Русский Английский Немецкий Французский Итальянский

8 (49238) 2-15-65
 Факс -->  2-10-62

601481 Владимирская область, город Гороховец, ул.Ленина , д.93

       

 

Политика администрации Гороховецкого района в отношении обработки персональных данных
 
 
ПОЛИТИКА
администрации Гороховецкого района в отношении
обработки персональных данных
 

1. Термины и определения

Персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.
Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
 
 

2. Назначение и правовая основа документа

Политика обработки ПДн (далее -  Политика) администрации Гороховецкого района (далее - Администрация) определяет систему взглядов на проблему обеспечения безопасности ПДн и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется Администрация в своей деятельности, а также основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности ПДн.
Правовой основой настоящей Политики являются:
-Конституция Российской Федерации;
-Гражданский кодекс Российской Федерации;
-Уголовный кодекс Российской Федерации;
-Трудовой кодекс Российской Федерации;
-Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - 152-ФЗ);
-Федеральный закон от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации»,
-Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
-Федеральный закон от 27.07.2010 №210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
-Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
-Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом  «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами,  являющимися государственными или муниципальными органами»;
-Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
-Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
- Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ»);
- Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»;
-законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы ФСТЭК и ФСБ России.
Использование данной Политики в качестве основы для построения комплексной системы информационной безопасности ПДн Администрации позволит оптимизировать затраты на ее построение.
При разработке Политики учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации.
Основные положения Политики базируются на качественном осмыслении вопросов безопасности информации и не затрагивают вопросов экономического (количественного) анализа рисков и обоснования необходимых затрат на защиту информации.
Основными объектами системы безопасности ПДн в Администрации являются:
- информационные ресурсы с ограниченным доступом, содержащие ПДн;
- процессы обработки ПДн в ИСПДн Администрации, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал;
- информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых расположены технические средства обработки ПДн.
 
3.Интересы затрагиваемых субъектов информационных отношений
 
Субъектами информационных отношений при обеспечении безопасности ПДн Администрации являются:
-муниципальные служащие Администрации;
-руководители муниципальных учреждений и предприятий;
-заявители (для оказания муниципальных услуг и рассмотрения обращений);
-граждане, претендующие на замещение должности муниципальной службы;
-граждане, входящие в кадровый резерв администрации;
-Администрация, как собственник информационных ресурсов;
- руководство и сотрудники Администрации, в соответствии с возложенными на них функциями;
- физические лица, не являющиеся сотрудниками Администрации, но имеющими с ней отношения.
Перечисленные субъекты информационных отношений заинтересованы в обеспечении:
- своевременного доступа к необходимым им ПДн (их доступности);
- достоверности (полноты, точности, адекватности, целостности) ПДн;
- конфиденциальности (сохранения в тайне) ПДн;
- защиты от навязывания им ложных (недостоверных, искаженных) ПДн;
- разграничения ответственности за нарушения их прав (интересов) и установленных правил обращения с ПДн;
- возможности осуществления непрерывного контроля за процессами обработки и передачи ПДн;
- защиты ПДн от незаконного распространения.
3.1. Принципы и цели защиты
3.1.1 Обработка персональных данных в администрации Гороховецкого района основана на следующих принципах:
 -соблюдение законности целей и способов обработки персональных данных;
-ограничения обработки персональных данных достижением конкретных, заранее определенных целей;
- соответствие целей обработки персональных данных целям сбора персональных данных, содержанию и объему обрабатываемых персональных данных;
- обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
- соблюдение прав субъекта персональных данных на доступ к его персональным данным;
- ПДн, цели обработки которых не совместимы, не объединяются;
-хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн;
- ПДн уничтожаются или обезличиваются при достижении целей их обработки, утрате необходимости в достижении этих целей или окончании срока хранения ПДн, определенного, согласием на обработку ПДн, федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
3.1.2 В целях обеспечения выполнения обязанностей, предусмотренных Федеральным законом 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами Администрация:
-назначает ответственного за организацию обработки ПДн;
-утверждает настоящую Политику, а также внутренние нормативные и распорядительные документы по вопросам обработки ПДн, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
-применяет правовые, организационные и технические меры по обеспечению безопасности ПДн;
-осуществляет внутренний контроль соответствия обработки ПДн требованиям 152-ФЗ, принятых в соответствии с ним нормативных правовых актов, внутренних нормативных и распорядительных документов Администрации, регулирующих обработку ПДн;
-проводит оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Администрацией требований законодательства в области ПДн, соотношение указанного вреда и принимаемых Администрацией мер, направленных на обеспечение выполнения своих обязанностей, предусмотренных законодательством в области ПДн;
-ознакамливает своих работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации в области ПДн, в том числе с требованиями к защите ПДн, внутренними нормативными и распорядительными документами Администрации, регулирующими обработку ПДн;
-публикует настоящую Политику на официальном сайте Администрации, обеспечивая беспрепятственный доступ к ней неограниченного круга лиц;
- основной целью, на достижение которой направлены все положения настоящей Политики, является защита субъектов информационных отношений Администрации от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на ПДн, их носители, процессы обработки и передачи.
3.1.3 Защита субъектов информационных отношений Администрации достигается посредством обеспечения и постоянного поддержания следующих свойств ПДн:
-доступности для легальных пользователей (устойчивого функционирования информационных систем Администрации, при котором пользователи имеют возможность получения необходимых ПДн и результатов решения задач за приемлемое для них время);
- целостности и аутентичности (подтверждение авторства) ПДн, хранимых и обрабатываемых в информационных системах Администрации и передаваемой по каналам связи;
- конфиденциальности - сохранения в тайне определенной части ПДн, хранимых, обрабатываемых и передаваемых по каналам связи.
Необходимый уровень доступности, целостности и конфиденциальности ПДн обеспечивается соответствующими множеству значимых угроз методами и средствами, при соблюдении следующих условий:
1) Администрацией Гороховецкого района осуществляется:
- неавтоматизированная обработка персональных данных;
- смешанная обработка персональных данных с передачей по внутренней сети, с передачей по информационно-телекоммуникационной сети «Интернет»;
2) обработка персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уничтожение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;
3) обработка персональных данных осуществляется с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
4) обработка биометрических персональных данных не осуществляется;
5) передача третьим лицам и распространение персональных  данных осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации;
6) Специальные категории персональных данных обрабатываются только при наличии согласия субъекта персональных данных или в случаях установленных законодательством Российской Федерации;
7) Трансграничная передача персональных данных не осуществляется;
8) Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом;
9) Сроки хранения персональных данных определяются в соответствии с законодательством Российской Федерации;
10) Условием прекращения персональных данных являются:
- достижение целей обработки персональных данных, если иное не предусмотрено федеральным законом;
- истечение срока действия или отзыв согласия субъекта персональных данных на обработку его персональных данных;
-  выявление неправомерной обработки персональных данных.
11) Необходимый уровень доступности, целостности и конфиденциальности ПДн обеспечивается соответствующими множеству значимых угроз методами и средствами.
3.2.Основные задачи системы обеспечения безопасности ПДн
Для достижения основной цели защиты и обеспечения указанных свойств ПДн система обеспечения информационной безопасности Администрации должна обеспечивать эффективное решение следующих задач:
-своевременное выявление, оценку и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационных систем Администрации;
- создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
- создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;
- защиту от вмешательства в процесс функционирования информационных систем посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);
- разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам Администрации (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа;
- обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
- защиту от несанкционированной модификации используемых в информационных системах Администрации программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
- защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
 - хранение  ПДн субъекта, независимо от формы их представления,ПДн на бумажных носителях хранятся Ответственным сотрудником в специально оборудованных шкафах и сейфах, которые запираются и опечатываются;
 - в процессе хранения ПДн субъектов ПДн Администрация осуществляет контроль за достоверностью и полнотой ПДн, их регулярное обновление и внесение по мере необходимости соответствующих изменений;
- уничтожение обрабатываемых персональных данных осуществляется по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом, в случае невозможности обеспечения правомерности обработки персональных данных.
3.3. Основные пути решения задач системы защиты
Поставленные основные цели защиты и решение перечисленных выше задач достигаются:
-строгим учетом всех подлежащих защите ресурсов информационных систем Администрации (информации, задач, документов, каналов связи, серверов, автоматизированных рабочих мест);
-журналированием действий персонала, осуществляющего обслуживание и модификацию программных и технических средств информационных систем;
-полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов Администрации по вопросам обеспечения безопасности информации;
-подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности ПДн и процессов их обработки;
 - ознакомлением сотрудников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации, постановлениями администрации Гороховецкого района о порядке обработке персональных данных и требованиях к обеспечению безопасности персональных данных;
-наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к информационным ресурсам Администрации;
-четким знанием и строгим соблюдением всеми пользователями информационных систем Администрации требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
-персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей, имеющего доступ к информационным ресурсам Администрации;
-непрерывным поддержанием необходимого уровня защищенности элементов информационной среды;
-применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
-эффективным контролем над соблюдением пользователями информационных ресурсов требований по обеспечению безопасности информации;
-юридической защитой интересов Администрации при взаимодействии с внешними организациями (связанном с обменом ПДн) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц;
 - обеспечением поддержания в актуальном состоянии организационно-распорядительных документов по работе с персональными данными и их защите;
- решением об уничтожении документов, содержащих персональные данные, принимают руководители структурных подразделений, в которых осуществляется обработка персональных данных. По окончании процедуры уничтожения составляется соответствующий акт с указанием даты и основания уничтожения.

4. Построение системы, обеспечения безопасности ПДн Администрации, и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

4.1.Законность
Предполагает осуществление защитных мероприятий и разработку системы безопасности ПДн Администрации в соответствии с действующим законодательством в области защиты ПДн, а также других законодательных актов по безопасности информации РФ, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с ПДн. Принятые меры безопасности ПДн не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях.
Все пользователи ИСПДн должны иметь представление об ответственности за правонарушения в области обработки ПДн.
4.2. Системность
Системный подход к построению системы защиты информации в ИСПД предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн.
При создании системы защиты должны учитываться все слабые и наиболее уязвимые места ИСПДн, а также характер, возможные объекты и направления атак на нее со стороны нарушителей (особенно высококвалифицированных злоумышленников).
Система защиты должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
4.3.Комплексность
Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами.
4.4.Непрерывность защиты
Обеспечение безопасности ПДн - процесс, осуществляемый руководством Администрации, ответственными за организацию обработки ПДн и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность средств защиты, сколько процесс, который должен постоянно идти на всех уровнях внутри Администрации и каждый сотрудник должен принимать участие в этом процессе. Деятельность по обеспечению информационной безопасности является составной частью повседневной деятельности Администрации. И ее эффективность зависит от участия руководства Администрации в обеспечении информационной безопасности ПДн.
Кроме того, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления защиты.
4.5. Своевременность
Предполагает упреждающий характер мер обеспечения безопасности ПДн, то есть постановку задач по комплексной защите ПДн и реализацию мер обеспечения безопасности ПДн на ранних стадиях разработки информационных систем в целом и их систем защиты, в частности.
Разработка системы защиты должна вестись параллельно с разработкой и развитием самих защищаемых информационных систем. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) системы, обладающие достаточным уровнем защищенности.
4.6.Преемственность и совершенствование
Предполагает постоянное совершенствование мер и средств защиты ПДн на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационных систем Администрации и системы их защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
4.7.Разумная достаточность (экономическая целесообразность)
Предполагает соответствие уровня затрат на обеспечение безопасности ПДн ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы компонентов ИСПДн Администрации. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока ПДн находятся в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
4.8. Персональная ответственность
Предполагает возложение ответственности за обеспечение безопасности ПДн и системы их обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
4.9. Минимизация полномочий
Означает предоставление пользователям минимальных прав доступа в соответствии со служебной необходимостью. Доступ к ПДн должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.
4.10. Исключение конфликта интересов (разделение функций)
Эффективная система обеспечения информационной безопасности предполагает четкое разделение обязанностей сотрудников и исключение ситуаций, когда сфера ответственности сотрудников допускает конфликт интересов. Сферы потенциальных конфликтов должны выявляться, минимизироваться, и находится под строгим независимым контролем. Реализация данного принципа предполагает, что не один сотрудник не должен иметь полномочий, позволяющих ему единолично осуществлять выполнение критичных операций. Наделение сотрудников полномочиями, порождающими конфликт интересов, дает ему возможность подтасовывать информацию в корыстных целях или с тем, чтобы скрыть проблемы или понесенные убытки. Для снижения риска манипулирования ПДн и риска хищения, такие полномочия должны в максимально возможной степени быть разделены между различными сотрудниками или подразделениями Администрации. Необходимо проводить периодические проверки обязанностей, функций и деятельности сотрудников, выполняющих ключевые функции, с тем, чтобы они не имели возможности скрывать совершение неправомерных действий. Кроме того, необходимо принимать специальные меры по недопущению сговора между сотрудниками.
4.11. Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективе Администрации. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие деятельности ответственного за обработку ПДн.
Важным элементом эффективной системы обеспечения безопасности ПДн в Администрации является высокая культура работы с информацией. Руководство Администрации несет ответственность за строгое соблюдение этических норм и стандартов профессиональной деятельности, подчеркивающей и демонстрирующей персоналу на всех уровнях важность обеспечения информационной безопасности Администрации. Все сотрудники Администрации должны понимать свою роль в процессе обеспечения информационной безопасности и принимать участие в этом процессе. Несмотря на то, что высокая культура обеспечения информационной безопасности не гарантирует автоматического достижения целей, ее отсутствие создает больше возможностей для нарушения безопасности или не обнаружения фактов ее нарушения.
4.12. Гибкость системы защиты
Система обеспечения информационной безопасности должна быть способна реагировать на изменения внешней среды и условий осуществления Администрацией своей деятельности. В число таких изменений входят:
- изменения организационной и штатной структуры Администрации;
- изменение существующих или внедрение принципиально новых информационных систем;
- новые технические средства.
Свойство гибкости системы обеспечения информационной безопасности избавляет в таких ситуациях от необходимости принятия кардинальных мер по полной замене средств и методов защиты на новые, что снижает ее общую стоимость.
4.13.Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это, однако, не означает, что информация об используемых системах и механизмах защиты должна быть общедоступна.
4.14. Простота применения средств защиты
Механизмы и методы защиты должны быть интуитивно понятны и просты в использовании. Применение средств и методов защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций.
4.15. Обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры защиты ПДн должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения достижения заданного уровня безопасности информации и экономической целесообразности, а также должны соответствовать установленным нормам и требованиям по безопасности ПДн.
4.16. Специализация и профессионализм
Предполагает привлечение к разработке средств и реализации мер защиты ПДн специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами Администрации (ответственных за организацию обработки ПДн).
4.17.Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил, обеспечения безопасности ПДн, на основе используемых систем и средств защиты ПДн, при совершенствовании критериев и методов оценки эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.
Кроме того, эффективная система обеспечения информационной безопасности требует наличия адекватной и всеобъемлющей информации о текущем состоянии процессов, связанных с движением информации и сведений о соблюдении установленных нормативных требований, а также дополнительной информации, имеющей отношение к принятию решений. Информация должна быть надежной, своевременной, доступной и правильно оформленной.
Недостатки системы обеспечения информационной безопасности, выявленные сотрудниками Администрации должны немедленно доводиться до сведения руководителя Администрации и оперативно устраняться. Вопросы, которые кажутся незначительными, когда отдельные процессы рассматриваются изолированно, при рассмотрении их наряду с другими аспектами могут указать на отрицательные тенденции, грозящие перерасти в крупные недостатки, если они не будут своевременно устранены.
 4.18 Передача третьим лицам
Администрация Гороховецкого района вправе передать или поручить обработку персональных данных третьим лицам с согласия субъекта персональных данных, если иное не предусмотрено законом, на основании заключаемого с этим лицом договора либо путем принятия администрацией постановления, в котором должны быть определены перечень действий (операций) с персональными данными и цели обработки, должна быть установлена обязанность лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а так же должны быть указаны требования к их защите в соответствии со статьей 19 152-ФЗ.
 
5. Меры обеспечения информационной безопасности
 
Все меры обеспечения безопасности ИСПДн Администрации подразделяются на:
5.1. Законодательные (правовые) меры защиты
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с ПДн, закрепляющие права и обязанности участников информационных отношений в процессе их обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом ИСПДн Администрации. При обработке персональных данных принимаются меры, предусмотренные частями 1, 2 статьи 18.1, частью 1 статьи 19 152-ФЗ.
5.2. Морально-этические меры защиты
К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение может привести к падению авторитета, престижа человека, группы лиц или Администрации в целом. Морально-этические нормы бывают как неписаные, так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективе.
5.3. Технологические меры защиты
К данному виду мер защиты относятся разного рода технологические решения и приемы, основанные на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий.
5.4. Организационные (административные) меры защиты
Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки ПДн, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

6. Формирование политики безопасности

Главная цель административных мер, предпринимаемых на высшем управленческом уровне - сформировать политику в области обеспечения безопасности ПДн (отражающую подходы к защите ПДн) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
С практической точки зрения политику в области обеспечения безопасности ПДн в Администрации целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность Администрации в целом. Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей безопасности ПДн, определить какими ресурсами (материальные, структурные, организационные) они будут достигнуты, и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью.
Политика нижнего уровня, определяет процедуры, и правила достижения целей и решения задач безопасности ПДн и детализирует (регламентирует) эти правила:
- каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности ПДн;
- кто имеет права доступа к ПДн, кто и при каких условиях может читать и модифицировать ПДн и т.д.
Политика нижнего уровня должна:
- предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении информационных ресурсов;
- определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к ПДн;
- выбирать программно-технические (аппаратные) средства противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.
6.1. Регламентация доступа в помещения
Компоненты информационных систем Администрации должны размещаться в помещениях, находящихся под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (документов, АРМ и т.п.). Уборка таких помещений должна производиться в присутствии ответственного сотрудника, за которым закреплены данные компоненты, с соблюдением мер, исключающих доступ посторонних лиц к защищаемым информационным ресурсам.
Все посторонние лица допускаются в помещения с компонентами информационной системы только в присутствии сотрудников Администрации.
При уходе пользователя с рабочего места, помещения в которых размещаются компоненты информационных систем Администрации, должны запираться на ключ, по возможности опечатываться. В конце рабочего дня ключи от служебных помещений, под роспись сдаются оперативному дежурному ЕДДС.
В случае оснащения помещений средствами охранной сигнализации, а также автоматизированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой инструкции.
6.2.Регламентация допуска сотрудников к использованию информационных ресурсов
В рамках разрешительной системы (матрицы) доступа устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях.
Допуск пользователей к работе с информационными системами Администрации доступ к их ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем должны производиться установленным порядком.
Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:
-каждый сотрудник пользуется только предписанными ему правами по отношению к ПДн, с которыми ему необходима работа в соответствии с должностными обязанностями. Расширение прав доступа и предоставление доступа к дополнительным информационным ресурсам, в обязательном порядке, должно согласовываться с ответственным за организацию обработки ПДн;
-руководитель Администрации имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями.
Все сотрудники Администрации должны нести персональную ответственность за нарушения установленного порядка обработки ПДн, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению ПДн Администрации.
Обработка ПДн в компонентах ИСПДн Администрации должна производиться в соответствии с утвержденными технологическими инструкциями.
6.3.Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов
В целях поддержания режима информационной безопасности аппаратно-программная конфигурация автоматизированных рабочих мест сотрудников Администрации, с которых возможен доступ к ресурсам информационной системы, должна соответствовать кругу возложенных на данных пользователей функциональных обязанностей.
В компонентах информационной системы и на рабочих местах пользователей должны устанавливаться и использоваться лицензионные программные средства.
Обработка персональных данных без использования средств автоматизации осуществляется на материальных носителях информации (Далее – материальные носители).
Не допускается фиксация на одном материальном носителе персональных данных с разными целями обработки.
Уточнение персональных данных производиться путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
Запрещается:
Оставлять материальные носители без присмотра или передавать на хранение другим лицам, не имеющим на это полномочий;
Выносить из служебных помещений материальные носители без служебной необходимости.
В информационных системах персональных данных не осуществляется обработка:
- биометрических персональных данных;
- специальных категорий персональных данных, касающихся здоровья.
В случае принятия решения об обработке биометрических персональных данных и специальных категорий персональных данных, такие данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных или в случаях, установленных законодательством Российской Федерации.
В информационных системах не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
6.4. Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов
Оборудование информационных систем, используемое для доступа и хранения ПДн, к которому доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к его компонентам должно закрываться.
6.5.Подбор и подготовка персонала, обучение пользователей
Пользователи ИСПДн Администрации, а также руководители и сотрудники должны быть ознакомлены со своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки ПДн в Администрации.
Обеспечение безопасности ПДн возможно только после выработки у пользователей определенной культуры работы, т.е. норм, обязательных для исполнения всеми, кто работает с информационными ресурсами Администрации. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу компонентов ИСПДн Администрации, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей, владельцев или собственников.
Все пользователи ИСПДн Администрации должны быть ознакомлены с организационно - распорядительными документами по обеспечению безопасности ПДн Администрации, в части, их касающейся, должны знать и неукоснительно выполнять инструкции и знать общие обязанности по обеспечению безопасности ПДн. Доведение требований указанных документов до лиц, допущенных к обработке защищаемых ПДн, должно осуществляться под роспись.
6.6. Ответственность за нарушения установленного порядка пользования ресурсами информационной системы
Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной работы с ПДн, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами по усмотрению руководства Администрации.
Для реализации принципа персональной ответственности пользователей за свои действия необходимы:
- индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора (login, Username), на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
-проверка подлинности пользователей (аутентификация) на основе паролей;
-реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.);
 - сотрудники Администрации района и иные лица, получившие доступ к обрабатываемым персональным данным,  предупреждены о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.

7. Средства обеспечения безопасности ПДн

 Для обеспечения информационной безопасности Администрации используются следующие средства защиты:
 - Физические средства защиты;
- Физические меры защиты основаны на применении разного рода механических, электронных или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемым ПДн, а также технических средств визуального наблюдения, связи и охранной сигнализации.
Для обеспечения физической безопасности компонентов ИСПДн необходимо осуществлять ряд организационных и технических мероприятий, включающих: проверку оборудования, предназначенного для обработки ПДн, на:
- наличие специально внедренных закладных устройств;
- введение дополнительных ограничений по доступу в помещения, предназначенных для хранения и обработки ПДн;
- оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи.
Технические средства защиты.
Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
С учетом всех требований и принципов обеспечения безопасности ПДн по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:
- средства разграничения доступа к данным;
 - средства регистрации доступа к компонентам информационной системы и контроля за использованием информации;
- средства реагирования на нарушения режима информационной безопасности.
На технические средства защиты возлагается решение следующих основных задач:
- идентификация и аутентификация пользователей при помощи имен или специальных аппаратных средств (Advantor, Touch Memory, Smart Card и т.п.);
-регламентация и управление доступом пользователей в помещения, к физическим и логическим устройствам;
- защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;
- регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
- защита данных системы защиты на файловом сервере от доступа пользователей, в чьи должностные обязанности не входит работа с информацией, находящейся на нем.
Средства идентификации и аутентификации пользователей.
В целях предотвращения доступа к ресурсам ИСПДн Администрации посторонних лиц необходимо обеспечить возможность распознавания каждого легального пользователя (или групп пользователей). Для идентификации могут применяться различного рода устройства: магнитные карточки, ключи, ключевые вставки, дискеты и т.п.
Аутентификация (подтверждение подлинности) пользователей также может осуществляться:
- путем проверки наличия у пользователей каких-либо специальных устройств (магнитных карточек, ключей, ключевых вставок и т.д.);
- путем проверки знания ими паролей;
-путем проверки уникальных физических характеристик и параметров самих пользователей при помощи специальных биометрических устройств.
Средства разграничения доступа.
Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.
Технические средства разграничения доступа должны по возможности быть составной частью единой системы контроля доступа:
-компонентам информационной среды Администрации и элементам системы защиты ПДн (физический доступ);
-к информационным ресурсам (документам, носителям информации, файлам, наборам данных, архивам, справкам и т.д.);
-к активным ресурсам (прикладным программам, задачам и т.п.);
-к операционной системе, системным программам и программам защиты.
Средства обеспечения и контроля целостности.
Средства обеспечения целостности включают в свой состав средства резервного копирования, программы антивирусной защиты, программы восстановления целостности операционной среды и баз данных.
Средства контроля целостности информационных ресурсов систем предназначены для своевременного обнаружения модификации или искажения ресурсов системы. Они позволяют обеспечить правильность функционирования системы защиты и целостность хранимой и обрабатываемой информации.
Контроль целостности информации и средств защиты, с целью обеспечения неизменности информационной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной модификации ПДн должен обеспечиваться:
-средствами разграничения доступа (в помещения, к документам, к носителям информации, к серверам, логическим устройствам и т.п.);
-средствами электронной подписи;
-средствами подсчета контрольных сумм (для используемого программного обеспечения).
Средства оперативного контроля и регистрации событий безопасности.
Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение безопасности и привести к возникновению кризисных ситуаций. Анализ собранной средствами регистрации информации позволяет выявить факты совершения нарушений, их характер, подсказать метод его расследования и способы поиска нарушителя и исправления ситуации. Средства контроля и регистрации должны предоставлять возможности:
-ведения и анализа журналов регистрации событий безопасности (системных журналов);
-получения твердой копии (печати) журнала регистрации событий безопасности;
-упорядочения журналов, а также установления ограничений на срок их хранения;
-оперативного оповещения ответственного за организацию обработки ПДн о нарушениях.
При регистрации событий безопасности в журнале должна фиксироваться следующая информация:
-дата и время события;
-идентификатор субъекта, осуществляющего регистрируемое действие;
-действие (тип доступа).
 
8. Контроль эффективности системы защиты
 
Контроль эффективности защиты ПДн осуществляется с целью своевременного выявления и предотвращения утечки ПДн за счет несанкционированного доступа, а также предупреждения возможных специальных воздействий, направленных на уничтожение ПДн, разрушение средств информатизации. Контроль может проводиться привлекаемыми для этой цели организациями, имеющими лицензию на этот вид деятельности.
Оценка эффективности мер защиты ПДн проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
 

 

Сообщение об ошибке
Закрыть
Отправьте нам сообщение. Мы исправим ошибку в кратчайшие сроки.
Расположение ошибки:
Текст ошибки:
Комментарий или отзыв о сайте: