WWW.DOCX.LIB-I.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Интернет материалы
 

«264096514795500 АДМИНИСТРАЦИЯ ЕКАТЕРИНОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА САРАТОВСКОЙ ОБЛАСТИ ПОСТАНОВЛЕНИЕ от 12.07.2016 г. № 368 р.п. Екатериновка Об утверждении Политики ...»

264096514795500

АДМИНИСТРАЦИЯ ЕКАТЕРИНОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА

САРАТОВСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

от 12.07.2016 г. № 368

р.п. Екатериновка

Об утверждении Политики информационнойбезопасности информационных системперсональных данных администрацииЕкатериновского муниципального района

В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006г. №152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21 марта 2012г. №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», на основании Устава Екатериновского муниципального района:

ПОСТАНОВЛЯЮ:

1. Утвердить Политику информационной безопасности информационных систем персональных данных администрации Екатериновского муниципального района согласно приложению.

2. Ответственному за организацию обработки персональных данных в администрации Екатериновского муниципального района ознакомить служащих администрации Екатериновского муниципального района, непосредственно осуществляющих обработку персональных данных, с положением настоящего постановления.

3. Контроль за исполнением настоящего распоряжения возложить на заместителя главы, руководителя аппарата администрации Екатериновского муниципального Л.В. Антошину.

Глава администрации С.Б. ЗязинЕкатериновскогомуниципального района

Приложение к постановлению администрации Екатериновского муниципального района

от 12.07.2016 г. № 368

ПОЛИТИКА

информационной безопасностиинформационных систем персональных данныхадминистрации Екатериновского муниципального района

Термины и определения

В настоящем документе используются следующие термины и их определения:

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аутентификация отправителя данных – подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.





Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации – возможность получения информации и ее использования.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система персональных данных (ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных.

Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.

Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Обозначения и сокращения

АВС – антивирусные средства

АРМ – автоматизированное рабочее место

ВТСС – вспомогательные технические средства и системы

ИБ – информационная безопасность

КЗ – контролируемая зона

ЛВС – локальная вычислительная сеть

МЭ – межсетевой экран

НСД – несанкционированный доступ

ОС – операционная система

ПД – персональные данные

ПМВ – программно-математическое воздействие

ПО – программное обеспечение

ПЭМИН – побочные электромагнитные излучения и наводки

САЗ – система анализа защищенности

СВТ – средства вычислительной техники

СЗИ – средства защиты информации

СЗПД – система (подсистема) защиты персональных данных

СКЗИ – система криптографической защиты информации

СОВ – система обнаружения вторжений

ТКУ И – технические каналы утечки информации

УБПД – угрозы безопасности персональных данных

Введение

Настоящая Политика информационной безопасности (далее – Политика) администрации Екатериновского муниципального района является официальным документом, в котором определена система обеспечения информационной безопасности администрации Екатериновского муниципального района.

Настоящая Политика определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных (СЗПД) в администрации Екатериновского муниципального района. Политика определяет основные требования и базовые подходы к их реализации для достижения требуемого уровня безопасности информации, а также требования к сотрудникам, являющимися пользователями информационных систем персональных данных в администрации Екатериновского муниципального района, степень их ответственности, должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в администрации Екатериновского муниципального района.Политика разработана в соответствии с системным подходом к обеспечению информационной безопасности. Системный подход предполагает проведение комплекса мероприятий, включающих исследование угроз информационной безопасности и разработку системы защиты ПД с позиции комплексного применения технических и организационных мер и средств защиты.

Под информационной безопасностью ПД понимается защищенность персональных данных в обрабатывающей их инфраструктуре от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам (субъектам ПД) или инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба от возможной реализации угроз безопасности ПД, а также к прогнозированию и предотвращению таких воздействий.

Политика служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности администрации Екатериновского муниципального района, а также организационных и распорядительных документов, обеспечивающих ее реализацию.

Политика является основой для:

принятия управленческих решений и разработки практических мер по реализации политики и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз ПД;

разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ПД в информационных системах персональных данных администрации Екатериновского муниципального района.

Основными нормативными правовыми и методическими документами, на которых базируется настоящая Политика, являются:

- Федеральный закон от 27 июля 2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральный закон от 27 июля 2006г. №152-ФЗ «О персональных данных»;

Постановление Правительства Российской Федерации от 21 марта 2012г. №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;Постановление Правительства Российской Федерации от 1 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

2.Во исполнение настоящей Политики в администрации Екатериновского муниципального района утверждаются следующие локальные нормативные правовые акты:

Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Екатериновского муниципального района;

Перечень персональных данных, обрабатываемых в администрации Екатериновского муниципального района в связи с реализацией трудовых отношений;

Перечень персональных данных, обрабатываемых в администрации Екатериновского муниципального района в связи с оказанием государственных и муниципальных услуг и осуществлением государственных или муниципальных функций;

Перечень информационных систем персональных данных администрации Екатериновского муниципального района;

Перечень должностей служащих администрации Екатериновского муниципального района, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

Перечень должностей служащих администрации Екатериновского муниципального района, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

Порядок доступа служащих администрации Екатериновского муниципального района в помещения, в которых ведется обработка персональных данных;

Список лиц, допущенных к обработке персональных данных в информационных системах персональных данных администрации Екатериновского муниципального района;

Правила обработки персональных данных в администрации Екатериновского муниципального района, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;Правила рассмотрения запросов субъектов персональных данных или их представителей в администрации Екатериновского муниципального района;

Правила работы с обезличенными данными в администрации Екатериновского муниципального района;

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 07.07.2006г. №152-ФЗ «О персональных данных» в администрации Екатериновского муниципального района;

Инструкция ответственного за организацию обработки персональных данных в администрации Екатериновского муниципального района;

Порядок уничтожения персональных данных;

Перечень лиц, имеющих право доступа в помещения администрации Екатериновского муниципального района, в которых ведется автоматизированная обработка персональных данных;

Инструкцию ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных в администрации Екатериновского муниципального района;

Инструкция пользователя информационной системы персональных данных по работе с персональными данными в администрации Екатериновского муниципального района;

Инструкция по резервированию и восстановлению работоспособности технических средств и программного обеспечения, баз данных, средств защиты информации и средств криптографической защиты информации информационных систем персональных данных, функционирующих в администрации Екатериновского муниципального района;

Инструкция по организации парольной защиты

в администрации Екатериновского муниципального района;

Инструкция администратора безопасности информационных систем персональных данных администрации Екатериновского муниципального района;

Инструкция по проведению антивирусного контроля в информационной системе персональных данных в администрации Екатериновского муниципального района;

Инструкция о порядке технического обслуживания, ремонта, модернизации технических средств, входящих в состав информационной системы персональных данных администрации Екатериновского муниципального района;

Порядок организации учета, хранения, выдачи и уничтожения съемных носителей, содержащих персональные данные;

Политика администрации Екатериновского муниципального района в отношении обработки персональных данных;

иные локальные документы администрации Екатериновского муниципального района, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.

3. Общие положения

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.

Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение, реагирование на УБПД, предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

4. Область действия

Выполнение положений настоящей Политики информационной безопасности является обязательным для всех сотрудников, являющихся пользователями информационных систем персональных данных администрации Екатериновского муниципального района.

5. Основные принципы обеспечения информационной безопасности информационных систем персональных данных администрации Екатериновского муниципального района

Определенность целей. Функциональные цели и цели информационной безопасности информационных систем персональных данных администрации Екатериновского муниципального района должны быть явно определены. Неопределенность приводит к «расплывчатости», невозможности оценки адекватности принятых защитных мер.

Своевременность обнаружения проблем. Необходимо своевременно обнаруживать проблемы, потенциально способные повлиять на функциональные цели и цели информационной безопасности информационных систем персональных данных администрации Екатериновского муниципального района.

Прогнозируемость развития проблем. Необходимо выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.

Оценка влияния проблем на функциональные цели. Необходимо адекватно оценивать степень влияния выявленных проблем на функциональные цели информационных систем персональных данных администрации Екатериновского муниципального района.

Адекватность защитных мер. Необходимо выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.

Эффективность защитных мер. Необходимо эффективно реализовывать принятые защитные меры.

Использование опыта при принятии и реализации решений. Необходимо накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.

Контролируемость защитных мер. Необходимо применять только те защитные меры, правильность работы которых может быть проверена, при этом необходимо регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на функциональные цели и цели информационной безопасности информационных систем персональных данных администрации Екатериновского муниципального района.

6. Общие условия обработки персональных данных

6.1. Обработка персональных данных в администрации Екатериновского муниципального района осуществляется на основе следующих принципов:

Обработка персональных данных должна осуществляться на законной и справедливой основе.

Обработка персональных данных должна быть ограничена достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Допускается обработка исключительно тех персональных данных, которые отвечают целям их обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

Не допускается обработка персональных данных, излишних по отношению к заявленным целям обработки.

При обработке персональных данных должна быть обеспечена точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Неполные или неточные данные должны быть удалены или уточнены.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством.

По достижении целей обработки или в случае утраты необходимости в достижении этих целей, персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено федеральным законодательством.

6.2. Администрация Екатериновского муниципального района при обработке персональных данных обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.3. Обеспечение безопасности персональных данных достигается, в частности:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или

уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

6.4. Перечень персональных данных, обрабатываемых в информационных системах персональных данных администрации Екатериновского муниципального района, утверждается распоряжением администрации Екатериновского муниципального района и по мере изменения состава обрабатываемых персональных данных подлежит пересмотру и уточнению.

6.5. Субъектами персональных данных, обработка которых осуществляется в информационных системах персональных данных администрации Екатериновского муниципального района, являются:

- сотрудники администрации Екатериновского муниципального района;

- субъекты персональных данных, не являющиеся сотрудниками администрации Екатериновского муниципального района, обратившиеся с целью получения государственных или муниципальных услуг.

6.6. Цели обработки персональных данных

Целями обработки персональных данных работников администрации Екатериновского муниципального района являются:

организация учета персонала администрации Екатериновского муниципального района для обеспечения соблюдения требований действующих нормативных правовых актов;

реализация администрацией Екатериновского муниципального района обязательств, в рамках трудовых правоотношений (на основании заключенных с работниками администрации Екатериновского муниципального района трудовых договоров и действующих нормативных правовых актов), а также обязательств, связанных с трудовыми правоотношениями, предусмотренных действующим законодательством Российской Федерации;

оказание гражданам государственных и муниципальных услуг администрацией Екатериновского муниципального района.

Целью обработки персональных данных физических лиц является осуществление возложенных на администрацию Екатериновского муниципального района функций в соответствии с главой 14 Трудового кодекса Российской Федерации от 30.12.2001 г. № 197-ФЗ, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 06.10.2003 №131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», Федеральным законом от 02.03.2007 №25-ФЗ «О муниципальной службе в Российской Федерации», другими нормативными правовыми актами Российской Федерации, подлежащими применению при осуществлении администрацией Екатериновского муниципального района деятельности по решению вопросов местного значения, закрепленных в Уставе Екатериновского муниципального района Саратовской области.

Целью обработки персональных данных представителей юридических лиц, заключивших с администрацией Екатериновского муниципального района договоры, является, заключение и исполнение администрацией Екатериновского муниципального района договора с юридическим лицом и взаимодействие с представителями юридических лиц, связанное с исполнением заключенных администрацией Екатериновского муниципального района договоров.

6.7. При определении объема и содержания обрабатываемых персональных данных субъектов ПД администрация Екатериновского муниципального района руководствуется вышеуказанными целями получения и обработки персональных данных.

6.8. Доступ работников администрации Екатериновского муниципального района к персональным данным, подлежащим обработке, разрешен только уполномоченным работникам в соответствии с Перечнем должностей служащих администрации Екатериновского муниципального района, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным. При этом указанным лицам предоставляется доступ только к персональным данным, необходимым для выполнения их служебных обязанностей в пределах задач и функций их подразделений.

6.9. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым в информационных системах персональных данных администрации Екатериновского муниципального района, осуществляется в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» и определяется Правилами обработки персональных данных в администрации Екатериновского муниципального района, устанавливающими процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

6.10. Перечень информационных систем персональных данных администрации Екатериновского муниципального района утверждается главой администрации Екатериновского муниципального района.

6.11. Организация и проведение мероприятий по обеспечению защиты персональных данных в администрации Екатериновского муниципального района осуществляется в соответствии с Положением по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Екатериновского муниципального района.

6.12. Общее руководство организацией работ по защите персональных данных в администрации Екатериновского муниципального района осуществляет ответственный за организацию обработки персональных данных и за обеспечение безопасности персональных данных в информационных системах персональных данных в администрации Екатериновского муниципального района.

6.13. В целях обеспечения мероприятий, предусмотренных действующим законодательством Российской Федерации в области обработки персональных данных, в администрации Екатериновского муниципального района назначен работник, ответственный за:

- доведение до сведения работников администрации Екатериновского муниципального района положений законодательства Российской Федерации о персональных данных, локальных актов администрации Екатериновского муниципального района по вопросам обработки персональных данных, требований к защите персональных данных;

- осуществление внутреннего контроля за соблюдением администрацией Екатериновского муниципального района и работниками администрации Екатериновского муниципального района законодательства Российской Федерации о персональных данных при обработке персональных данных в информационных системах персональных данных администрации Екатериновского муниципального района, в том числе требований к защите персональных данных, обрабатываемых в информационных системах персональных данных администрации Екатериновского муниципального района;- осуществление внутреннего контроля за соблюдением администрацией Екатериновского муниципального района и работниками администрации Екатериновского муниципального района законодательства Российской Федерации о персональных данных при обработке персональных данных без использования средств автоматизации (на бумажных носителях), а также за организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.6.14. Деятельность администрации Екатериновского муниципального района по обеспечению безопасности персональных данных контролируется уполномоченным органом по защите прав субъектов персональных данных.

7. Система защиты персональных данных

Система защиты персональных данных (СЗПД), строится на основании:

- Акта определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных;

- Модели угроз безопасности персональных данных;

- Руководящих документов ФСТЭК и ФСБ России.

На основании этих документов определяется необходимый уровень защищенности ПД в информационных системах персональных данных администрации Екатериновского муниципального района. На основании анализа актуальных угроз безопасности ПД, описанного в Модели угроз безопасности персональных данных, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПД.

8. Меры, методы и средства обеспечения требуемого уровня защищенности

Обеспечение требуемого уровня защищенности должно достигаться с использованием мер, методов и средств безопасности. Все меры обеспечения безопасности информационных систем персональных данных администрации Екатериновского муниципального района подразделяются на:

законодательные (правовые);

морально-этические;

организационные (административные);

физические;

технические (аппаратные и программные).

Законодательные (правовые) меры защиты

К законодательным (правовым) мерам защиты относятся действующие законы Российской Федерации, указы и нормативные акты, регламентирующие правила обращения с ПД, закрепляющие права и обязанности участников информационных отношений в процессе их обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию ПД, и являющиеся сдерживающим фактором для потенциальных нарушителей.Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом информационных систем персональных данных.

Морально-этические меры защиты

К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.

Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений. Морально-этические меры защиты снижают вероятность возникновения негативных действий связанных с человеческим фактором.

Организационные (административные) меры защиты

Организационные (административные) меры защиты – это меры организационного характера, регламентирующие процессы функционирования информационных систем персональных данных администрации Екатериновского муниципального района, использование ресурсов информационных систем персональных данных, деятельность обслуживающего персонала, таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Главная цель административных мер – сформировать основные подходы к защите информации и обеспечить их выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Реализация подходов к защите ПД в информационных системах персональных данных администрации Екатериновского муниципального района состоит из мер административного уровня и организационных (процедурных) мер защиты информации.

К административному уровню относятся решения руководства, затрагивающие деятельность информационных систем персональных данных в целом. Примером таких решений могут быть:

принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности ПД, определение ответственных за ее реализацию;

формулирование целей, постановка задач, определение направлений деятельности в области безопасности ПД;

принятие решений по вопросам реализации программы безопасности, которые рассматриваются в администрации Екатериновского муниципального района Саратовской области;

обеспечение нормативной (правовой) базы вопросов безопасности и т.п.

На организационном уровне определяются процедуры и правила достижения целей и решения задач информационной безопасности ПД. Эти правила определяют:

какова область применения политики безопасности ПД;

каковы роли, обязанности и ответственность должностных лиц, отвечающих за проведение политики безопасности ПД;

кто имеет права доступа к ПД;

какие меры и средства защиты использовать;

какими мерами и средствами обеспечивается контроль за соблюдением введенного режима безопасности.

Организационные меры:

учет лиц, допущенных к работе с персональными данными в информационных системах персональных данных администрации Екатериновского муниципального района;

лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным;

для выбора и реализации методов и способов защиты информации в информационных системах персональных данных администрации Екатериновского муниципального района требуется назначить структурное подразделение или должностное лицо (работника), ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных;

обучение лиц, использующих средства защиты информации, применяемые в информационных системах персональных данных администрации Екатериновского муниципального района, правилам работы с ними;

разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные;

соблюдение требований регламента процессов обслуживания и осуществления модификации аппаратных и программных ресурсов информационных систем персональных данных администрации Екатериновского муниципального района;

соблюдение требований регламента доступа в помещения с компонентами информационных систем персональных данных администрации Екатериновского муниципального района;

соблюдение требований инструкций пользователя информационной системы персональных данных и администратора безопасности информационных систем персональных данных администрации Екатериновского муниципального района.

Физические меры защиты

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации. Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.

Технические (аппаратно-программные) средства защиты ПД

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем персональных данных и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными (административными) мерами и используемыми физическими средствами защиты:

обеспечена физическая целостность всех компонент информационных систем персональных данных администрации Екатериновского муниципального района;

каждый сотрудник (пользователь информационной системы персональных данных) или группа пользователей имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальных помещениях, шкафах, и т.п.); администратором безопасности, ответственным за обеспечение безопасности персональных данных в ИСПДн администрации Екатериновского муниципального района осуществляется непрерывное управление и административная поддержка функционирования средств защиты.

9. Контроль эффективности системы защиты информационных систем персональных данных администрации Екатериновского муниципального района

Контроль эффективности системы защиты информационных систем персональных данных администрации Екатериновского муниципального района должен осуществляется на периодической основе. Целью контроля эффективности является своевременное выявление ненадлежащих режимов работы информационных систем персональных данных (отключение средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а также прогнозирование и превентивное реагирование на новые угрозы безопасности ПД.

Контроль может проводиться как администратором безопасности, ответственным за обеспечение безопасности персональных данных в ИСПДн, так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также ФСТЭК России и ФСБ России в пределах их компетенции.

Контроль может осуществляться администратором безопасности, ответственным за обеспечение безопасности персональных данных в ИСПДн как с помощью штатных средств системы защиты ПД, так и с помощью специальных программных средств контроля.

Оценка эффективности мер защиты ПД проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

10. Пользователи информационных систем персональных данных администрации Екатериновского муниципального района

В информационных системах персональных данных администрации Екатериновского муниципального района можно выделить следующие группы пользователей, участвующих в обработке ПД:

- Администратор безопасности, ответственный за обеспечение безопасности персональных данных в ИСПДн;

- Операторы АРМ;

Администратор безопасности, ответственный за обеспечение безопасности персональных данных в ИСПДн сотрудник, ответственный за настройку, внедрение и сопровождение информационных систем персональных данных администрации Екатериновского муниципального района, функционирование СЗПД. Обеспечивает функционирование подсистемы управления доступом информационной системы персональных данных и уполномочен осуществлять предоставление конечного пользователя (Оператора АРМ) к элементам, хранящим персональные данные.

Администратор безопасности, ответственный за обеспечение безопасности персональных данных в ИСПДн обладает следующим уровнем доступа и знаний:

обладает полной информацией о системном и прикладном программном обеспечении информационных систем персональных данных администрации Екатериновского муниципального района;

обладает полной информацией о технических средствах и конфигурации информационных систем персональных данных администрации Екатериновского муниципального района;

имеет доступ ко всем техническим средствам обработки информации и данным информационных систем персональных данных администрации Екатериновского муниципального района;

обладает правами конфигурирования и административной настройки технических средств информационных систем персональных данных администрации Екатериновского муниципального района;

имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов информационных систем персональных данных администрации Екатериновского муниципального района;

имеет права доступа к конфигурированию технических средств сети;

имеет физический доступ к техническим средствам обработки информации и средствам защиты.

Администратор безопасности в ИСПДн уполномочен:

реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор АРМ) получает возможность работать с элементами информационных систем персональных данных администрации Екатериновского муниципального района;

осуществлять аудит средств защиты;

устанавливать доверительные отношения своей защищенной сети с сетями других учреждений.

Оператор АРМ - пользователь, осуществляющий обработку ПД в информационной системе персональных данных администрации Екатериновского муниципального района. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПД.

Оператор информационной системы персональных данных обладает следующим уровнем доступа и знаний:

обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПД;

располагает конфиденциальными данными, к которым имеет доступ.

11. Требования к персоналу по обеспечению защиты ПД

Все пользователи информационных систем персональных данных администрации Екатериновского муниципального района должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемому объекту и соблюдению принятого режима безопасности ПД.

Пользователи информационных систем персональных данных администрации Екатериновского муниципального района должны быть ознакомлены со сведениями настоящей Политики, принятых процедур работы с элементами информационных систем персональных данных администрации Екатериновского муниципального района и СЗПД.

Пользователи информационных систем персональных данных администрации Екатериновского муниципального района, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

Пользователи информационных систем персональных данных администрации Екатериновского муниципального района должны следовать установленным процедурам поддержания режима безопасности ПД при выборе и использовании паролей (если не используются технические средства аутентификации).

Пользователи информационных систем персональных данных администрации Екатериновского муниципального района должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

Пользователям запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Пользователям запрещается разглашать защищаемую информацию, которая стала им известна при работе в информационных системах персональных данных администрации Екатериновского муниципального района, третьим лицам.

При работе с ПД в информационных системах персональных данных администрации Екатериновского муниципального района пользователи обязаны обеспечить отсутствие возможности просмотра ПД третьими лицами с мониторов АРМ.

Сотрудники, использующие информационные системы персональных данных администрации Екатериновского муниципального района, должны быть проинформированы об угрозах нарушения режима безопасности ПД и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПД.

Пользователи информационных систем персональных данных администрации Екатериновского муниципального района обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы системы, могущих повлечь за собой угрозы безопасности ПД, а также о выявленных ими событиях, затрагивающих безопасность ПД, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПД.

12. Должностные обязанности пользователей информационных систем персональных данных администрации Екатериновского муниципального района

Должностные обязанности пользователей информационных систем персональных данных администрации описаны в следующих документах:

- Инструкция администратора безопасности информационных систем персональных данных администрации Екатериновского муниципального района;

- Инструкция пользователя информационной системы персональных данных по работе с персональными данными в администрации Екатериновского муниципального района.

13. Ответственность пользователей информационных систем персональных данных администрации Екатериновского муниципального района

В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).

Администратор безопасности информационных систем персональных данных несет ответственность за все действия, совершенные от имени его учетной записи или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.

При нарушениях сотрудниками администрации Екатериновского муниципального района – пользователей информационных систем персональных данных правил, связанных с безопасностью ПД, они несут ответственность, установленную действующим законодательством Российской Федерации.


Похожие работы:

«Утверждаю Директор школы М. Сафаралиев График прохождения курсов повышения квалификации пед. работников МКОУ "Герейхановская СОШ №2 имени М.Дибирова" в Дагестанском институте развития образования (ДИРО) № Фамилия, имя и отчество Какое учебное заведение окончил Занимаемая должность, какой...»

«ЦЕЛЕВОЙ РАЗДЕЛ ПОЯСНИТЕЛЬНАЯ ЗАПИСКА Цели и задачи реализации программы. Рабочая программа старшей группы разработана в соответствии с Федеральным государственным образовательным стандартом дошкольного образования (П...»

«МБОУ "Томаровская СОШ №2 Яковлевского района Белгородской области" им. Героя Советского Союза Швеца В.В. Согласовано Директор школы Передерий Т.М. План мероприятий старшей вожатой Батраковой Л.И. по руководству детской организацией...»

«Критерии оценивания заданий школьного этапа Всероссийской олимпиады школьников 2014/15 учебного года по праву 11 класс № п/пЗадание Ответ Количество баллов Выберите правильный ответ (один или несколько) 1 Разрешение деятельности какой-либо организации, ее узак...»

«Отчет депутата Норильского городского Совета депутатов Скорик Татьяны Васильевны перед избирателями за 2015 год номер п/п Наименование Сведения об исполнении1. Участие депутата в работе Городского Совета1.1 ко...»

«Утверждены На заседании кафедры Конституционного, административного и Муниципального права 17. 10. 2015 г. протокол № 2 Зав. кафедрой Малярчук О.А. Вопросы к зачету по Таможенному праву дневного отделения 2015-2016 г. Таможенное право, предмет, метод. Понятие таможенного дела. Понятие т...»

«Лекция 21. Атаки на уровне операционной системы. Клавиатурные шпионы Защищать операционную систему, так как внутренняя структура современных операционных систем чрезвычайно сложна, и по...»

«Приложение № 2 к Извещению о проведении предварительного квалификационного отбора в рамках проведения тендера (код закупочной процедуры ЗКП-13-019)ТРЕБОВАНИЯ К УЧАСТНИКАМ ПРЕДВАРИТЕЛЬНОГО КВАЛИФИКАЦИОННОГО ОТБОРА И СВЕДЕНИЯМ, КОТОРЫЕ НЕОБХОДИМО П...»

«Билет 81. 002.В определение общественного здоровья, принятое в ВОЗ,входят все перечисленные элементы, кромеа)физического, социального и психологического благополучияб)возможности трудовой деятельностив)нали...»

«КоАП Извлечения Статья 2.3. Возраст, по достижении которого наступает административная ответственность1. Административной ответственности подлежит лицо, достигшее к моменту совершения административного правонарушения возраста шестнадцати лет.2. С учетом конкретных...»

«Протокол № 141121/2908/103-4 по подведению итогов открытого запроса предложений в не электронной форме на право заключения договора по теме: "Подготовка обосновывающих материалов по вопросам гео...»

«248221589535СОБРАНИЕ ПРЕДСТАВИТЕЛЕЙ ШЕМЫШЕЙСКОГО РАЙОНА ПЕНЗЕНСКОЙ ОБЛАСТИР Е Ш Е Н И Е от 17.04.2015 № 520-53/3р.п. Шемышейка О внесении изменения в Положение о муниципальном земельном контроле на территории Шемышейского района Пензенской области, утвержденное решением Собрания представителей Шемышейског...»









 
2017 www.docx.lib-i.ru - «Бесплатная электронная библиотека - интернет материалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.