Постановление № №10
от 11 февраля 2013 г.
Об ответственных за обеспечение защиты персональных данных муниципальных служащих и утверждения Положений о работе с персональными данными работников администрации Убеевского сельского поселения Красноармейского района Чувашской Республики
В соответствии с Федеральными законами от 27 июля 2006 г. № 152-ФЗ «О персональных данных», от 02 марта 2007 г. № 25-ФЗ «О муниципальной службе в Российской Федерации», Указом Президента Российской Федерации от 30 мая 2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», Постановлением Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Трудовым кодексом Российской Федерации и Законом Чувашской Республики от 05 октября 2007 № 62 «О муниципальной службе в Чувашской Республике», администрация Убеевского сельского поселения Красноармейского района Чувашской Республики п о с т а н о в л я е т:
1. Установить, что:
- персональные данные, внесенные в личные дела муниципальных служащих, иные сведения, содержащиеся в личных делах муниципальных служащих, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными к сведениям, составляющим нормативными правовыми актами Российской Федерации, государственную тайну;
- муниципальные служащие, имеющие доступ к персональным данным муниципальных служащих (операторы), оформляют письменное обязательство о сохранности и неразглашении персональных данных муниципальных служащих, ставших им известными в связи с исполнением должностных обязанностей;
- получение персональных данных муниципальными служащими, не имеющими права доступа к личным делам, по служебной необходимости возможно только в порядке, согласованном с главой администрации Убеевского сельского поселения Красноармейского района, и с одновременным информированием об этом муниципальных служащих, данные на которых запрашиваются;
- в личное дело муниципального служащего вносятся его персональные данные и иные сведения, связанные с поступлением на муниципальную службу, ее прохождением и увольнением с муниципальной службы и необходимые для обеспечения деятельности администрации Убеевского сельского поселения Красноармейского района;
- личное дело муниципального служащего ведется ведущим специалистом-экспертом администрации Убеевского сельского поселения Убеевского сельского поселения Красноармейского района;
- обработка персональных данных муниципальных служащих проводится в течение одного месяца с момента приема документов в администрацию Убеевского сельского поселения Красноармейского района.
2. Утвердить Положение об обработке и защите персональных данных получателей муниципальных услуг в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики (приложение № 1).
3. Утвердить Положение об обработке и защите персональных данных работников администрации Убеевского сельского поселения Красноармейского района Чувашской Республики (приложение № 2).
4. Утвердить форму Обязательства о неразглашении конфиденциальной информации (персональных данных) (Приложение № 3).
5. Утвердить Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Убеевского сельского поселения Красноармейского района Чувашской Республики (Приложение № 4).
6. Ведущему специалисту-эксперту Алексеевой А.А. . организовать работу по заполнению формы обязательства «О неразглашении конфиденциальной информации (персональных данных)» работниками администрации Убеевского сельского поселения Красноармейского района, работающими с персональными данными (приложение № 3).
7. Возложить ответственность за обеспечение защиты персональных данных муниципальных служащих в администрации Убеевского сельского поселения Красноармейского района (далее – муниципальных служащих) на ведущего специалиста-эксперта Алексееву А.А.
8. Определить ответственным за обработку персональных данных муниципальных служащих Алексееву А.А., ведущего специалиста-эксперта администрации.
9. Определить ответственным за информационную систему персональных данных муниципальных служащих Гаврилову Р.Н., специалиста-эксперта администрации.
10. Контроль за исполнением настоящего постановления оставляю за собой.
Глава Убеевского
сельского поселения Ю.В.Степанов
Приложение № 1
к постановлению администрации Убеевского сельского поселения от 11.02.2013 № 10
ПОЛОЖЕНИЕ
об обработке и защите персональных данных получателей муниципальных услуг в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики
1. Общие положения.
1.1. Настоящее Положение об обработке и защите персональных данных получателей муниципальных услуг в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики (далее - Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики в соответствии с законодательством Российской Федерации.
1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативными актами, действующими на территории Российской Федерации.
2. Основные понятия.
Для целей настоящего Положения используются следующие понятия:
2.1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (пункт 1 статьи 3 Федерального закона «О персональных данных»).
2.2. Под разглашением понимается умышленное или неумышленное (неосторожное) действие лица, приведшие к ознакомлению (оглашению) с конфиденциальными сведениями лиц, не имеющих в установленном порядке допуска к конфиденциальным сведениям.
2.3. Третьи лица – лица, не имеющие в установленном порядке допуска к конфиденциальным сведениям.
2.4. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
2.5. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.6. Использование персональных данных - действия (операции) с персональными данными, совершаемые работодателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права свободы субъекта персональных данных или других лиц.
2.7. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
2.8. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
2.9. К персональным данным относятся:
2.9.1. Сведения, содержащиеся в документе, удостоверяющем личность.
2.9.2. Информация, содержащаяся в трудовой книжке.
2.9.3. Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования.
2.9.4. Сведения, содержащиеся в документах воинского учета.
2.9.5. Сведения об образовании, квалификации или наличии специальных знаний или подготовки.
2.9.6. Информация медицинского характера, в случаях, предусмотренных законодательством.
2.9.7. Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации.
2.9.8. Сведения о семейном положении.
2.9.9. Сведения о доходах и имуществе.
2.9.10. Сведения о гражданах, нуждающихся в улучшении жилищных условий, имеющих право на государственную поддержку на строительство (приобретение) жилых помещений
2.9.11. Сведения о государственной регистрации рождения, заключения и расторжения брака, усыновления (удочерения), установления отцовства, перемены имени, смерти.
2.9.12. Сведения об усыновлении (удочерении) ребенка.
2.9.13. Прием граждан по личным вопросам.
2.9.14. Сведения о предоставлении земельных участков.
2.9.15. Сведения муниципального архива.
2.9.16. Сведения по обращениям граждан.
2.9.17. Сведения о приватизации жилых помещений.
2.9.18. Иные персональные данные необходимые для исполнения своих функций сотрудником администрации Убеевского сельского поселения Красноармейского района.
3. Обработка персональных данных.
3.1. Получение персональных данных:
3.1.1. Все персональные данные получателей муниципальных услуг следует получать лично у заявителей. Если персональные данные получателей муниципальных услуг (членов семьи заявителя) возможно получить только у третьей стороны (заявителя), то получатель должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
3.1.2. Работник администрации Убеевского сельского поселения Красноармейского района Чувашской Республики должен сообщить получателю муниципальной услуги о проверке персональных данных, взять письменное согласие на их проверку.
3.2. Хранение персональных данных получателей муниципальной услуги осуществляется администрацией Убеевского сельского поселения Красноармейского района Чувашской Республики на бумажных и электронных носителях.
3.3. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
4. Передача персональных данных получателей муниципальных услуг администрацией Убеевского сельского поселения Красноармейского района Чувашской Республики третьим лицам и сторонним организациям.
4.1. Работники администрации Убеевского сельского поселения Красноармейского района Чувашской Республики вправе передавать персональные данные (запрашивать необходимую информацию с использованием персональных данных) третьим лицам и сторонним организациям только при наличии письменного согласия получателя муниципальной услуги.
4.2. При передаче персональных данных получателей муниципальной услуги лица (организации), получающие данную информацию, должны быть предупреждены работником администрации Убеевского сельского поселения Красноармейского района Чувашской Республики о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
5. Право доступа к персональным данным в пределах администрации Убеевского сельского поселения Красноармейского района.
Право доступа к персональным данным получателей муниципальных услуг определяется распоряжением главы администрации Убеевского сельского поселения Красноармейского района Чувашской Республики.
6. Ответственность за разглашение персональных данных получателей муниципальных услуг.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Приложение № 2
к постановлению администрации Убеевского сельского поселения от 11.02.2013 № 10
ПОЛОЖЕНИЕ
об обработке и защите персональных данных работников администрации Убеевского сельского поселения Красноармейского района Чувашской Республики
1. Общие положения.
1.1. Положение о защите персональных данных работников администрации Убеевского сельского поселения Красноармейского района Чувашской Республики (далее - Положение) разработано с целью защиты информации, относящейся к личности и личной жизни работников администрации Убеевского сельского поселения Красноармейского района Чувашской Республики (далее – работники), в соответствии со статьей 24 Конституции Российской Федерации, Трудовым кодексом Российской Федерации и Федеральными законами от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.006 № 152-ФЗ «О персональных данных».
1.2. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.3. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
1.4. Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
1.5. К персональным данным работника, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах работников:
а) письменное заявление с просьбой о поступлении на муниципальную службу (иную должность);
б) собственноручно заполненная и подписанная гражданином Российской Федерации анкета установленной формы с приложением фотографии;
в) документы о прохождении конкурса на замещение вакантной должности муниципальной службы (если гражданин назначен на должность по результатам конкурса);
г) копия паспорта и копии свидетельств о государственной регистрации актов гражданского состояния;
д) копия трудовой книжки или документа, подтверждающего прохождение военной или иной службы;
е) копии документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);
ж) копии решений о награждении государственными наградами, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);
з) копия распоряжения о назначении на должность муниципальной службы (принятии на должность);
и) экземпляр трудового договора, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в трудовой договор;
к) копии распоряжений о переводе на иную должность, о временном замещении им иной должности;
л) копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
м) копия распоряжения об увольнении с должности, о прекращении трудового договора или его приостановлении;
н) аттестационный лист муниципального служащего, прошедшего аттестацию, и отзыв об исполнении им должностных обязанностей за аттестационный период;
о) экзаменационный лист муниципального служащего и отзыв об уровне его знаний, навыков и умений (профессиональном уровне);
п) копии документов о присвоении муниципальному служащему классного чина муниципальной службы;
р) копии документов о включении муниципального служащего в кадровый резерв, а также об исключении его из кадрового резерва;
с) копии распоряжений о поощрении работника, а также о наложении на него дисциплинарного взыскания до его снятия или отмены;
т) копии документов о начале служебной проверки, ее результатах, об отстранении муниципального служащего от замещаемой должности муниципальной службы;
у) документы, связанные с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности муниципальной службы связано с использованием таких сведений;
ф) сведения о доходах, имуществе и обязательствах имущественного характера муниципального служащего, супруги (супруга) и несовершеннолетних детей муниципального служащего;
х) копия страхового свидетельства обязательного пенсионного страхования;
ц) копия свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;
ч) копия страхового медицинского полиса обязательного медицинского страхования граждан;
ш) медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению;
щ) справка о результатах проверки достоверности и полноты, представленных муниципальным служащим сведений о доходах, имуществе и обязательствах имущественного характера, а также сведений о соблюдении муниципальным служащим ограничений, установленных федеральными законами.
2. Основные условия проведения обработки персональных данных работников
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания, обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет средств бюджета Красноармейского района в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами.
3. Хранение и использование персональных данных работников
3.1. Персональные данные работников хранятся на бумажных и электронных носителях в помещении администрации Убеевского сельского поселения Красноармейского района Чувашской Республики .
3.2. В процессе хранения персональных данных работников должны обеспечиваться:
требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;
контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
3.3. Доступ к персональным данным работников имеют:
глава администрации Убеевского сельского поселения Красноармейского района Чувашской Республики;
ведущий специалист-эксперт администрации Убеевского сельского поселения;
специалист-эксперт администрации Убеевского сельского поселения;
инспектор по ведению первичного воинского учета администрации;
при переводе из одного структурного подразделения в другое доступ к персональным данным сотрудника может иметь руководитель нового подразделения по согласованию;
сам работник, носитель данных (своих данных).
3.5. Ведущий специалист-эксперт администрации Убеевского сельского поселения Красноармейского района Чувашской Республики осуществляет контроль за хранением персональных данных в соответствии с требованиями к учету и хранению конфиденциальных сведений.
3.4. Ответственным за организацию и осуществление хранения персональных данных работников является ведущий специалист-эксперт администрации Убеевского сельского поселения Красноармейского района Чувашской Республики
3.6. Трудовые книжки работников хранятся в сейфе администрации Убеевского сельского поселения Красноармейского района Чувашской Республики, доступ к которому имеют только глава администрации Убеевского сельского поселения Красноармейского района Чувашской Республики.
Хранение трудовых книжек работников осуществляется в соответствии с Правилами ведения и хранения трудовых книжек, изготовления бланков трудовых книжек и обеспечения ими работодателей, утвержденными Постановлением Правительства Российской Федерации от 16.04.2003 № 225.
4. Передача персональных данных работника
4.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральными законами.
4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия.
4.1.3. Предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
4.1.4. Осуществлять передачу персональных данных работника в пределах администрации Убеевского сельского поселения Красноармейского района Чувашской Республики в соответствии с настоящим Положением, с которым работник должен быть ознакомлен под роспись;
4.1.5. разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
4.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
5. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
5.1. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право:
5.1.1. Получать полную информацию о своих персональных данных и их обработке.
5.1.2. Свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами. Получение указанной информации о своих персональных данных возможно при личном обращении работника администрацию Убеевского сельского поселения Красноармейского района Чувашской Республики.
5.1.3. Определить своих представителей для защиты своих персональных данных.
5.1.4. Доступа к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору.
5.1.5. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации и Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных". Указанное требование должно быть оформлено письменным заявлением работника на имя главы администрации Убеевского сельского поселения Красноармейского района Чувашской Республики. При отказе работодателя исключить или исправить персональные данные работника работник имеет право заявить в письменном виде работодателю о своем несогласии, с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.1.6. Требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.1.7. Обжаловать в суде любые неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
6. Обязанности работника в целях обеспечения достоверности его персональных данных
6.1. В целях обеспечения достоверности персональных данных работники обязаны:
6.1.1. При назначении на муниципальную должность (приеме на должность) представлять ведущему специалисту- эксперту администрации Убеевского сельского поселения Красноармейского района Чувашской Республики достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации.
6.1.2. В случае изменения персональных данных работника: фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом ведущему специалисту-эксперту администрации Убеевского сельского поселения Красноармейского района Чувашской Республики в течение 5 рабочих дней с даты их изменений.
7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, установленных действующим законодательством Российской Федерации и настоящим Положением, несут ответственность, предусмотренную законодательством Российской Федерации.
Приложение № 3
к постановлению администрации Убеевского сельского поселения от 11.02.2013 № 10
ОБЯЗАТЕЛЬСТВО
о неразглашении конфиденциальной информации
(персональных данных)
Я, __________________________________________________________________
(Ф.И.О. работника администрации Красноармейского района Чувашской Республики)
исполняющий (ая) должностные обязанности по замещаемой должности
(должность, занимаемая в администрации Красноармейского района Чувашской Республики)
назначенный(ая) распоряжением администрации Убеевского сельского поселения Красноармейского района Чувашской Республики от «_____» __________ _____ года № ______, предупрежден(а), что на период исполнения должностных обязанностей в соответствии с должностной инструкцией мне будет предоставлен допуск к конфиденциальной информации (персональным данным), не содержащей сведений, составляющих государственную тайну.
Добровольно принимаю на себя обязательства:
1. Не разглашать третьим лицам конфиденциальные сведения, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.
2. Не передавать и не раскрывать третьим лицам конфиденциальные сведения, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.
3. Не использовать конфиденциальные сведения с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты конфиденциальных сведений.
5. Я предупрежден(а), что в случае нарушения данного обязательства буду привлечен(а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.
(подпись) (Ф.И.О.)
«___» ____________ 20___ год
Приложение № 4
к постановлению администрации Убеевского сельского поселения от 11.02.2013 №10
ПОЛОЖЕНИЕ
о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Убеевского сельского поселения Красноармейского района Чувашской Республики
1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
1.1. Автоматизированная информационная система (АС) - система, состоящая из работников и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
1.2. Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
1.3. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.4. Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
1.5. Вредоносная программа (ВП) - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
1.6. Доступ к персональным данным - возможность получения персональных данных и их использования.
1.7. Защита от несанкционированного доступа - предотвращение или существенное затруднение несанкционированного доступа.
1.8. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
1.9. Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
1.10. Информация - сведения (сообщения, данные) независимо от формы их представления.
1.11. Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.12. Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
1.13. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
1.14. Контролируемая зона (КЗ) - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
1.15. Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
1.16. Недекларированные возможности (НДВ) - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
1.17. Несанкционированный доступ к персональным данным (несанкционированные действия), (НСД) - доступ к персональным данным или действия с персональными данными, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
1.18. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.19. Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
1.20. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
1.21. Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
1.22. Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.23. Побочные электромагнитные излучения и наводки (ПЭМИН) - электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
1.24. Пользователь ИСПДн - лицо, участвующее в функционировании ИСПДн или использующее результаты ее функционирования.
1.25. Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
1.26. Программная закладка - код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить персональные данные или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.
1.27. Программное (программно-математическое) воздействие (ПМВ) - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
1.28. Ресурс информационной системы персональных данных - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы персональных данных.
1.29. Средства вычислительной техники (СВТ) - совокупность программных и технических элементов систем обработки персональных данных, способных функционировать самостоятельно или в составе других систем.
1.30. Санкционированный доступ к персональным данным - доступ к персональным данным, не нарушающий правила разграничения доступа.
1.31. Система защиты персональных данных (СЗПДн) - комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности ПДн в ИСПДн.
1.32. Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
1.33. Технический канал утечки информации - совокупность носителя персональных данных (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается информация, содержащая персональные данные.
1.34. Технические средства информационной системы персональных данных (ТС) - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.
1.35. Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
1.36. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.37. Утечка (защищаемой) информации, содержащей персональные данные, по техническим каналам - неконтролируемое распространение персональных данных от носителя персональных данных через физическую среду до технического средства, осуществляющего перехват информации, содержащей персональные данные.
1.38. Целостность информации, содержащей персональные данные, - способность средства вычислительной техники или информационной системы персональных данных обеспечивать неизменность информации, содержащей персональные данные, в условиях случайного и/или преднамеренного искажения (разрушения).
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Убеевского сельского поселения Красноармейского района Чувашской Республики (далее - положение) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом "Об информации, информационных технологиях и защите информации", Федеральным законом "О персональных данных", Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 N 781, Порядком проведения классификации информационных систем персональных данных, утвержденным совместным Приказом Федеральной службы по техническому и экспортному контролю Российской Федерации и определяет содержание и порядок осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн администрации Убеевского сельского поселения Красноармейского района Чувашской Республики, представляющих собой совокупность ПДн, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации.
2.2. Под техническими средствами, позволяющими осуществлять обработку ПДн, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в ИСПДн.
2.3. Безопасность ПДн при их обработке в ИСПДн достигается путем исключения НСД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
2.4. При обработке ПДн в ИСПДн должно быть обеспечено:
- проведение мероприятий, направленных на предотвращение НСД к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов НСД к ПДн;
- недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
- постоянный контроль за обеспечением уровня защищенности ПДн.
2.5. Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в ИСПДн информационные технологии. Для обеспечения безопасности ПДн при обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
2.6. Методы и способы защиты ПДн в ИСПДн устанавливаются ФСТЭК России и ФСБ России в пределах их полномочий.
2.7. Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн оценивается при проведении государственного контроля и надзора.
2.8. Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства.
2.9. Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн включают в себя:
- классификацию ИСПДн;
- определение угроз безопасности ПДн при их обработке в ИСПДн;
- разработку на их основе частной модели угроз применительно к конкретной ИСПДн;
- разработку на основе частной модели угроз СЗПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
- проверку готовности средств защиты ПДн к использованию с составлением заключений о возможности их эксплуатации;
- установку и ввод в эксплуатацию средств защиты ПДн в соответствии с эксплуатационной и технической документацией;
- обучение лиц, использующих средства защиты ПДн, применяемые в ИСПДн, правилам работы с ними;
- учет применяемых средств защиты ПДн, эксплуатационной и технической документации к ним, носителей ПДн;
- учет лиц, допущенных к работе с ПДн в ИСПДн;
- контроль за соблюдением условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;
- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты ПДн, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- описание СЗПДн.
2.10. Размещение ИСПДн, специальное оборудование и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
2.11. Лица, доступ которым к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании распоряжения администрации Убеевского сельского поселения Красноармейского района Чувашской Республики.
2.12. Запросы пользователей ИСПДн на получение ПДн, включая лиц, указанных в п. 2.11 настоящего положения, а также факты предоставления ПДн по этим запросам должны регистрироваться автоматизированными средствами ИСПДн в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется администраторами ИСПДн, а в случае необходимости может быть проверено ответственным за организацию защиты информации.
2.13. При обнаружении ответственным за защиту информации нарушений в порядке обработки и защиты ПДн ставится в известность глава администрации Убеевского сельского поселения Красноармейского района Чувашской Республики
2.14. Глава администрации Убеевского сельского поселения Красноармейского района Чувашской Республики по представлению ответственного за защиту информации должен незамедлительно приостанавливать обработку ПДн в данной ИСПДн до выявления причин нарушений и устранения этих причин.
2.15. Финансирование мероприятий по защите ПДн осуществляется из бюджета администрации Убеевского сельского поселения Красноармейского района Чувашской Республики.
2.16. Настоящее положение не распространяется на ИСПДн, обрабатывающие ПДн, отнесенные в установленном порядке к сведениям, составляющим государственную тайну, а также информационные системы, обрабатывающие информацию с ограниченным доступом (конфиденциальную), не содержащую ПДн.
3. КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Классификация ИСПДн в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн.
3.2. Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).
3.3. Состав, функциональное содержание методов и средств защиты зависит от вида и степени ущерба, возникающего вследствие реализации выявленных угроз безопасности ПДн. При этом ущерб возникает за счет неправомерного или случайного уничтожения, изменения, блокирования, копирования, распространения ПДн или от иных неправомерных действий с ними. В зависимости от объекта, причинение ущерба которому вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба: непосредственный и опосредованный.
3.3.1. Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:
- незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
- потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;
- нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например - рассылка персонифицированных рекламных предложений и т.п.).
3.3.2. Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.
3.4. Классификация ИСПДн проводится Постоянно действующей технической комиссией, назначаемой распоряжением администрации Убеевского сельского поселения Красноармейского района Чувашской Республики, в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, и иными руководящими документами по защите ПДн.
3.5. Проведение классификации ИСПДн включает в себя следующие этапы:
- сбор и анализ исходных данных по ИСПДн;
- присвоение ИСПДн соответствующего класса и его документальное оформление.
3.6. При проведении классификации ИСПДн комиссией учитываются следующие исходные данные:
- категория обрабатываемых ПДн в ИСПДн;
- объем обрабатываемых ПДн (количество субъектов ПДн, ПДн которых обрабатываются в ИСПДн);
- заданные характеристики безопасности ПДн, обрабатываемых в ИСПДн;
- структура ИСПДн;
- наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;
- режим обработки ПДн;
- режим разграничения прав доступа к ИСПДн;
- местонахождение технических средств ИСПДн.
3.7. Исходные данные, указанные в п. 3.6 настоящего положения, ведущим специалистом–экспертом администрации Убеевского сельского поселения Красноармейского района Чувашской Республики.
3.8. В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
3.9. Результаты классификации ИСПДн оформляются муниципальными актами, подписанными членами комиссии, и утверждаются главой администрации Убеевского сельского поселения Красноармейского района Чувашской Республики.
3.10. Класс ИСПДн может быть пересмотрен:
- на основе проведенных отвественным по защите информации анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИСПДн;
- по результатам мероприятий по контролю и надзору уполномоченными органами за выполнением требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
4. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по целям, задачам, месту и времени организационных и технических мероприятий администрации Убеевского сельского поселения Красноармейского района Чувашской Республики, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.
4.2. Разработка мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн администрации Убеевского сельского поселения Красноармейского района Чувашской Республики осуществляется ответственным за защиту информации.
4.3. Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством РФ требованиям, обеспечивающим защиту ПДн.
4.4. Средства защиты ПДн, применяемые в ИСПДн, должны быть сертифицированы в соответствии с требованиями по безопасности ПДн.
4.5. Порядок организации и обеспечения безопасности ПДн в ИСПДн администрации Убеевского сельского поселения Красноармейского района Чувашской Республики включает в себя:
4.5.1. Оценку обстановки.
Оценка обстановки проводится ответственным за защиту информации и определяет возможные способы обеспечения безопасности ПДн. Она основывается на результатах комплексного обследования ИСПДн, по представленным отделом организационного и информационного обеспечения данным об ИСПДн, в ходе которого, прежде всего, проводится категорирование ПДн по важности.
При оценке обстановки определяется необходимость обеспечения безопасности ПДн от угроз:
- уничтожения, хищения аппаратных средств ИСПДн, носителей информации путем физического доступа к элементам ИСПДн;
- утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН);
- перехвата при передаче по проводным (кабельным) линиям связи;
- хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств (в том числе ПМВ);
- воспрепятствования функционированию ИСПДн путем преднамеренного электромагнитного воздействия на ее элементы;
- непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
При оценке обстановки учитывается степень ущерба, который может быть причинен в случае неправомерного использования соответствующих ПДн.
4.5.2. Обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты ПДн проводится в соответствии с действующим законодательством.
4.5.3. Разработку замысла обеспечения безопасности ПДн (осуществляется выбор основных способов защиты ПДн).
4.5.4. Выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты.
При выборе целесообразных способов обеспечения безопасности ПДн, обрабатываемых в ИСПДн, определяются организационные меры и технические (аппаратные, программные и программно-аппаратные) сертифицированные средства защиты.
В соответствии с выявленными отвественным за защиту информации угрозами безопасности ПДн осуществляется планирование и проведение мероприятий, направленных на обеспечение безопасности ПДн при их обработке в ИСПДн администрации Убеевского сельского поселения Красноармейского района Чувашской Республики.
Модель угроз применительно к конкретной ИСПДн разрабатывается ответственным за защиты информации в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 14.02.2008, на основе Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 15.02.2008, по представленным департаментом информатизации необходимым техническим данным об ИСПДн.
4.5.5. Решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты. Предусматривает подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения.
Контроль осуществляется в соответствии с разделом 8 настоящего положения и заключается в проверке администрацией выполнения требований нормативных документов по защите ПДн, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться администрацией в определенной части или на договорной основе сторонними организациями, имеющими соответствующие лицензии на деятельность по технической защите информации.
4.5.6. Обеспечение реализации принятого замысла защиты ПДн.
4.5.7. Планирование мероприятий по защите ПДн. Осуществляется в соответствии с разделом 7 настоящего положения.
4.5.8. Организацию и проведение работ по созданию СЗПДн в рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних лицензированных организаций, решение основных задач взаимодействия.
4.5.9. Разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.
4.5.10. Развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн.
4.5.11. Доработку СЗПДн по результатам опытной эксплуатации.
4.6. В целом обеспечение безопасности ПДн при их обработке в ИСПДн достигается реализацией совокупности организационных и технических мер, причем в интересах обеспечения безопасности ПДн в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных и методических документов по защите ПДн в автоматизированных системах, учитывая при этом, что ПДн отнесены к информации ограниченного доступа.
4.7. В связи с тем что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации.
5. МЕРОПРИЯТИЯ ПО ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В целях осуществления технического обеспечения безопасности ПДн при их обработке в ИСПДн, в зависимости от класса ИСПДн в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики реализовываются следующие мероприятия:
- мероприятия по защите от НСД к ПДн при их обработке в ИСПДн;
- мероприятия по защите информации от утечки по техническим каналам.
5.2. Мероприятия по защите ПДн при их обработке в ИСПДн от НСД и неправомерных действий включают:
- управление доступом;
- регистрацию и учет;
- обеспечение целостности;
- контроль отсутствия НДВ;
- антивирусную защиту;
- обеспечение безопасного межсетевого взаимодействия ИСПДн;
- анализ защищенности;
- обнаружение вторжений.
5.2.1. Подсистему управления доступом, регистрации и учета необходимо реализовывать на базе программных средств блокирования несанкционированных действий, сигнализации и регистрации. Это специальные, не входящие в ядро какой-либо операционной системы программные и программно-аппаратные средства защиты самих операционных систем, электронных баз ПДн и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для ИСПДн действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и имитации.
Средства диагностики осуществляют тестирование файловой системы и баз ПДн, постоянный сбор ПДн о функционировании элементов подсистемы обеспечения безопасности ПДн.
Средства уничтожения предназначены для уничтожения остаточных данных и могут предусматривать аварийное уничтожение данных в случае угрозы НСД, которая не может быть блокирована системой.
Средства сигнализации предназначены для предупреждения операторов при их обращении к защищаемым ПДн и для предупреждения администратора при обнаружении факта НСД к ПДн, искажении программных средств защиты, выходе или выводе из строя аппаратных средств защиты и о других фактах нарушения штатного режима функционирования ИСПДн.
Средства имитации моделируют работу с нарушителями при обнаружении попытки НСД к защищаемым ПДн или программным средствам. Имитация позволяет увеличить время на определение места и характера НСД, что особенно важно в территориально распределенных сетях, и дезинформировать нарушителя о месте нахождения защищаемых ПДн.
5.2.2. Подсистема обеспечения целостности реализуется преимущественно операционными системами и системами управления базами данных. Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций, встраиваемые в операционные системы и системы управления базами данных, основаны на расчете контрольных сумм, уведомлении о сбое в передаче пакета сообщения, повторе передачи непринятого пакета.
5.2.3. Подсистема контроля отсутствия НДВ реализуется в большинстве случаев на базе систем управления базами данных, средств защиты ПДн, антивирусных средств защиты ПДн.
5.2.4. Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку этой информации, применяются средства антивирусной защиты, обеспечивающие:
- обнаружение и (или) блокирование деструктивных вирусных воздействий на общесистемное и прикладное программное обеспечение, реализующее обработку ПДн, а также на ПДн;
- обнаружение и удаление неизвестных вирусов;
- обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.
При выборе средств антивирусной защиты необходимо учитывать следующие факторы:
- совместимость указанных средств со штатным программным обеспечением ИСПДн;
- степень снижения производительности функционирования ИСПДн по основному назначению;
- наличие средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора безопасности информации в ИСПДн;
- возможность оперативного оповещения администратора безопасности информации в ИСПДн обо всех событиях и фактах проявления ПМВ;
- наличие подробной документации по эксплуатации средства антивирусной защиты;
- возможность осуществления периодического тестирования или самотестирования средства антивирусной защиты;
- возможность наращивания состава средств защиты от ПМВ новыми дополнительными средствами без существенных ограничений работоспособности ИСПДн и "конфликта" с другими типами средств защиты ПДн.
Описание порядка установки, настройки, конфигурирования и администрирования средств антивирусной защиты, а также порядка действий в случае выявления факта вирусной атаки или иных нарушений требований по защите от ПМВ должны быть включены в руководство администратора безопасности информации в ИСПДн.
5.2.5. Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии применяется межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами.
5.2.6. Подсистема анализа защищенности реализуется на основе использования средств тестирования (анализа защищенности) и контроля (аудита) безопасности ПДн.
Средства анализа защищенности применяются с целью контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяют оценить возможность проведения нарушителями атак на сетевое оборудование, контролируют безопасность программного обеспечения. Для этого они исследуют топологию сети, ищут незащищенные или несанкционированные сетевые подключения, проверяют настройки межсетевых экранов. Подобный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средства анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях.
В интересах выявления угроз НСД за счет межсетевого взаимодействия применяются системы обнаружения вторжений. Такие системы строятся с учетом особенностей реализации атак, этапов их развития и основаны на целом ряде методов обнаружения атак.
Для обнаружения вторжений в ИСПДн администрации Убеевского сельского поселения Красноармейского района Чувашской Республики рекомендуется использовать системы обнаружения сетевых атак, использующие как сигнатурные методы анализа, так и методы выявления аномалий.
5.3. Для защиты ПДн от утечки по техническим каналам применяются организационные и технические мероприятия, направленные на исключение утечки акустической (речевой), видовой информации, а также утечки информации за счет ПЭМИН. При реализации технических мероприятий используются технические пассивные и активные средства защиты.
5.4. Перечень мероприятий по защите ПДн для определенной ИСПДн администрации Убеевского сельского поселения Красноармейского района Чувашской Республики определяется ответственным за защиту информации в зависимости от ущерба, который может быть нанесен вследствие НСД или непреднамеренного доступа к ПДн в соответствии с действующим законодательством.
6. ОБЯЗАННОСТИ И ПРАВА ДОЛЖНОСТНЫХ ЛИЦ
6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной, гражданско-правовой, административной, уголовной и иной предусмотренной законодательством РФ ответственности.
6.2. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите ПДн в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики, являются:
- глава администрации Убеевского сельского поселения Красноармейского района Чувашской Республики;
- ответственный за защиту информации в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики;
- работники, допущенные к обработке ПДн в ИСПДн.
6.3. Ведущий специалист-эксперт администрации Убеевского сельского поселения Красноармейского района Чувашской Республики отвечает за организацию защиты ПДн в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики, качественное и своевременное выполнение должностными лицами установленных требований по защите ПДн.
6.4. Лица, ответственные за организацию, обеспечение и выполнение мероприятий по защите ПДн администрации Убеевского сельского поселения Красноармейского района Чувашской Республики, обязаны:
- не допускать проведения в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики работ и мероприятий, связанных с использованием ПДн без принятия необходимых мер по защите ПДн;
- определять объекты информатизации, предназначенные для работы с ПДн, организовывать их защиту;
- контролировать работу должностных лиц при обработке ПДн.
6.5. Ответственный за защиту информации отвечает за планирование работ по защите ПДн, своевременную разработку и реализацию мер по защите ПДн, организацию и проведение контроля состояния защиты ПДн в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики.
6.6. Ответственный за защиту информации обязан:
- разрабатывать проекты годовых планов работ по защите ПДн в администрации А Убеевского сельского поселения Красноармейского района Чувашской Республики, предусматривающих задачи по решению конкретных вопросов защиты ПДн, организацию их выполнения, а также контроль за их эффективностью;
- организовывать разработку и согласование проектов муниципальных правовых актов администрации Убеевского сельского поселения Красноармейского района Чувашской Республики, методической документации по защите ПДн в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики;
- определять степень опасности технических каналов утечки информации, различных способов НСД к ПДн, их разрушения (уничтожения) или искажения;
- определять необходимые меры по защите ПДн, организовывать их разработку и реализацию;
- организовывать аттестацию ИСПДн;
- организовывать проведение периодического контроля эффективности мер защиты ПДн, учет и анализ результатов контроля;
- организовывать расследования нарушений в области защиты ПДн и разрабатывать предложения по устранению недостатков и предупреждению подобного рода нарушений;
- анализировать состояние работ по защите ПДн и разрабатывать предложения по совершенствованию системы защиты ПДн в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики;
- организовывать проведение занятий с руководящим составом и работниками администрации Убеевского сельского поселения Красноармейского района Чувашской Республики по вопросам защиты ПДн.
6.7. Ответственный за защиту информации имеет право:
- контролировать деятельность должностных лиц и работников администрации Убеевского сельского поселения Красноармейского района Чувашской Республики по выполнению ими требований по защите ПДн;
- участвовать в работе различного рода заседаний, комиссий, экспертных групп администрации Убеевского сельского поселения Красноармейского района Чувашской Республики при рассмотрении вопросов защиты ПДн;
- вносить предложения главе администрации Убеевского сельского поселения Красноармейского района Чувашской Республики о приостановке работ с ПДн в случае нарушения требований по защите ПДн;
- готовить предложения о привлечении к проведению работ по защите ПДн сторонних организаций, имеющих лицензию на соответствующий вид деятельности.
6.8. Работники администрации Убеевского сельского поселения Красноармейского района Чувашской Республики, допущенные в установленном порядке к обработке ПДн, обязаны соблюдать установленные требования по обеспечению защиты ПДн.
6.9. Проведение работ с ПДн допускается только при выполнении требований настоящего положения и требований иных нормативных правовых актов по вопросам защиты ПДн.
6.10. В случае невыполнения требований настоящего положения, а также невыполнения требований иных нормативных правовых актов по вопросам защиты ПДн глава администрации Убеевского сельского поселения Красноармейского района Чувашской Республики по представлению ответственного за защиту информации имеет право незамедлительно приостанавливать обработку ПДн в данной ИСПДн до выявления причин нарушений и устранения этих причин.
6.11. Ответственность за обеспечение установленных требований по защите ПДн возлагается на работников администрации Убеевского сельского поселения Красноармейского района Чувашской Республики, эксплуатирующих ИСПДн.
6.12. В случае замеченных нарушений требований данного положения работником, последний обязан немедленно сообщить об этом своему непосредственному руководителю и ответственному по защите информации.
6.13. Администрацией Убеевского сельского поселения Красноармейского района Чувашской Республики приобретаются лицензионные программные продукты и операционные системы, используемые в ИСПДн, и обеспечивается установка и настройка основных программных продуктов и операционных систем на технических средствах .
6.14. Кроме того, администрация Убеевского сельского поселения Красноармейского района Чувашской Республики при эксплуатации и развертывании ИСПДн проводит следующие работы:
- анализ возможности решения определенных задач на ИСПДн и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств;
- установку (развертывание, обновление версий) программных средств, необходимых для решения в ИСПДн конкретных задач;
- удаление (затирание) программных пакетов, необходимость в использовании которых отпала;
- установку (развертывание) новых ИСПДн или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач.
6.15. Ответственный за защиту информации с привлечением специалистов из других организаций, имеющих соответствующие лицензии ФСТЭК России и ФСБ России на проведение определенных работ по вопросам защиты информации обеспечивает установку и настройку сертифицированных средств защиты информации и аттестацию самого объекта информатизации (если требуется).
6.16. В процессе эксплуатации ИСПДн ответственный за защиту информации осуществляет следующие основные функции:
- контроль за обеспечением защиты ПДн в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики;
- своевременное обнаружение фактов несанкционированного доступа к ПДн;
- проводит работы по разработке, внедрению, совершенствованию и эксплуатации СЗПДн;
- организовывает аттестацию и контрольные проверки ИСПДн;
- устанавливает и вводит в эксплуатацию средства защиты ПДн в соответствии с эксплуатационной и технической документацией к ним;
- организовывает в установленном порядке расследования причин и условий появления нарушений по вопросам технической защиты ПДн и разрабатывает предложения по устранению недостатков и предупреждению подобного рода нарушений;
- проводит анализ возможности решения (а также совмещения) указанных задач в конкретных ИСПДн (с точки зрения обеспечения безопасности) и принимает решение об отнесении их к той или иной группе по степени защищенности;
- обеспечивает проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности ПДн;
- определяет организацию, методики и средства контроля эффективности противодействия попыткам НСД к информации и незаконного вмешательства в процесс функционирования ИСПДн.
6.17. Любые планируемые изменения в составе основных или вспомогательных технических средств, изменения в системе электропитания, связи, заземления или конструкции ИСПДн должны быть в обязательном порядке согласовываться с ответственным за защиту информации
6.18. Иные права и обязанности работников администрации Убеевского сельского поселения Красноармейского района Чувашской Республики приведены в соответствующем Положении об администрации Убеевского сельского поселения Красноармейского района Чувашской Республики и должностных инструкциях работников.
6.22. Права субъекта ПДн определяются гл. 3 Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ.
7. ПЛАНИРОВАНИЕ РАБОТ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Основные мероприятия и работы по защите ПДн в ИСПДн администрации Убеевского сельского поселения Красноармейского района Чувашской Республики являются составной частью плана основных мероприятий по защите информации в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики (далее - план основных мероприятий по защите информации), разрабатываемого на очередной календарный год.
7.2. Планирование работ по защите информации, требования к содержанию плана, порядок разработки, согласования, утверждения и оформления плана, порядок отчетности и контроля за его выполнением определяются действующим законодательством Российской Федерации.
7.3. План основных мероприятий по защите информации определяет перечень основных проводимых организационно-технических мероприятий по защите информации (в том числе ПДн) в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики с указанием:
- сроков выполнения мероприятий;
- ответственных работников за исполнением соответствующих пунктов плана основных мероприятий по защите информации.
7.4. В план основных мероприятий по защите информации включаются:
- мероприятия по категорированию и аттестации объектов информатизации;
- работы по защите объектов информатизации от утечки информации по техническим каналам и НСД (созданию СЗСИ);
- мероприятия по контролю состояния защиты информации;
- мероприятия по обучению и повышению квалификации работников, допущенных к обработке ПДн.
7.5. План основных мероприятий по защите информации на очередной календарный год разрабатывается ответственным за защиту информации.
7.6. Согласованный с заинтересованными лицами план основных мероприятий по защите информации утверждается главой администрации Убеевского сельского поселения Красноармейского района Чувашской .
7.7. Утвержденный план основных мероприятий по защите информации в установленном порядке ставится на учет и хранится в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики. К плану основных мероприятий по защите информации допускается ограниченный круг лиц (при необходимости могут быть сделаны выписки из плана и доведены до исполнителей в части касающейся).
7.8. Контроль за выполнением работ по защите информации в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики возлагается на главу администрации Убеевского сельского поселения Красноармейского района Чувашской Республики.
8. КОНТРОЛЬ СОСТОЯНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Контроль состояния защиты ПДн в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики осуществляется с целью своевременного выявления и предотвращения утечки информации, содержащей ПДн по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на ПДн и оценки защиты ПДн от технических средств разведки (далее - контроль).
8.2. Контроль заключается в проверке выполнения требований действующего законодательства по вопросам защиты ПДн, в оценке обоснованности и эффективности принятых мер по защите ПДн и осуществляется ответственным за защиту информации, в том числе с применением контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.
8.3. Контроль эффективности внедренных мер и средств защиты ПДн должен проводиться в соответствии с требованиями предписаний на эксплуатацию технических средств, требований эксплуатационной документации на сертифицированные средства ПДн, требований других нормативных документов не реже одного раза в год.
8.4. Обязательным является контроль средств защиты ПДн при вводе их в эксплуатацию после проведения ремонта средств защиты ПДн при изменениях условий и расположения или эксплуатации.
8.5. Контроль защиты информации в администрации Убеевского сельского поселения Красноармейского района Чувашской Республики организуется ответственным по защите информации администрации Убеевского сельского поселения Красноармейского района Чувашской Республики.
8.6. К проведению контрольных мероприятий могут привлекаться ответственные работники за эксплуатацию ИСПДн.
8.7. Для проведения некоторых мероприятий контроля (измерение сопротивления защитного заземления, выявление опасных каналов утечки информации, проверка исправности и работоспособности средств защиты информации, оценка эффективности защищенности информации и т.п.) в случае невозможности или экономической нецелесообразности их выполнения силами работников администрации Убеевского сельского поселения Красноармейского района Чувашской Республики могут привлекаться лицензированные сторонние организации.
8.8. Организация привлечения сторонних организаций для проведения контроля возлагается на ответственного за защиту информации.
8.9. Контроль состояния и эффективности защиты ПДн может осуществляться в соответствии с планом основных мероприятий по защите информации на текущий год или носить внеплановый (внезапный) характер и может проводиться как с использованием контрольно-измерительной аппаратуры (оценка эффективности защищенности ИСПДн, контроль работоспособности средств защиты и т.п.), так и без ее применения (контроль соответствия условий эксплуатации ИСПДн, контроль соответствия требованиям организационно-распорядительной документации и т.п.).
8.10. Результаты периодического контроля оформляются отдельными протоколами или актами.
8.11. По всем выявленным нарушениям требований по защите ПДн ответственный за защиту информации и в пределах предоставленных ему прав и своих функциональных обязанностей обязан добиваться их немедленного устранения.
8.12. Ответственные за ИСПДн и их эксплуатацию, обязаны принять все необходимые меры по немедленному устранению выявленных нарушений. При невозможности их немедленного устранения они обязаны прекратить работы с ПДн и организовать работы по устранению выявленных нарушений.
8.13. Исполнители, проводящие обработку ПДн в ИСПДн, обязаны выполнять требования по защите ПДн и ответственного за эксплуатацию ИСПДн по устранению допущенных ими нарушений норм и требований по защите ПДн и несут персональную ответственность за соблюдение требований по защите ПДн в ходе проведения работ.
8.14. Сопровождение системы защиты информации от НСД на стадии эксплуатации ИСПДн, включая ведение служебной информации (генерацию и смену паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием системы защиты ПДн от НСД, контроль соответствия общесистемной программной среды эталону (контроль целостности программного обеспечения) и приемку включаемых в ИСПДн новых программных средств, а также контроль за ходом технологического процесса обработки ПДн путем регистрации и анализа действий работников (пользователей) по системному журналу, осуществляется администратором безопасности ИСПДн.
8.15. Учет, хранение и выдача работникам паролей и ключей для системы защиты ПДн от НСД, оперативный контроль за действиями работников, использующих ИСПДн, осуществляет глава администрации Убеевского сельского поселения Красноармейского района Чувашской Республики.
8.16. Общий контроль, внеплановый контроль и методическое обеспечение работников, допущенных к обработке ПДн, осуществляется ответственным за защиту информации.
8.17. Защита ПДн считается эффективной, если принимаемые меры защиты соответствуют установленным требованиям или нормам руководящих документов по защите ПДн.
8.18. Несоответствие мер установленным требованиям или нормам по защите ПДн является нарушением.
8.19. Нарушения по степени важности делятся по трем категориям:
- первая - невыполнение требований или норм по защите ПДн, в результате чего имелась или имеется реальная возможность их утечки по техническим каналам;
- вторая - невыполнение требований по защите ПДн, в результате чего создаются предпосылки к их утечке по техническим каналам;
- третья - невыполнение других требований по защите ПДн.
8.20. При обнаружении нарушений первой категории в ИСПДн необходимо:
- немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры;
- организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц;
- сообщить ответственному за защиту информации о вскрытых нарушениях и принятых мерах.
8.21. Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер ответственным за защиту информации.
8.22. При обнаружении нарушений второй и третьей категорий руководитель администрации Убеевского сельского поселения Красноармейского района Чувашской Республики обязан принять необходимые меры по их устранению в сроки, согласованные с ответственным за защиту информации.
8.23. Контроль за устранением этих нарушений осуществляется ответственным за защиту информации.
8.24. На аттестованных по требованиям безопасности информации объектах информатизации контроль со стороны органов, проводивших аттестацию, должен проводиться ежегодно с оформлением необходимых документов по результатам контрольной проверки.
9. АТТЕСТОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Под аттестацией ИСПДн по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - Аттестата соответствия подтверждается, что объект (ИСПДн) соответствует требованиям стандартов или иных нормативных документов по защите ПДн, утвержденных ФСТЭК России, ФСБ России или другими органами государственного управления в пределах их компетенции.
9.2. Наличие действующего Аттестата соответствия дает право обработки ПДн соответствующей категории и объема в ИСПДн и на период времени, установленный в Аттестате соответствия.
9.3. ИСПДн классифицированные по 1 и 2 классу подлежат обязательной аттестации.
9.4. Аттестация по требованиям безопасности информации предшествует началу обработки ПДн и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты ПДн.
9.5. При аттестации ИСПДн подтверждается ее соответствие требованиям по защите информации от утечки по возможным физическим каналам и НСД к ней, за исключением проведения специальных проверок технических средств на отсутствие электронных "закладок".
9.6. Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты ПДн требуемому уровню безопасности ПДн.
9.7. Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккредитованным органом по аттестации из компетентных специалистов в необходимых для конкретной ИСПДн, по согласованной с заявителем программе испытаний.
9.8. Программа испытаний разрабатывается на основе анализа исходных данных об ИСПДн, представляемых управлением организационно-контрольной работы и информационного обеспечения администрации Красноармейского района Чувашской Республики, моделью актуальных угроз ИСПДн, разработанной ответственным за защиту информации, и должна включать необходимые виды испытаний, определенные методическими рекомендациями для соответствующих видов объектов информатизации, а также определять сроки, условия и методики проведения испытаний.
9.9. Программа испытаний может уточняться и корректироваться в процессе испытаний по согласованию с заявителем и руководителем аттестационной комиссии.
9.10. Для проведения испытаний администрация Убеевского сельского поселения Красноармейского района Чувашской Республики представляет аттестационной комиссии следующие исходные данные и документацию:
- техническое задание на ИСПДн;
- технический паспорт на ИСПДн;
- приемо-сдаточную документацию на ИСПДн;
- акт классификации ИСПДн;
- состав технических и программных средств, входящих в ИСПДн;
- планы размещения технических средств и систем;
- состав и схемы размещения средств защиты ПДн;
- план контролируемой зоны;
- схемы прокладки линий передачи данных;
- схемы и характеристики систем электропитания и заземления технических средств;
- перечень защищаемых в ИСПДн ресурсов;
- организационно-распорядительная документация разрешительной системы доступа работников к защищаемым ресурсам ИСПДн;
- описание технологического процесса обработки ПДн в ИСПДн;
- технологические инструкции работникам (пользователям) ИСПДн и администратору безопасности ИСПДн;
- инструкции по эксплуатации средств защиты ПДн;
- предписания на эксплуатацию технических средств;
- протоколы специальных исследований технических средств;
- сертификаты соответствия требованиям безопасности ПДн на средства и системы обработки и передачи ПДн, используемые средства защиты ПДн;
- данные по уровню подготовки кадров, обеспечивающих защиту ПДн;
- данные о техническом обеспечении средствами контроля эффективности защиты ПДн и их метрологической поверке;
- нормативную и методическую документацию по защите ПДн и контролю эффективности защиты ПДн.
9.11. Приведенный общий перечень исходных данных и документации может уточняться администрацией Убеевского сельского поселения Красноармейского района Чувашской Республики в зависимости от особенностей аттестуемой ИСПДн по согласованию с аттестационной комиссией.
9.12. Аттестационные испытания ИСПДн проводятся до полного их завершения в соответствии с программой испытаний вне зависимости от промежуточных результатов испытаний.
9.13. Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования ИСПДн и технологии обработки ПДн, могущих повлиять на характеристики, определяющие безопасность ПДн (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки ПДн, средства и меры защиты), на срок, устанавливаемый нормативными правовыми документами ФСТЭК России.
9.14. В случае изменений условий и технологии обработки ПДн ответственные за эксплуатацию ИСПДн лица обязаны известить об этом ответственного за защиту информации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.
10. ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ОРГАНИЗАЦИЯМИ
10.1. Взаимодействие по вопросам защиты ПДн администрации Убеевского сельского поселения Красноармейского района Чувашской Республики со сторонними организациями (при необходимости) организуется ответственным за защиту информации с целью:
- обеспечения администрации Убеевского сельского поселения Красноармейского района Чувашской Республики недостающими и вновь разработанными руководящими, нормативно-методическими и иными материалами по вопросам защиты ПДн;
- обеспечения средствами защиты ПДн;
- выполнения организационных и технических мероприятий в области защиты ПДн, на проведение которых у администрации Убеевского сельского поселения Красноармейского района Чувашской Республики отсутствует соответствующее разрешение либо отсутствуют технические средства и подготовленные работники (специалисты);
- выполнения организационных и технических мероприятий в области защиты ПДн, выполнение которых силами администрации Убеевского сельского поселения Красноармейского района Чувашской Республики экономически невыгодно;
- контроля эффективности проводимых мероприятий по защите ПДн.
10.2. Привлекаемая для оказания услуг в области защиты ПДн сторонняя организация должна иметь лицензию на соответствующий вид деятельности.
10.3. Перечень совместно выполняемых организационных и технических мероприятий в области защиты ПДн определяется с учетом планируемых работ по созданию (реконструкции) ИСПДн и включается в себя план основных мероприятий по защите ПДн.
Дата размещения: 21 марта 2013 г.