оценка возможности оптимизации ИСПДн
10. Модель угроз и нарушителя безопасности ПДн
11. обучение персонала, участвующего в обработке ПДн
12. ДОПУСК персонала к обработке ПДн
14. Организация работы с носителями ПДн
15. Контроль изменений в составе и структуре ИСПДн
16. Защита от несанкционированного физического доступа к элементам ИСПДн
18. Контроль за обеспечением необходимого уровня защищенности ПДн
19. Реагирование на нештатные ситуации
20. Контроль лояльности персонала
1. Информация о ПОЛОЖЕНИИ
1.1.Назначение Положения
Настоящее Положение определяет порядок организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Архивной службы и подведомственных ей государственных архивах (далее – госархивах) Республики Северная Осетия-Алания и содержит общие принципы защиты персональных данных.
1.2.Цели Положения
Данное Положение направлено на достижение следующих целей:
выполнение требований нормативных документов Российской Федерации, связанных с персональными данными;
защита прав и свобод граждан при обработке их персональных данных в информационных системах персональных данных Архивной службы и госархивов;
защита персональных данных, обрабатываемых в Архивной службе и госархивах, от несанкционированного доступа и от других несанкционированных действий;
снижение уровня регуляторных рисков в отношении Архивной службы и госархивов.
1.3.Ответственность и область применения
Настоящее Положение обязаны знать и использовать в работе:
руководители Архивной службы и госархивов;
отдел кадровой работы;
ответственные за обеспечение безопасности ПДн;
администраторы ИСПДн[1];
владельцы ИСПДн и процессов обработки ПДн;
структурные подразделения Архивной службы и госархивов, участвующие в процессах обработки ПДн;
сотрудники Архивной службы и госархивов.
1.4.Вводимые определения терминов и сокращений
Таблица SEQ Таблица \* ARABIC 1. Перечень сокращений
Сокращение |
Расшифровка сокращения |
АРМ |
автоматизированное рабочее место |
ИБ |
информационная безопасность |
ИС |
информационная система |
ИСПДн |
информационная система персональных данных |
ЛВС |
локальная вычислительная сеть |
ПДн |
персональные данные |
СЗПДн |
система защиты персональных данных |
СКС |
структурированная кабельная система |
СОИБ |
система обеспечения информационной безопасности |
СТЗ |
специальное техническое задание |
ТЗ |
техническое задание |
Таблица SEQ Таблица \* ARABIC 2. Перечень терминов
Наименование термина |
Определение термина |
Безопасность информации [данных] |
Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. |
Блокирование персональных данных |
Временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи. |
Вирус (компьютерный, программный) |
Исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. |
Вредоносная программа |
Программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных. |
Вспомогательные технические средства и системы |
Технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных. |
Доступ к информации |
Возможность получения информации и ее использования. |
Защита информации |
Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. |
Защищаемая информация |
Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. |
Идентификация |
Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. |
Информационная система персональных данных |
Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств |
Информационные технологии |
Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. |
Конфиденциаль-ность персональных данных |
Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания. |
Контролируемая зона |
Пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств. |
Межсетевой экран |
Локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы. |
Модель угроз (безопасности информации) |
Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации. |
Не- декларированные возможности |
Функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. |
Несанкциониро-ванный доступ (несанкциониро-ванные действия) |
Доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных. |
Носитель защищаемой информации |
Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. |
Обработка персональных данных |
Действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. |
Персональные данные |
Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация |
Обработка персональных данных |
Действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. |
Оператор |
Государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. |
Ответственный за применение нормативного документа |
Должностное лицо, ответственное за внедрение и применение нормативного документа. Термин применим к нормативным документам, кроме регламента процесса, для которого используется термин «Владелец процесса». «Ответственный за применение НД» и «Ответственный за разработку НД» могут совпадать. |
Ответственный за разработку нормативного документа |
Должностное лицо или структурное подразделение, ответственное за создание и поддержание нормативного документа в актуальном состоянии. Ответственный за разработку НД отвечает за плановый пересмотр документа и за внесение внеочередных изменений в соответствии с данным Положением. |
Структурное подразделение |
Официально выделенная в организационной структуре Архивной службы и госархивов группа работников, выполняющая определенные функции и задачи, предусмотренные положением о структурном подразделении. |
Технические средства информационной системы персональных данных |
Средства вычислительной техники, информационно – вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации. |
Перехват (информации) |
Неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов. |
Побочные электромагнит-ные излучения и наводки |
Электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания. |
Правила разграничения доступа |
Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. |
Программная закладка |
Код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и(или) блокировать аппаратные средства. |
Программное (программно-математическое) воздействие |
Несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ. |
Ресурс информационной системы |
Именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы. |
Средства вычислительной техники |
Совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. |
Субъект доступа (субъект) |
Лицо или процесс, действия которого регламентируются правилами разграничения доступа. |
Технический канал утечки информации |
Совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация. |
Угрозы безопасности персональных данных |
Совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. |
Уничтожение персональных данных |
Действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. |
Утечка (защищаемой) информации по техническим каналам |
Неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации. |
Уполномоченное оператором лицо |
Лицо, которому на основании договора оператор поручает обработку персональных данных. |
Целостность информации |
Способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения). |
Цель защиты информации |
Заранее намеченный результат защиты информации.
|
2. Общие положения
2.1. Настоящее Положение устанавливает требования по защите персональных данных, принципы обработки персональных данных в информационных системах персональных данных, направленные на защиту интересов Архивной службы и госархивов в области их деятельности, обеспечение непрерывности работы Архивной службы и госархивов.
Требования Положения распространяются на все структурные подразделения Архивной службы и госархивов, в которых осуществляется автоматизированная и неавтоматизированная обработка персональных данных, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение функционирования информационных систем персональных данных.
2.2. Настоящее Положение разработано в соответствии со следующими нормативными актами:
Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781;
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;
Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 года;
нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора.
2.3. Персональные данные являются сведениями, отнесенными к информации ограниченного доступа Архивной службы и госархивов.
2.4. Настоящее Положение является методологической основой для:
формирования и проведения единой политики в области обеспечения безопасности персональных данных;
принятия управленческих решений и разработки практических мер по воплощению политики безопасности персональных данных и выработки комплекса согласованных мер нормативно-правового, технического и организационно-технического характера, направленных на выявление, отражение и уменьшение угроз безопасности ПДн;
координации деятельности структурных подразделений Архивной службы и госархивов при проведении работ по созданию, развитию и эксплуатации ИСПДн с соблюдением требований по обеспечению безопасности персональных данных;
разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности персональных данных в ИСПДн.
Принципы и требования по обеспечению безопасности персональных данных распространяются:
на все возможные формы существования информации (физические поля (электрические, акустические, электромагнитные, оптические и т.п.), носители на бумажной, магнитной, оптической и иной основе);
на все возможные форматы представления персональных данных (документы, голос, изображения, файлы, почтовые сообщения, базы данных, записи базы данных, другие информационные массивы).
2.5. Предотвращение несанкционированного и нелегитимного доступа к информационным системам, технологиям и информационным ресурсам результатом которого может стать уничтожение, модификация, искажение, копирование, распространение, блокирование ПДн, требует применения комплекса правовых, организационных, организационно-технических мер защиты с использованием сертифицированных средств защиты информации.
2.6. Настоящее Положение определяет:
полномочия, ответственность за обеспечение безопасности ПДн, сотрудников подразделений Архивной службы и госархивов;
порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
мероприятия по обеспечению безопасности ПДн;
требования по управлению процессом обеспечения безопасности ПДн;
требования к составу и содержанию документов Архивной службы и госархивов, регламентирующих защиту и работу с ПДн.
При работе с персональными данными, во всех случаях, не урегулированных нормативными документами Архивной службы и госархивов, необходимо руководствоваться действующим законодательством Российской Федерации.
3. Цели и задачи защиты ПДн
3.1. Целью создания системы защиты ПДн является исключение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также иных неправомерных действий.
В общем случае можно выделить в качестве основной цели защиты ПДн обеспечение:
конфиденциальности ПДн;
целостности ПДн;
доступности ПДн;
неотказуемости;
учетности[2];
аутентичности[3];
адекватности[4].
Конкретный состав целей защиты ПДн зависит от конкретной ИСПДн и определяется по результатам разработки (актуализации) модели угроз и нарушителя безопасности ПДн.
3.2. К основным задачам в области обеспечения безопасности ПДн относится:
определение новых ИСПДн;
инвентаризация и управление изменениями в составе и структуре ИСПДн;
сбор согласий на обработку ПДн с субъектов ПДн;
разработка и актуализация Перечня персональных данных, обрабатываемых в Архивной службы и госархивов;
контроль целей обработки ПДн, состава обрабатываемых ПДн целям обработки;
уничтожение ПДн;
оптимизация информационных процессов обработки ПДн;
управление взаимодействиями с внешними контрагентами по вопросам обработки ПДн;
взаимодействие с субъектами ПДн по вопросам обработки их ПДн;
классификация ИСПДн;
разработка (актуализация) документации на систему защиты ПДн;
выбор и внедрение необходимых и достаточных мер и средств защиты ПДн;
сертификация применяемых средств защиты информации;
эксплуатация системы защиты ПДн в соответствии с документацией на нее;
контроль уровня защищенности ПДн;
обучение персонала по вопросам защиты ПДн;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
учет лиц, допущенных к обработке ПДн;
взаимодействие с регуляторными органами по вопросам защиты ПДн;
актуализация и подача уведомлений в уполномоченный орган по защите прав субъектов ПДн;
реагирование на нештатные ситуации, расследование нештатных ситуаций, возникающих при обработке ПДн;
получение лицензий ФСТЭК России и ФСБ России в области защиты ПДн;
контроль лояльности администраторов ИСПДн.
4. Принципы обработки ПДн
4.1. В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» обработка ПДн должна осуществляться на основе следующих принципов:
законности целей и способов обработки персональных данных и добросовестности;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
4.2. В Архивной службы и госархивов должен проводиться регулярный анализ соответствия процессов обработки ПДн указанным принципам. Данный анализ проводится в случае:
создания новых ИСПДн;
внесения изменений в технологические процессы, существующие в ИСПДн;
изменения нормативной базы, затрагивающей принципы и(или) процессы обработки ПДн в ИСПДн Архивной службы и госархивов;
проведения контрольных и проверочных мероприятий на предмет оценки соответствия процессов обработки ПДн заявленным принципам.
5. Порядок отнесения сведений к персональным данным
В соответствии с Федеральным законом № 152-ФЗ от 27 июля 2006 г. «О персональных данных», операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.
Отнесение сведений Архивной службы и госархивов к соответствующим категориям информации представляет собой процесс обоснованного установления (документального оформления и утверждения руководителем Архивной службы) критериев их выделения из всей совокупности сведений, находящихся в обращении.
В качестве таких критериев в отношении персональных данных в Архивной службе и госархивах разрабатывается и утверждается руководителем Архивной службы Перечень персональных данных, обрабатываемых в Архивной службе и госархивах.
6. Организационная структура СЗПДн
6.1. Система защиты ПДн является частью общей Системы обеспечения информационной безопасности Администрации.
Основу организационной структуры СЗПДн составляют:
руководство Архивной службы и госархивов;
отдел правовой и кадровой работы;
ответственные за обеспечение безопасности ПДн;
администраторы ИСПДн[5];
структурные подразделения, участвующие в процессах обработки ПДн;
сотрудники Архивной службы и госархивов.
6.2. Руководство Архивной службы и госархивов осуществляет следующие основные функции в области обеспечения безопасности ПДн:
обеспечивает общую организацию работ по защите ПДн;
издает распоряжения по вопросам организации СЗПДн;
утверждает Перечень персональных данных, обрабатываемых в Архивной службе и госархивах;
назначает ответственного за обеспечение безопасности ПДн;
рассматривает и утверждает нормативные документы Архивной службы и госархивов по защите ПДн;
заслушивает при необходимости ответственных за обеспечение безопасности ПДн и других должностных лиц о состоянии работы по защите ПДн.
6.3. Отдел кадровой работы проводит ознакомление сотрудников с нормативными документами в области защиты ПДн и делает отметки в журнале инструктажа лиц, допущенных к обработке ПДн. Форма журнала представлена в приложении №4.
6.4. Ответственные за обеспечение безопасности ПДн осуществляют следующие основные функции:
разрабатывают Перечень ПДн, обрабатываемых в Архивной службе и госархивах;
проводят классификацию ИСПДн;
распределяют ответственность по вопросам обработки и защиты ПДн;
осуществляют организацию плановых и внеплановых проверочных мероприятий;
организуют выполнение требований по защите ПДн в Архивной службе и госархивах;
проводят разработку и актуализацию корпоративных нормативных документов, регламентирующих защиту ПДн;
разрабатывают и актуализируют модели угроз безопасности ПДн и технические задания на СЗПДн;
разрабатывают (актуализируют) проектную документацию на СЗПДн;
подготавливают проекты решений по изменению Перечня персональных данных, обрабатываемых в Архивной службе и госархивах, классификации ИСПДн;
организуют работы по сбору сведений об изменениях в составе и структуре ИСПДн;
осуществляют контроль соответствия изменений в составе и архитектуре ИСПДн требованиям нормативных документов Российской Федерации по защите ПДн, а также внутренних организационно-распорядительных документов Архивной службе и госархивах;
контролируют исполнение требований по уничтожению ПДн;
разрабатывают рекомендации по оптимизации существующих и новых информационных и бизнес-процессов обработки ПДн по критериям соответствия требованиям по защите ПДн и минимизации затрат на создание и эксплуатацию системы защиты ПДн;
контролируют исполнение требований нормативных документов Архивной службе и госархивах в области обеспечения безопасности ПДн, структурными подразделениями и сотрудниками;
организуют и осуществляют взаимодействие с регуляторами по вопросам защиты ПДн;
осуществляют контроль лояльности администраторов ИБ ИСПДн;
организуют получение лицензий ФСТЭК России и ФСБ России по технической и криптографической защите конфиденциальной информации, необходимые в целях защиты ПДн;
контролируют ввод в действие, эксплуатацию СЗПДн;
проводят расследования инцидентов, связанных с нарушением безопасности ПДн, правил обработки ПДн, принимают меры по недопущению повторения нештатных ситуаций.
6.5. Администраторы ИБ ИСПДн осуществляют следующие основные функции:
сопровождают средства и системы защиты ПДн;
проводят оперативный контроль функционирования средств и систем защиты ПДн;
проводят резервирование ПДн;
контролируют факты обращений пользователей ИСПДн к персональным данным, зарегистрированные в электронном журнале обращений пользователей к соответствующим ресурсам ИСПДн;
осуществляют выявление и регистрацию попыток НСД к компонентам ИСПДн, информационным ресурсам;
контролируют соответствие технических, программных и программно-аппаратных средств ИСПДн требованиям, предъявляемым к ним средствами и системой защиты ПДн;
проводят оценку эффективности принятых мер и применяемых средств защиты ПДн;
осуществляют учет применяемых средств защиты ПДн, эксплуатационной и технической документации к ним;
контролируют выполнение сотрудниками подразделения требований по защите ПДн;
участвуют в расследованиях причин возникновения нештатных ситуаций;
готовят предложения по совершенствованию системы защиты ПДн;
выполняют комплекс мероприятий по защите информации при проведении ремонтных и регламентных работ;
обеспечивают защиту ПДн при выводе из эксплуатации компонентов ИСПДн.
6.6. Владельцы ИСПДн и бизнес-процессов обработки ПДн осуществляют следующие основные функции:
осуществляют контроль и учет проведения изменений в ИСПДн, согласуют проводимые изменения с ответственными за обеспечение безопасности ПДн;
инициируют процесс создания СЗПДн;
организуют и проводят уничтожение ПДн;
составляют и актуализируют списки должностных лиц, имеющих доступ к ПДн;
обеспечивают раздельное хранение ПДн, обрабатываемых в различных целях, неавтоматизированным способом;
обеспечивают выполнение требований по защите ПДн, обрабатываемых неавтоматизированным способом;
проводят согласование форм договоров, анкет, журналов и других документов, предназначенных для включения в них ПДн, с ответственными за обеспечение безопасности ПДн;
участвуют в оптимизации информационных и бизнес процессов обработки ПДн;
участвуют в классификации ИСПДн, разработке Модели угроз безопасности ПДн в ИСПДн.
6.7. Структурные подразделения, участвующие в процессах обработки ПДн, выполняют следующие основные функции:
осуществляют взаимодействие с субъектами ПДн по вопросам обработки их ПДн;
осуществляют уведомление субъектов ПДн в случаях определенных нормативными актами;
эксплуатируют систему защиты ПДн в соответствии с документацией на нее;
принимают меры по реализации перечня необходимых защитных мероприятий на объектах подразделения;
ведут учет носителей персональных данных.
6.8. Сотрудники Архивной службы и госархивов выполняют следующие основные функции:
соблюдают требования нормативных документов по защите ПДн;
осуществляют обработку ПДн в соответствии с заданием и предоставленными полномочиями.
6.9. Владельцем процесса обеспечения безопасности ПДн в каждой ИСПДн является подразделение, являющееся владельцем данной ИСПДн.
6.10. Для координации процесса обеспечения безопасности ПДн, решения задач, требующих скоординированных действий разных подразделений Архивной службе и госархивах, могут создаваться рабочие группы, в состав которых должны входить представители руководства всех заинтересованных подразделений Архивной службе и госархивах
7.Порядок организации и проведения работ по обеспечению безопасности ПДн
7.1. Работы по обеспечению безопасности ПДн при их обработке в ИСПДн являются неотъемлемой частью работ, выполняемых в рамках жизненного цикла ИСПДн.
Работы по обеспечению безопасности ПДн привязаны к следующим этапам жизненного цикла ИСПДн:
инициация проекта ИСПДн;
планирование проекта ИСПДн;
реализация проекта ИСПДн, в составе;
эксплуатация ИСПДн;
модернизация ИСПДн;
вывод из эксплуатации.
7.2. Работы по защите ПДн с привязкой к этапам жизненного цикла ИСПДн приведены в таблице 7.1.
Таблица 7.1. Распределение работ по защите ПДн на стадии существования ИСПДн
№ |
Стадия существования ИСПДн, работы по защите ПДн |
Детализация проводимых работ по защите ПДн |
На какие типы ИСПДн распространяется |
1. |
Инициация проекта ИСПДн |
||
1.1. |
Определение ИСПДн |
При создании ИС или существенном изменении существующей ИС определяется необходимость обработки ПДн. Если такая необходимость имеется, то система объявляется ИСПДн |
с автоматизированной обработкой, с неавтоматизированной обработкой |
1.2. |
Определение существенной информации об ИСПДн |
На данном этапе производится: определение перечня ПДн, которые будут обрабатываться в ИСПДн; определение целей обработки ПДн, действий выполняемых с ПДн, допустимых сроков хранения ПДн; определение перечня типов технических средств, предполагаемые к использованию в ИСПДн, перечня системных и прикладных программных средств; определение степени участия персонала в обработке ПДн, характер взаимодействия персонала между собой и с системой. |
с автоматизированной обработкой, с неавтоматизированной обработкой |
1.3. |
определение предварительной категории ПДн |
Детализация проводимых работ приведена в разделе REF _Ref236392384 \r \h \* MERGEFORMAT 8 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003300390032003300380034000000 |
с автоматизированной обработкой, с неавтоматизированной обработкой |
1.4. |
определение предварительного класса ИСПДн |
Детализация проводимых работ приведена в разделе 8 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003300390032003300380034000000 |
с автоматизированной обработкой |
1.5. |
оценка возможности оптимизации ИСПДн |
Детализация проводимых работ приведена в разделе REF _Ref236399223 \r \h \* MERGEFORMAT 9 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003300390039003200320033000000 |
с автоматизированной обработкой, с неавтоматизированной обработкой |
1.6. |
юридическая оценка возможности создания ИСПДн |
На данном этапе производится юридическая оценка: целей обработки ПДн; операций, которые будут выполняться с ПДн; наличия (возможности сбора) согласий на обработку ПДн, необходимости сбора согласий на обработку ПДн; степени участия контрагентов Архивной службе и госархивах в обработке ПДн и необходимых юридических оснований для такой обработки; соответствия предполагаемых процессов обработки ПДн принципам их обработки (см. раздел REF _Ref236397482 \r \h \* MERGEFORMAT 4 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003300390037003400380032000000 ). |
с автоматизированной обработкой, с неавтоматизированной обработкой |
1.7. |
проведение оценки возможных затрат на создание СЗПДн по срокам и стоимости |
Оцениваются возможные затраты на создание СЗПДн, которые должны учитываться при защите проекта и планировании проекта |
с автоматизированной обработкой, с неавтоматизированной обработкой |
2. |
Реализация проекта ИСПДн – концепция реализации ИСПДн/СЗПДн
|
||
2.1. |
определение необходимости корректировки Перечня ПДн, при необходимости проведение его корректировки |
|
с автоматизированной обработкой, с неавтоматизированной обработкой |
2.2. |
построение модели информационных потоков персональных данных |
Разработка модели информационных потоков должно производиться на основании соответствующего стандарта |
с автоматизированной обработкой, с неавтоматизированной обработкой |
2.3. |
определение перечня актуальных угроз безопасности ПДн в конкретных условиях функционирования (разработка модели угроз и нарушителя безопасности ПДн) |
Детализация проводимых работ приведена в разделе 10 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003300390034003600370032000000 |
с автоматизированной обработкой |
2.4. |
определение категорий ПДн и класса ИСПДн |
Детализация проводимых работ приведена в разделе 8 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003300390032003300380034000000 |
с автоматизированной обработкой |
2.5. |
определение необходимости создания СЗПДн |
На данном этапе на основе класса ИСПДн определяется необходимость создания СЗПДн[6] |
с автоматизированной обработкой |
2.6. |
разработка технического (специального технического) задания на разработку СЗПДн |
На данном этапе определяются требования к техническим, программным, программно-аппаратным и организационным средствам и мерам обеспечения безопасности ПДн. |
с автоматизированной обработкой |
3. |
Реализация проекта ИСПДн – проектирование ИСПДн |
||
3.1. |
разработка эскизного проекта на СЗПДн |
На данном этапе разрабатываются: пояснительная записка; схема структурная комплекса технических средств. |
с автоматизированной обработкой |
3.2. |
проработка форм документов, предполагающих включение в них ПДн |
На данном этапе производится: определение форм документов, в которых будут содержаться ПДн; оценка соответствия форм требованиям, предъявляемым к ним нормативными документами РФ в области защиты ПДн; производится корректировка форм. |
с автоматизированной обработкой |
3.3. |
разработка эксплуатационной документации на ИСПДн |
Производится разработка политики, регламентов, инструкций, определяющих частный порядок защиты ПДн в данной ИСПДн |
с автоматизированной обработкой, с неавтоматизированной обработкой |
4. |
Реализация проекта ИСПДн – производство ИСПДн |
||
4.1. |
внедрение комплекса средств и мер защиты ПДн |
Производятся: монтажные, пуско-наладочные работы средств защиты информации; реализация комплекса организационно-технических мероприятий по защите ПДн. |
с автоматизированной обработкой |
4.2. |
реализация требований по физической защите компонентов ИСПДн и носителей ПДн |
Производятся монтажные работы средств физической защиты (замков, шкафов, сейфов и т.п.) |
с автоматизированной обработкой, с неавтоматизированной обработкой |
4.3. |
заключение договоров с контрагентами, которые будут осуществлять обработку ПДн Архивной службе и госархивах, с учетом требований по защите ПДн (при необходимости) |
На данном этапе определяются договоры, в которые должны быть внесены изменения, в части обеспечения конфиденциальности ПДн контрагентами, которые будут иметь к ним доступ. |
с автоматизированной обработкой, с неавтоматизированной обработкой |
4.4. |
определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации |
|
с автоматизированной обработкой, с неавтоматизированной обработкой |
5. |
Реализация проекта ИСПДн – передача системы в опытно-промышленную эксплуатацию |
||
5.1. |
Обучение сотрудников по направлению обеспечения безопасности ПДн |
Детализация проводимых работ приведена в разделе 11 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400300031003700310037000000 |
с автоматизированной обработкой, с неавтоматизированной обработкой |
5.2. |
Ознакомление сотрудников с нормативными документами в области защиты ПДн |
|
с автоматизированной обработкой, с неавтоматизированной обработкой |
6. |
Реализация проекта ИСПДн – опытная эксплуатация ИСПДн |
||
6.1. |
Сбор согласий на обработку ПДн с субъектов ПДн (в случае необходимости их сбора) |
|
с автоматизированной обработкой, с неавтоматизированной обработкой |
6.2. |
Оценка необходимости изменения Уведомления об обработке ПДн |
На данном этапе производятся: определение необходимости изменения Уведомления об обработке ПДн; подготовка, согласование и отправка нового Уведомления об обработке ПДн в уполномоченный орган по защите прав субъектов ПДн. Форма, состав Уведомления определяются в соответствии с нормативными документами уполномоченного органа по защите прав субъектов ПДн |
с автоматизированной обработкой, с неавтоматизированной обработкой |
6.3. |
Проведение опытной эксплуатации средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн |
|
с автоматизированной обработкой |
6.4. |
Разрабатка программы и методики приемочных испытаний |
|
с автоматизированной обработкой |
6.5. |
Проведение приемных испытаний СЗПДн |
Приемочные испытания СЗПДн проводятся в соответствии с программой и методикой приемочных испытаний |
С автоматизированной обработкой |
7. |
Эксплуатация ИСПДн |
|
|
7.1. |
Допуск персонала к обработке ПДн |
Детализация проводимых работ приведена в разделе 12 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400300035003900310039000000 |
с автоматизированной обработкой, с неавтоматизированной обработкой |
7.2. |
Уничтожение ПДн |
Детализация проводимых работ приведена в разделе 13 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400350031003000390034000000 |
с автоматизированной обработкой, с неавтоматизированной обработкой |
7.3. |
Работа с носителями ПДн |
Детализация проводимых работ приведена в разделе 14 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400350035003000350039000000 |
с автоматизированной обработкой, с неавтоматизированной обработкой |
7.4. |
Учет средств защиты информации, эксплуатационной документации к ним |
Учет средств защиты информации, эксплуатационной документации производится администраторами ИСПДн, порядок учета должен быть регламентирован в соответствующем документе |
с автоматизированной обработкой |
7.5. |
Осуществление контроля изменений в составе и структуре ИСПДн |
Детализация проводимых работ приведена в разделе 15 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400350036003300350032000000 |
с автоматизированной обработкой, с неавтоматизированной обработкой |
7.6. |
Обеспечение защиты от несанкционирован-ного физического доступа к элементам ИСПДн |
Детализация проводимых работ приведена в разделе 16 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400360032003400350030000000 |
с автоматизированной обработкой, с неавтоматизированной обработкой |
7.7. |
Осуществление резервирования ПДн |
Детализация проводимых работ приведена в разделе 17 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400360033003200380037000000 |
с автоматизированной обработкой |
7.8. |
Осуществление эксплуатация системы защиты ПДн в соответствии с документацией на нее |
Эксплуатация системы защиты осуществляется в соответствии с проектом, регламентами и стандартами. Состав системы защиты ПДн и мероприятий по защите ПДн определяется дифференцированно для различных ИСПДн, в зависимости от результатов разработки Модели угроз и ТЗ (СТЗ) на СЗПДн |
с автоматизированной обработкой |
7.9. |
Осуществление контроля за обеспечением необходимого уровня защищенности ПДн |
Детализация проводимых работ приведена в разделе 18 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400360038003900370038000000 |
с автоматизированной обработкой |
7.10. |
Реагирование на нештатные ситуации |
Детализация проводимых работ приведена в разделе 19 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400370030003200350036000000 |
с автоматизированной обработкой, с неавтоматизированной обработкой |
7.11. |
Проведение контроля лояльности персонала |
Детализация проводимых работ приведена в разделе 20 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400370031003700360030000000 |
|
7.12. |
Проведение обучения персонала правилам обеспечения безопасности ПДн |
Детализация проводимых работ приведена в разделе 11 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400300031003700310037000000 |
с автоматизированной обработкой |
7.13. |
Осуществление взаимодействия с субъектами ПДн по вопросам обработки их ПДн |
Взаимодействие с субъектами ПДн производится в порядке, определенном законодательством РФ |
с автоматизированной обработкой, с неавтоматизированной обработкой |
7.14. |
Отслеживание необходимости получения лицензий ФСТЭК России и ФСБ России |
В рамках данного процесса производится отслеживание сроков действия имеющихся лицензий ФСТЭК России и ФСБ России касающихся защиты ПДн. При необходимости производится инициация работ по повторному получению данных лицензий. |
с автоматизированной обработкой, с неавтоматизированной обработкой |
7.15. |
Осуществление взаимодействия с регуляторными органами по вопросам защиты ПДн |
|
с автоматизированной обработкой, с неавтоматизированной обработкой |
8. |
Модернизация ИСПДн |
||
8.1. |
Осуществление управления изменениями в ИСПДн |
Детализация проводимых работ приведена в разделе 15 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400350036003300350032000000 |
с автоматизированной обработкой, с неавтоматизированной обработкой |
8.2. |
Оценка существенности предполагаемой модернизации ИСПДн |
Проводится анализ: возможности изменения класса ИСПДн, актуальных угроз, требований к СЗПДн; необходимости корректировки документации на СЗПДн; необходимости проведения дополнительных мероприятий по защите ПДн. |
с автоматизированной обработкой, с неавтоматизированной обработкой |
8.3. |
Проведение на основе оценки существенности модернизации, необходимого объема мероприятий[7] |
|
с автоматизированной обработкой, с неавтоматизированной обработкой |
9. |
Вывод из эксплуатации ИСПДн |
||
9.1. |
Проведение уничтожения ПДн |
Детализация проводимых работ приведена в разделе 13 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003400350031003000390034000000 |
с автоматизированной обработкой, с неавтоматизированной обработкой |
9.2. |
Уведомление субъектов ПДн (а при необходимости и уполномоченный орган по защите прав субъектов ПДн) об уничтожении ПДн |
Взаимодействие с субъектами ПДн производится в порядке, определенном законодательством РФ |
с автоматизированной обработкой, с неавтоматизированной обработкой |
8.Категорирование пдН и Классификация ИСПДн
8.1. Категорирование ПДн и классификация ИСПДн должны проводиться для ИСПДн с автоматизированной обработкой персональных данных.
Классификация ИСПДн и категорирование ПДн проводятся в соответствии с Порядком проведения классификации информационных систем персональных данных (утвержден Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20).
Процесс категорирования ПДн и классификации ИСПДн является основой для определения требований к уровню защиты ПДн.
8.2. В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» оператор ПДн «обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Таким образом, в соответствии с Порядком проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20):
все ИСПДн Архивной службы и госархивов с автоматизированной обработкой относятся к категории специальных ИСПДн (ИСПДн, для которых требуется обеспечить не только конфиденциальность ПДн);
класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных.
8.3. Классификация ИСПДн и категорирование ПДн проводятся путем:
приведения исходных характеристик, влияющих на класс и категорию ПДн;
указания предположений, влияющих на категорию ПДн и классификацию ИСПДн;
логического обоснования предполагаемого класса ИСПДн и категорий ПДн.
8.4. Исходные характеристики, предположения и обоснования, а также выводы о классе ИСПДн и категории ПДн приводятся в Модели угроз безопасности ПДн,
Модель угроз безопасности ПДн может быть разработана на несколько ИСПДн сразу или на какую-либо конкретную ИСПДн.
Оценка необходимости пересмотра класса ИСПДн должна осуществляться каждый раз, когда изменились характеристики, учитываемые при классификации ИСПДн.
Результаты работы по классификации ИСПДн оформляются актом классификации.
9. Оценка возможности оптимизации ИСПДн
9.1. Оценка возможности оптимизации ИСПДн имеет своей целью такую реструктуризацию ИСПДн, выполнение требований по защите ПДн в которой может быть обеспечено с минимальным уровнем затрат на создание и эксплуатацию системы защиты ПДн.
9.2. При проведении оптимизации ИСПДн должна оцениваться возможность:
снижения категории обрабатываемых ПДн;
обезличивания ПДн;
придания ПДн статуса общедоступных;
изменения структуры и состава технических и программных средств ИСПДн, технологических процессов обработки ПДн.
9.3. Снижение категории ПДн, в общем случае, позволяет снизить класс ИСПДн и, соответственно, уровень требований к ИСПДн.
9.4. Обезличивание персональных данных и отнесение ПДн к общедоступным – это эффективный способ обеспечения их безопасности, так как для обезличенных и общедоступных персональных данных не требуется обеспечение их конфиденциальности.
Отсутствие необходимости защиты конфиденциальности ПДн не снимает необходимости защиты других характеристик безопасности (целостности, доступности и т.п.).
Необходимость защиты других характеристик безопасности определяется посредством оценки возможности ущерба для субъектов ПДн при нарушении этих характеристик безопасности. При наличии такого ущерба, в отношении таких ИСПДн, должен применяться комплекс мероприятий по их защите в полном объеме, в соответствии с разделом 7 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003200330036003300390037003200310031000000 настоящего Положения.
Среди мероприятий по обезличиванию ПДн, можно выделить следующие:
разделение ПДн – ПДн, позволяющих идентифицировать субъект ПДн и остальной информации по разным ИСПДн, базам или массивам данных;
удаление ПДн, позволяющих идентифицировать субъект ПДн, в технологических процессах, в которых не требуется однозначного определения физического лица.
9.5. Придание ПДн статуса общедоступных возможно в следующих случаях:
при наличии федерального закона, определяющего, что этот состав ПДн является общедоступным;
при наличии возможности сбора согласий на общедоступность их ПДн с субъектов ПДн.
9.6. Изменение структуры и состава технических и программных средств ИСПДн, технологических процессов обработки ПДн может проводиться, в том числе, с целью:
уменьшения количества компонентов ИСПДн, на которые потребуется установка средств защиты;
изменения возможности, степени опасности угроз для ИСПДн и, соответственно, уменьшения перечня актуальных угроз;
изменения требований к характеристикам средств защиты информации, в результате которого возможно использование более оптимальных по стоимости средств и т.п.
10.Модель угроз и нарушителя безопасности ПДн
10.1. СЗПДн внедряется для нейтрализации актуальных угроз безопасности персональных данных.
Оценка актуальности угроз производится посредством разработки модели угроз безопасности персональных данных (далее – модель угроз) и модели нарушителя.
10.2. Методической базой для разработки модели угроз и нарушителя безопасности ПДн являются:
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 года;
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14 февраля 2008 года;
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г., № 149/54-144.
10.3. Результатом разработки Модели угроз и нарушителя безопасности ПДн должен являться:
перечень актуальных угроз;
вывод о классе ИСПДн;
вывод о типе нарушителя, существующем в ИСПДн и требуемом классе средств криптографической защиты информации.
10.4. Модель угроз и нарушителя безопасности ПДн должна содержать:
описание структуры и состава ИСПДн (состав обрабатываемых ПДн, состав технических средств и программного обеспечения, существующие процессы обработки ПДн, схему организации связи и т.п.);
обоснование характеристик безопасности ПДн (конфиденциальность, целостность, доступность и т.п.), нарушение которых ведет к ущербу для субъектов ПДн;
модель угроз (перечень угроз, оценку вероятностей угроз, показатели опасности угроз для ИСПДн, оценки возможностей реализации угроз, выводы об актуальности угроз);
модель нарушителя (объекты атак, возможные типы нарушителей, предположения о возможностях нарушителей, предположения об ограничениях на эти возможности, предположения о каналах атак и средствах атак, выводы о типе нарушителя).
Модель угроз и нарушителя безопасности ПДн должна пересматриваться каждый раз, когда изменяются характеристики, влияющие на актуальность угроз, класс ИСПДн, тип нарушителя.
11.обучение персонала, участвующего в обработке ПДн
11.1. Обучение работников по вопросам, связанным с обеспечением безопасности ПДн проводится регулярно.
В общем случае, для различных категорий сотрудников форматы обучения должны отличаться.
11.2. Определены следующие форматы обучения:
внешние и внутренние семинары;
конференции;
инструктажи;
учения.
11.3. Конференции, внешние семинары проводятся во внешних специализированных организациях для следующих категорий сотрудников:
ответственных за обеспечение безопасности ПДн;
администраторов ИСПДн.
Для руководителей структурных подразделений, участвующих в процессах обработки ПДн, могут проводиться кратковременные курсы во внешних специализированных организациях.
Для обучения остальных категорий персонала, участвующих в процессах обработки ПДн, должны проводиться:
внутренние семинары;
инструктажи.
Внутренние семинары проводятся ответственными за обеспечение безопасности ПДн, приглашенными специалистами, а также другими подготовленными лицами. На всех семинарах следует использовать презентации.
Инструктажи проводятся в отношении отдельных лиц, по мере необходимости Администраторами ИСПДн, ответственными за обеспечение безопасности ПДн.
11.4. Учения проводятся для закрепления практических навыков реагирования на возникающие угрозы и могут проводиться как для отдельных структурных подразделений Архивной службы и госархивов, так и для Архивной службы и госархивов в целом.
11.5. При необходимости разрабатыватываются инструкции, описывающие особенности обработки ПДн в каждой ИСПДн, для отдельных категорий (групп) персонала.
12. Допуск персонала к обработке ПДн
При допуске к ПДн необходимо руководствоваться приказом о допуске к обработке ПДн.
Доступ конкретных лиц к ПДн и ИСПДн осуществляется на основании служебных записок (заявок). Служебные записки на доступ учитываются и хранятся в структурных подразделениях Архивной службы и госархивов.
Конкретный регламент предоставления доступа должен быть определен в Инструкции по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационной системы персональных данных.
13.Уничтожение ПДн
В соответствии с нормативными актами РФ ПДн должны быть уничтожены:
по требованию субъекта ПДн, в определенных законом случаях;
при истечении срока хранения;
в случае выявления неправомерных действий с персональными данными и невозможности устранения допущенных нарушений;
в случае достижения цели обработки ПДн;
в случае утраты необходимости достижения цели обработки.
Контроль сроков хранения, целей обработки ПДн производится на основании допустимых сроков хранения и допустимых целей, указанных для конкретных категорий ПДн в руководящих документах.
Владельцы ИСПДн и процессов обработки ПДн принимают решение об уничтожении ПДн и осуществляют организацию и проведение уничтожения.
Порядок уничтожения ПДн регламентируется нормативными документами Архивной службы.
Об уничтожении ПДн уведомляется субъект ПДн.
После проведенного уничтожения подготовливается акт об уничтожении ПДн
14. Организация работы с носителями ПДн
14.1. Для организации документооборота связанного с ПДн, в Архивной службе и госархивах должны быть упорядочены и регламентированы следующие работы, связанные с ПДн:
оформление носителей, содержащих персональные данные;
учет носителей, содержащих персональные данные;
обращение с носителями, содержащими персональные данные;
систематизация носителей, содержащих персональные данные;
хранение носителей, содержащих персональные данные;
подготовка носителей, содержащих персональные данные для передачи их в архив;
подготовка носителей, содержащих персональные данные, для их уничтожения;
проверка наличия носителей, содержащих персональные данные;
распечатка ПДн.
14.2. Должны регламентироваться работы с ПДн в виде документов на:
бумажных носителях;
электронных съемных носителях;
электронных несъемных носителях, используемых в технических средствах ИСПДн.
Порядок работ с носителями ПДн должен быть регламентирован в соответствующих документах.
15.Контроль изменений в составе и структуре ИСПДн
15.1. Все изменения в составе и структуре ИСПДн должны контролироваться и регламентироваться.
Контролю подлежат следующие изменения:
внесение новых устройств в состав ИСПДн (АРМ, серверов, сетевого и телекоммуникационного оборудования и т.п.);
изменение мест включения существующих компонент ИСПДн;
удаление устройства из состава ИСПДн;
изменение мест установки устройства из состава ИСПДн;
прокладка новых кабельных линий связи СКС и внешних линий связи или удаление старых кабельных линий связи;
существенное изменение состава и конфигурации системного и прикладного программного обеспечения, участвующего в обработке ПДн;
создание новых и изменение существующих технологических процессов связанных с обработкой ПДн.
15.2. Все запросы на изменения должны выполняться в соответствии с разработанными формальными процедурами. Результаты всех изменений должны оцениваться и документироваться.
Должны применяться процедуры, гарантирующие, что все потенциальные изменения оцениваются с точки зрения возможных негативных последствий для эксплуатации системы и ее функциональности.
Каждое изменение состава ИСПДн, типов технических средств, топологии ИСПДн должно отслеживаться и анализироваться на предмет соответствия требованиям по защите ИСПДн. При необходимости должна производиться модернизация СЗПДн.
16.Защита от несанкционированного физического доступа к элементам ИСПДн
16.1. Мероприятия по физическому контролю доступа включают:
контроль доступа на территорию;
контроль доступа в помещения с оборудованием ИСПДн;
контроль доступа к техническим средствам ИС;
контроль перемещений физических компонентов ИСПДн.
16.2. Помещения с серверным, телекоммуникационным и сетевым оборудованием ИСПДн должны иметь прочные входные двери с надежными автоматическими замками. Двери должны быть постоянно закрыты на замок и открываться только для санкционированного прохода сотрудников.
Двери помещений, в которых размещаются АРМ пользователей ИСПДн, должны быть оборудованы замками.
Нахождение в помещении лиц, не участвующих в технологических процессах обработки ПДн (обслуживающий персонал, другие сотрудники), должно допускаться только в присутствии сотрудников, участвующих в соответствующих технологических процессах.
Расположение мониторов рабочих станций должно препятствовать их несанкционированному просмотру другими лицами, не являющимися пользователями ИСПДн.
В нерабочее время, по окончании рабочего дня двери помещений должны быть закрыты на замок.
16.2. При выносе устройств, хранящих ПДн, за пределы контролируемой зоны для ремонта, замены и т.п. должно быть обеспечено гарантированное уничтожение информации, хранимой на этих устройствах.
В отношении некоторых ИСПДн возможны дополнительные, либо более низкие требования по физической защите. Состав таких требований определяется по результатам разработки модели угроз и нарушителя и ТЗ (СТЗ, ЧТЗ) на создание СЗПДн. Мероприятия по защите таких ИСПДн определяются эксплуатационной (проектной) документацией.
16.3. Мероприятия по контролю доступа должны исключить неконтролируемое нахождение посетителей в Архивной службе и госархивах.
Учет посетителей в Архивной службе и госархивах осуществляется путем внесения персональных данных посетителя в журнал учета посетителей (далее – Журнал).
В Журнал вносятся следующие персональные данные:
фамилия, имя и отчество посетителя;
место жительства посетителя;
серия, номер и дата выдачи паспорта или иного документа, удостоверяющего личность посетителя.
Персональные данные посетителей обрабатываются в целях учета и однократного пропуска посетителей для обеспечения пропускного режима.
Действия, совершаемые с персональными данными посетителей в целях обеспечения пропускного режима, осуществляются без использования средств автоматизации и включают в себя сбор, хранение, использование, уточнение, уничтожение персональных данных.
Срок обработки персональных данных посетителей исчисляется с даты регистрации посетителя в Журнале и заканчивается датой, следующей за днем истечения срока хранения Журнала (3 года).
Персональные данные посетителя заносятся в Журнал не более одного раза в каждом случае его пропуска в Архивную службу и госархивы.
Согласие на обработку персональных данных на вышеуказанных условиях посетитель предоставляет путем проставления подписи в соответствующей графе Журнала. Согласие на обработку персональных данных может быть отозвано посетителем путем направления в адрес Архивной службы и госархивов письменного уведомления об отзыве согласия на обработку персональных данных.
17. Резервирование ПДн
Резервирование ПДн должно обеспечить возможность восстановления информации при нарушении целостности основных хранилищ данных.
В регламенте процесса резервирования должны быть учтены следующие вопросы:
порядок резервирования;
ответственные за резервирование;
порядок восстановления информации после аварий;
порядок хранения резервных копий.
Резервированию должна подвергаться информация на серверах ИСПДн.
Резервирование должно осуществляться на магнитные ленты или другие носители информации с соответствующим уровнем надежности и долговечности.
Хранение резервных копий должно осуществляться в надежных сейфах (металлических шкафах). Хранение (по возможности) должно осуществляться в месте, территориально удаленном от основного хранилища информации.
Доступ к резервным копиям должен быть строго регламентирован.
18.Контроль за обеспечением необходимого уровня защищенности ПДн
18.1. Для эффективности процесса обеспечения безопасности ПДн проводится:
контроль за соблюдением требований по обработке и защите персональных данных;
контроль за соблюдением условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;
контроль эффективности средств защиты ПДн.
18.2. Контрольные мероприятия могут быть:
текущими;
внезапными;
плановыми внешними;
плановыми внутренними.
18.3. Ответственность за текущий контроль эффективности обеспечения безопасности ПДн возлагается на администраторов ИСПДн.
Ответственность за плановый контроль эффективности обеспечения безопасности ПДн возлагается на ответственных за обеспечение безопасности ПДн. Данные проверки должны включаться в план аудитов информационной безопасности на год.
Для планового контроля эффективности СЗПДн должны использоваться средства выявления уязвимостей информационной безопасности.
Внезапные проверки эффективности при необходимости могут проводиться специальными группами по решению ответственных за обеспечение безопасности ПДн.
При проведении контроля эффективности в общем случае должно проверяться:
наличие установленных средств защиты информации;
корректность настроек средств защиты информации;
выполнение пользователями и администраторами требований инструктивных материалов по защите ПДн;
исполнение требований к процедурам обработки ПДн (уничтожению ПДн, сбору согласий, допуску персонала к ПДн и т.п.);
правильность организации работы с носителями ПДн;
правильность обращения ключевой информации;
соответствие системы защиты ПДн реальному положению дел в Архивной службе и госархивах и т.п.
19.Реагирование на нештатные ситуации
19.1. Для эффективного реагирования на нештатные ситуации, возникающие при обработке ПДн, в Архивной службе и госархивах должны быть регламентированы следующие вопросы:
порядок определения нештатной ситуации;
порядок оповещения сотрудников при возникновении различных нештатных ситуаций;
порядок действий по нейтрализации нештатных ситуаций, сведения их негативных последствий к минимуму.
Разработанные порядки действий в нештатных ситуациях должны регулярно (не реже 1-2 раз в год) проверяться посредством проведения учений с корректировкой порядков по результатам проведенных проверок.
19.2. В Архивной службе и госархивах должны проводиться расследования инцидентов, связанных с несанкционированным доступом и другими несанкционированными действиями.
В рамках данного процесса должны решаться следующие задачи:
расследование инцидентов, связанных с безопасностью ПДн;
ликвидация последствий инцидентов, связанных с безопасностью ПДн;
принятие мер по недопущению возникновения подобных инцидентов в дальнейшем.
Реагирование на нештатные ситуации должно производиться в соответствии с Инструкцией по действиям персонала в нештатных ситуациях.
20.Контроль лояльности персонала
В Архивной службе и госархивах должен проводиться комплекс мероприятий, направленных на исключение присутствия злоумышленников среди администраторов ИСПДн и ответственных за обеспечение безопасности ПДн, а также возможность сговора двух и более злоумышленников.
Комплекс мероприятий должен включать, в том числе:
проверки работников при приеме на работу;
периодические проверки на лояльность;
периодический мониторинг действий персонала.
Мероприятия по обеспечению безопасности персонала должны обеспечить невозможность злоумышленного сговора двух или более сотрудников Архивной службе и госархивах.
Проверки должны выполняться как в скрытом, так и в явном режиме.
При приеме на работу должны проводиться проверки идентичности личности, точности и полноты биографических фактов и заявляемой квалификации.
21. Нормативные ссылки
Таблица 21.1. Внешние нормативные и распорядительные документы
№ п/п |
Наименование документа |
1 |
|
2 |
Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Страсбург, 28 января 1981 г. |
3 |
Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». |
4 |
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». |
5 |
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». |
6 |
Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи». |
7 |
Федеральный закон от 08 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности». |
8 |
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ТК РФ). |
9 |
Федеральный закон от 28 ноября 2007 г. № 275-ФЗ «О внесении изменений в статьи 5 и 7 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». |
10 |
Гражданский кодекс Российской Федерации (ГК РФ) от 30 ноября 1994 № 51-ФЗ. |
11 |
Федеральный закон от 08 августа 2001 г. № 129-ФЗ (ред. от 23 декабря 2003 г) «О государственной регистрации юридических лиц и индивидуальных предпринимателей». |
12 |
Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации». |
13 |
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждено постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781. |
14 |
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687. |
15 |
Постановление Правительства Российской Федерации от 6 июля 2008 г № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». |
16 |
Постановление Правительства Российской Федерации от 02 июня 2008 г. № 419 «О Федеральной службе по надзору в сфере связи и массовых коммуникаций». |
17 |
Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации». |
18 |
Постановление Правительства Российской Федерации от 23 сентября 2002 г. № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». |
19 |
Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Перечень сведений конфиденциального характера». |
20 |
Положение о государственном лицензировании деятельности в области защиты информации от 27 апреля 1994 г. № 10. |
21 |
Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России и Миниинформсвязи России от 13 февраля 2008 г. № 55/86/20. |
22 |
Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения, Архивная служба России. |
23 |
ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью. |
24 |
Международный стандарт ИСО/МЭК 27001-2005 Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования. |
25 |
ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. |
26 |
ГОСТ Р 51583-2000 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. |
27 |
ГОСТ Р 50922-2006 Защита информации. Основные термины и определения. |
28 |
ГОСТ Р ИСО/МЭК 13335 Информационная технология. Методы и средства обеспечения безопасности. |
29 |
ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. |
30 |
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), Гостехкомиссия России, 2002 г. |
31 |
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г. |
32 |
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г. |
33 |
РД Гостехкомиссии России. «Защита от несанкционированного доступа к информации. Термины и определения», 1992 г. |
34 |
РД Гостехкомиссии России. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», 1997 г. |
35 |
РД Гостехкомиссии России. «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», 1999 г. |
36 |
РД Гостехкомиссии России. «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» 1992 г. |
37 |
РД Гостехкомиссии России. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992 г. |
38 |
Положение по аттестации объектов информатизации по требованиям безопасности информации, Гостехкомиссия России, 1994 г. |
39 |
Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. Введена в действие приказом от 13 июня 2001 года № 152 (ФАПСИ). |
40 |
Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005). Введено приказом ФСБ России от 9 февраля 2005 г. № 66. |
41 |
Требования к средствам криптографической защиты конфиденциальной информации, ФСБ России. |
42 |
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г., № 149/54-144. |
43 |
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г., № 149/6/6-622. |
[1] Сотрудники, осуществляющие конфигурацию, настройку и управление программными, техническими, программно-аппаратными средствами ИСПДн, в том числе средствами защиты ПДн
[2] Учетность
свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта (ИСО 7498–2:99);
обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту.
[3] Аутентичность
свойство обеспечения идентичности субъекта или ресурса заявленной идентичности. Аутентичность применяется к таким субъектам как пользователи, процессы, системы и информация (ISO/IEC 13335–1:2004);
идентичность объекта тому, что заявлено.
[4] Адекватность
свойство соответствия преднамеренному поведению и результатам (ISO/IEC 13335–1:2004).
[5] Сотрудники, осуществляющие конфигурацию, настройку и управление программными, техническими, программно-аппаратными средствами ИСПДн, в том числе средствами защиты ПДн
[6] Для ИСПДн 4 класса создание СЗПДн не обязательно (по решению руководства Администрации)
[7] Объем необходимых мероприятий определяется ответственными за обеспечение безопасности ПДн