ГКУ Московской области "Госюрбюро"

Порядок обработки и обеспечении безопасности персональных данных в Государственном казённом учреждении Московской области «Государственное юридическое бюро по Московской области»

Порядок обработки и обеспечении безопасности персональных данных в Государственном казённом учреждении Московской области «Государственное юридическое бюро по Московской области»

УТВЕРЖДЕНО приказом      директора   ГКУ

«Государственное юридическое бюро по

Московской области» от  07.11.2017  №68/2017

ПОЛОЖЕНИЕ

о порядке обработки и обеспечении безопасности персональных данных в Государственном казённом учреждении Московской области

«Государственное юридическое бюро по Московской области»

г. Москва

2017

ОГЛАВЛЕНИЕ

  1. ОБЩИЕ ПОЛОЖЕНИЯ 4

1.1.   Сфера действия положения  4

1.2.   Правовая основа положения  4

1.3.   Основные понятия, используемые в Положении  6

  1. ЦЕЛИ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 9
  2. ПОРЯДОК АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ 14

ПЕРСОНАЛЬНЫХ ДАННЫХ   14

  1. МЕРЫ ПО  ОБЕСПЕЧЕНИЮ  БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ   17

4.1.   Общие принципы защиты персональных данных  17

4.2.   Правовые меры защиты персональных данных  21

4.3.   Организационные и технические меры защиты персональных данных  22

4.3.1. Идентификация и аутентификация субъектов доступа и объектов доступа. 23

4.3.2. Управление доступом субъектов доступа к объектам доступа. 25

4.3.3. Ограничение программной среды. 28

4.3.4. Защита машинных носителей информации. 28

4.3.5. Регистрация событий безопасности. 30

4.3.6. Антивирусная защита. 31

4.3.7. Контроль (анализ) защищенности персональных данных. 32

4.3.8. Обеспечение доступности персональных данных. 34

4.3.9. Защита технических средств. 35

4.3.10.        Защита информационной системы, ее средств, систем связи и передачи данных. 36

4.3.11.        Управление конфигурацией информационной системы и системы защиты персональных данных. 37

4.3.12.        Определение угроз безопасности персональных данных. 37

4.3.13.        Подготовка должностных лиц, ответственных за обеспечение безопасности персональных данных. 38

4.3.14.        Контроль за принимаемыми мерами по обеспечению безопасности персональных данных. 38

  1. ТРЕБОВАНИЯ К ПОМЕЩЕНИЯМ ИНФОРМАЦИОННЫХ 40

СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ   40

5.1.   Требования к помещениям, в которых обрабатываются персональные данные 40

5.2.   Требования  к  помещениям,  в  которых  установлены криптосредства или хранятся ключевые документы к ним  41

ОБЩИЕ ПОЛОЖЕНИЯ

Сфера действия положения

1.1.1. Положение о порядке обработки и обеспечении безопасности персональных данных в Государственном казённом учреждении Московской области «Государственное юридическое бюро по Московской области» (далее – Госюрбюро Московской области, Оператор, организация) устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных (ПДн), порядок обработки ПДн работников Госюрбюро Московской области и иных субъектов ПДн в информационных системах персональных данных (ИСПДн), а также определяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в ИСПДн организации.

1.1.2. Настоящее Положение определяет политику Госюрбюро Московской области как оператора, осуществляющего обработку ПДн, в отношении обработки и защиты ПДн.

Правовая основа положения

1.2.1. Правовую основу Положения составляют Конституция Российской Федерации, Концепция национальной безопасности Российской Федерации, Доктрина информационной безопасности Российской Федерации, Федеральные законы Российской Федерации, указы и распоряжения Президента Российской Федерации, постановления и распоряжения Правительства Российской Федерации, нормативные правовые акты (приказы, распоряжения) федеральных органов исполнительной власти, уполномоченных в областях обеспечения безопасности и технической защиты информации в области обработки и защиты ПДн (далее – законодательство Российской Федерации о ПДн, руководящие документы):

а) Трудовой кодекс Российской Федерации (далее – Трудовой кодекс РФ);

б) Налоговый кодекс Российской Федерации (далее – Налоговый кодекс РФ);

в) Кодекс Российской Федерации об административных правонарушениях

(далее – КоАПП РФ);

г) Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» (далее – Федеральный закон «Об архивном деле в

Российской Федерации»);

д) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

(далее - Федеральный закон «О персональных данных»);

е) Федеральный   закон          от      27.07.2006 №      149-ФЗ       «Об          информации, информационных технологиях и о защите информации»;

ж) Федеральный закон от 02.09.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (далее – Федеральный закон «О порядке рассмотрения обращений граждан Российской Федерации»);

з) Федеральный закон от 25.12.2008 № 273-ФЗ «О бесплатной юридической помощи в Российской Федерации» (далее – Федеральный закон «О бесплатной юридической помощи в Российской Федерации»);

и) Федеральный закон от 21.11.2011 № 324-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее – Федеральный закон «Об организации предоставления государственных и муниципальных услуг»);

к) постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

л) постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

м) постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

н) постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральный закон «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

о) постановление Правительства Российской Федерации от 10.07.2013 № 583 «Об обеспечении доступа к общедоступной информации о деятельности государственных органов и органов местного самоуправления в информационнотелекоммуникационной сети «Интернет» в форме открытых данных»;

п) приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

р) приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и

содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

с) приказ ФАПСИ при Президенте Российской Федерации от 13.06.2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

т) приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;

у) приказ Министерства культуры Российской Федерации от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (далее – «Перечень типовых управленческих архивных документов…»).

Основные понятия, используемые в Положении

1.3.1. В Положении используются следующие основные понятия и определения.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

База данных – совокупность взаимосвязанных данных, организованных в соответствии со схемой базы данных таким образом, чтобы с ними мог работать пользователь.

(ГОСТ 34.321-96 Информационные технологии. Система стандартов по базам данных.

Эталонная модель управления данными)

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Доступ к информации – возможность получения информации и ее использования.

(Федеральный закон от 27.07.2006 № 149-ФЗ)

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Специальные категории персональных данных – персональные данные, в том числе, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, о судимости.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

(Федеральный закон от 27.07.2006 № 152-ФЗ)

Электронный документ – документ, информация которого представлена в электронной форме.

(ГОСТ Р 7.0.8.-2013 Делопроизводство и архивное дело - Термины и определения)

ЦЕЛИ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка ПДн в Госюрбюро Московской области осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации о ПДн и настоящим Положением.

2.2. Обработка ПДн в организации осуществляется только в следующих целях:

организация кадрового учета Госюрбюро Московской области, обеспечение соблюдения законов, исполнение обязательств по трудовым и гражданско-правовым договорам; ведение кадрового делопроизводства, содействие работникам в

трудоустройстве, обучении и продвижении по службе, пользовании льготами; исполнение требований налогового законодательства по вопросам начисления заработной платы и налогов на доходы физических лиц, страховых взносов в Пенсионный фонд России, инспекция федеральной налоговой службы (ИФНС), формирование и передача в ИФНС персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование; составление отчетности в контролирующие органы, в бюджетные и

внебюджетные фонды; заполнение первичной статистической документации в соответствии с

Трудовым, Налоговым кодексом и федеральными законами; правовое консультирование граждан в устной и письменной форме;

правовое    консультирование        с        использованием информационно-

телекоммуникационной сети «Интернет»; составление заявлений, жалоб, ходатайств и других документов правового

характера; представление интересов граждан в судах, государственных и муниципальных

органах, организациях; а также в предусмотренных законодательством Российской Федерации

случаях

2.3. Обработка ПДн, несовместимая с заявленными выше целями сбора персональных данных, не допускается.

2.4. Обработка ПДн в организации выполняется следующими способами:

с использованием средств автоматизации; без использования средств автоматизации.

Обработка ПДн включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.

Обработка ПДн осуществляется работниками Госюрбюро Московской области, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн. Перечень таких должностей утверждается приказом директора Госюрбюро Московской области.

2.4.1. Сбор персональных данных.

В организации сбор персональных данных осуществляется следующими способами:

заполнение субъектом ПДн соответствующих форм;

получение оригиналов документов, содержащих ПДн, и их копирование

(сканирование);

получение персональных данных от третьих лиц; -    иные законные способы сбора ПДн.

2.4.2. Запись, систематизация, накопление и извлечение персональных данных.

Запись, систематизация, накопление и извлечение персональных данных может осуществляться любым законным способом в соответствии с настоящими Правилами, положениями, руководствами, инструкциями и регламентами, определяющими технологический процесс обработки информации в ИСПДн и порядок обработки ПДн без использования средств автоматизации. 2.4.3. Уточнение персональных данных.

В случае если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки субъект ПДн имеет право потребовать от Оператора уточнения своих ПДн. Уточнение проводится на основании документов, представленных субъектом ПДн или его законным представителем либо уполномоченным органом по защите прав субъектов ПДн или иных необходимых документов. Уточнение ПДн должно быть произведено в течение семи рабочих дней.

Правомерность запроса на уточнение ПДн осуществляется лицом, ответственным за организацию обработки ПДн, который в случае положительной оценки требований принимает меры для блокирования и уточнения ПДн соответствующего субъекта.

Уточнение ПДн включает в себя блокирование, собственно уточнение ПДн, их разблокирование после уточнения и осуществляется лицом, имеющим на это право.

2.4.4. Хранение персональных данных.

Сроки хранения персональных данных субъектов ПДн не должны превышать сроков, требуемых для достижения целей их обработки, и определяются в соответствии с Федеральным законом «Об архивном деле в Российской Федерации» и «Перечнем типовых управленческих архивных документов…».

2.4.5. Блокирование персональных данных.

Блокирование ПДн является вспомогательным процессом. Блокирование позволяет остановить обработку данных в случаях:

выявления недостоверных ПДн;

выявления неправомерных действий с ними Оператора;

достижения цели обработки ПДн;

отзыва субъектом ПДн согласия на обработку его персональных данных.

Во время блокирования происходит уточнение данных, устранение неправомерных действий с ПДн или уничтожения ПДн.

Осуществить блокирование ПДн, относящихся к соответствующему субъекту персональных данных, Оператор обязан:

при обращении или по запросу субъекта ПДн;

при обращении или по запросу законного представителя субъекта ПДн;

при обращении или по запросу уполномоченного органа по защите прав субъектов ПДн;

по требованию лица, по поручению которого обрабатываются ПДн.

Блокирование производится с момента обращения или получения запроса на период проверки.

Блокирование персональных данных включает в себя прекращение сбора, систематизации, записи, накопления, уточнения, извлечения, использования, обезличивания, удаления, распространения персональных данных, в том числе их передачи. 2.4.6. Использование персональных данных.

Использование ПДн в организации должно осуществляться исключительно в заявленных целях. Использование ПДн в заранее не определенных и не оформленных установленным образом целях не допускается.

2.4.7. Передача (распространение, предоставление, доступ) персональных данных. 2.4.8. Обезличивание персональных данных.

Обезличивание ПДн может использоваться в качестве одной из мер, направленных на:

снижение    требований          по      защите        ПДН,          полученных          в        результате

обезличивания; обеспечение возможности накопления и хранения обезличенных ПДн

неограниченное время;

обеспечение возможности передачи обезличенных ПДн любому провайдеру. 2.4.9.          Удаление и уничтожение персональных данных.

Под уничтожением ПДн понимаются действия, в результате которых становится невозможным восстановить содержание ПДн или в результате которых уничтожаются материальные носители ПДн:

физическое уничтожение материального носителя ПДн; -   безвозвратное уничтожение ПДн с материального носителя.

Уничтожение ПДн осуществляется в случае:

выявления неправомерных действий с ПДн;

достижения цели обработки ПДн;

отзыва субъектом ПДн согласия на обработку своих персональных данных.

При уничтожении ПДн применяются следующие способы:

для документов, исполненных на бумажных носителях, – путём измельчения в шредерах (бумагорезательных машинах) или путём сожжения;

для сохранения возможности обработки иных данных, зафиксированных на бумажном носителе, – путём тщательного вымарывания;

для оптических или гибких магнитных дисков – путём измельчения в шредерах или путём сожжения;

для накопителей на жёстких магнитных дисках (НЖМД), SSD-дисках, USB флэш-носителях – путём разрушения и сильной деформации пластин, модулей и микросхем памяти или путём сожжения;

для баз данных – путём стирания записей штатными средствами в системах управления базами данных (СУБД);

для отдельных электронных документов – путём стирания при помощи сертифицированных средств удаления остаточной информации.

При уничтожении ПДн, хранящихся в электронном виде, уничтожению подлежат также все записи в архивных копиях баз данных штатными средствами СУБД и архивные (резервные) копии электронных документов, если иное не установлено законодательством Российской Федерации о ПДн.

При необходимости уничтожения части ПДн допускается уничтожать материальный носитель одним из указанных выше способов, с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению.

Ответственность за выполнение данного требования возлагается на работника организации, осуществляющего копирование ПДн.

Уничтожение ПДн, прекращение обработки (блокирование) ПДн производится комиссией, назначаемой приказом директора Госюрбюро Московской области. Председателем комиссии назначается ответственный за организацию обработки ПДн. В состав комиссии включается администратор безопасности информации в ИСПДн.

Подтверждение факта уничтожения ПДн осуществляется составлением акта уничтожения персональных данных (приложение № 1).

Акты подписываются членами комиссии и утверждаются директором Госюрбюро Московской области. Акты хранятся в течение трёх лет, после чего уничтожаются установленным порядком.

2.5. При сборе ПДн, в том числе посредством информационнотелекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

2.6. Уведомление о намерении обрабатывать ПДн в организации направляется установленным порядком, в соответствии с приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346 «Об утверждении административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», в Управление Роскомнадзора по Центральному федеральному округу.

В случае изменения сведений, представленных в уведомлении, а также в случае прекращения обработки ПДн ответственный за организацию обработки ПДн в Госюрбюро Московской области обязан уведомить установленным порядком Управление Роскомнадзора по Центральному федеральному округу в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

2.7. Внесение изменений в настоящее Положение осуществляется приказом директора Госюрбюро Московской области в случае изменения порядка обработки ПДн и процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации в области ПДн.

Ответственность за своевременное внесение изменений в Положение возлагается на ответственного за организацию обработки ПДн.

ПОРЯДОК АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Автоматизированная обработка ПДн в Госюрбюро Московской области осуществляется с использованием ИСПДн.

3.2. ИСПДн, в зависимости от целей и содержания обработки ПДн, технологий, состава и характеристик технических средств могут представлять собой:

автоматизированные рабочие места (АРМ), не имеющие подключения к сетям

связи общего пользования и (или) сетям международного информационного обмена;

АРМ, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена; локальные ИСПДн, не имеющие подключения к сетям связи общего

пользования и (или) сетям международного информационного обмена; локальные ИСПДн, имеющие подключение к сетям связи общего пользования

и (или) сетям международного информационного обмена; распределенные ИСПДн, не имеющие подключения к сетям связи общего

пользования и (или) сетям международного информационного обмена; распределенные ИСПДн, имеющие подключение к сетям связи общего

пользования и (или) сетям международного информационного обмена.

3.3. Для строгого учёта всех ресурсов, подлежащих защите (персональных данных, сервисов, каналов связи, АРМ, серверов и т.д.) директором Госюрбюро Московской области утверждается «Перечень информационных систем персональных данных ГКУ «Государственное юридическое бюро по Московской области» (приложение № 2).

Ответственность за поддержание данного перечня в актуальном состоянии возлагается на Ответственного за организацию обработки ПДн в Госюрбюро Московской области.

3.4. Обработка персональных данных в ИСПДн Госюрбюро Московской области осуществляется только в целях реализации трудовых отношений, а также в связи с оказанием государственных услуг.

Содержание и объем обрабатываемых в ИСПДн персональных данных должны соответствовать заявленным целям обработки. Избыточное накопление и хранение таких ПДн не допускается.

Технология обработки информации в ИСПДн должна поддерживать строгое выполнение мер обеспечения безопасности ПДн, установленных законодательством Российской Федерации о ПДн.

3.5. Пользователям ИСПДн запрещается нарушать технологический процесс обработки персональных данных в ИСПДн.

3.6. Система защиты персональных данных (СЗПДн) в ИСПДн должна обеспечивать нейтрализацию актуальных угроз безопасности ПДн и информационных технологий, используемых в ИСПДн, определённых в частной модели угроз безопасности персональных данных, обрабатываемых в ИСПДн, и модели нарушителя.

Для выполнения данного условия к созданию СЗПДн должны привлекаться организации, имеющие лицензии ФСТЭК России на право производства работ в области технической защиты конфиденциальной информации и ФСБ России на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем.

3.7. В ходе создания системы защиты персональных данных в ИСПДн должны проводиться следующие мероприятия:

формирование требований к защите информации, содержащейся в ИСПДн; разработка системы защиты персональных данных в ИСПДн; внедрение системы защиты персональных данных в ИСПДн; аттестация ИСПДн по требованиям защиты информации и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации аттестованной ИСПДн; обеспечение защиты информации при выводе из эксплуатации аттестованной ИСПДн или после принятия решения об окончании обработки ПДн.

3.8. Организационные и технические меры по обеспечению безопасности

ПДн применяются на основе требований приказов ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и от 18.02.2013 № 21 «О составе и содержании организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», приказа ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» с учётом уровня защищённости ПДн, структурно-функциональных характеристик конкретной ИСПДн, используемых информационных технологий, особенностей функционирования ИСПДн.

3.9. Для разработки и осуществления мероприятий по организации и обеспечению безопасности персональных данных при их обработке в ИСПДн в Госюрбюро Московской области, а также обеспечения функционирования и безопасности криптосредств из числа наиболее квалифицированных и подготовленных работников структурных подразделений, эксплуатирующих ИСПДн, назначаются лица, ответственные за обеспечение безопасности ПДн. Ответственность, права и обязанности таких лиц приведены в приложении № 3.

3.10. К обработке персональных данных в ИСПДн допускаются работники, изучившие настоящее Положение, законодательство Российской Федерации о ПДн и локальные акты Госюрбюро Московской области.

3.11. Для обеспечения безопасности информации в ИСПДн Госюрбюро Московской области используются средства защиты информации (СЗИ от НСД и средства криптографической защиты информации (СКЗИ, криптосредства)), сертифицированные на соответствие требованиям по безопасности информации, с учетом их совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы.

3.12. Для непосредственной эксплуатации СЗИ от НСД, обеспечения разрешительной системы доступа и своевременного выявления нарушений правил обработки персональных данных в ИСПДн приказом директора Госюрбюро Московской области назначается администратор безопасности информации в ИСПДн.

Основные функции администратора безопасности приведены в приложении № 4.

МЕРЫ        ПО    ОБЕСПЕЧЕНИЮ         БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общие принципы защиты персональных данных

4.1.1. Основной целью защиты ПДн является минимизация ущерба (как непосредственного, так и опосредованного), возникающего вследствие возможной реализации угроз безопасности ПДн.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн и может проявляться в виде:

нанесения вреда здоровью субъекта ПДн;

незапланированных      и       (или) непроизводительных    финансовых          или

материальных затрат субъекта; потери субъектом свободы действий вследствие шантажа и угроз,

осуществляемых с использованием ПДн; нарушения конституционных прав субъекта вследствие вмешательства в его

личную жизнь.

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности Госюрбюро Московской области за счет неправомерных действий с ПДн.

4.1.2. Построение СЗПДн в Госюрбюро Московской области и ее функционирование должны осуществляться в соответствии со следующими основными принципами.

4.1.2.1. Принцип законности.

Защита ПДн основывается на положениях и требованиях существующих законов, национальных стандартов и нормативно-методических документов по защите ПДн и учитывает лучшие мировые практики. Локальные правовые акты организации не должны противоречить законодательству Российской Федерации.

4.1.2.2. Принцип системности.

Системный подход к построению СЗПДн предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы защиты ПДн Оператором.

При создании системы защиты должны учитываться все системы обработки информации, а также характер, возможные ресурсы и направления атак на информационные системы со стороны нарушителей, пути проникновения в распределенные системы.

4.1.2.3. Принцип комплексности.

Защита ПДн обеспечивается комплексом программно-технических средств защиты информации (далее – СЗИ) и поддерживающих их организационных мер, реализованных Оператором.

Применение различных средств и технологий защиты информации должно перекрывать все существенные (значимые) каналы реализации угроз безопасности ПДн и не содержать слабых мест в согласовании применяемых средств и технологии защиты информации.

СЗПДн должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа (далее – НСД) к ПДн, но и с учетом возможности повышения уровня защиты по мере выявления новых источников угроз безопасности ПДн, развития способов и средств их реализации в ИСПДн.

4.1.2.4. Принцип непрерывности.

Защита ПДн является непрерывным, целенаправленным процессом, предполагающим принятие соответствующих мер на всех технологических этапах обработки ПДн и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

4.1.2.5. Принцип своевременности.

Предполагает упреждающий характер мер защиты ПДн, то есть постановку задач по комплексной защите ПДн и реализацию мер обеспечения их безопасности на ранних стадиях разработки ИСПДн в целом и ее системы защиты информации, в частности.

Оператор принимает необходимые меры по защите ПДн до начала обработки ПДн, которые должны обеспечить надлежащий уровень безопасности ПДн.

СЗПДн разрабатывается одновременно с разработкой и развитием ИСПДн Оператора, что позволяет учитывать требования по безопасности ПДн при проектировании и модернизации ИСПДн.

4.1.2.6. Принцип преемственности и непрерывности совершенствования.

Предполагают постоянное совершенствование мер и средств защиты ПДн на основе результатов анализа функционирования ИСПДн и СЗПДн с учетом выявления новых способов и средств реализации угроз безопасности ПДн, положительного опыта в сфере защиты информации.

Оператор определяет действия, необходимые для устранения причин потенциальных несоответствий требованиям по безопасности ПДн с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать возможным негативным последствиям.

4.1.2.7. Принцип разумной достаточности и адекватности.

Уровень затрат на обеспечение защиты ПДн должен быть соизмерим с рисками, связанными с обработкой и характером защищаемых ПДн.

Анализ рисков нарушения безопасности ПДн проводится в целях определения влияния системы защиты информации на вероятность реализации угроз безопасности ПДн с учетом уязвимостей (дефектов) ИТ-инфраструктуры Оператора. СЗИ не должны существенно ухудшать основные функциональные характеристики и производительность ИСПДн Оператора.

4.1.2.8. Принцип персональной ответственности.

Ответственность за обеспечение безопасности ПДн Оператора возлагается на каждого работника в пределах его полномочий.

Роли и обязанности работников должны быть определены решением директора Госюрбюро Московской области и документально подтверждены.

Распределение обязанностей и полномочий работников Оператора должно обеспечивать выявление виновных лиц в случаях нарушения безопасности ПДн.

4.1.2.9. Принцип минимизации полномочий

Предоставление и использование прав доступа к ПДн должно быть ограничено и управляемо.

Пользователям должны предоставляться минимальные права доступа к ПДн и ИСПДн только в соответствии с производственной необходимостью.

Доступ к ПДн должен предоставляться только в том случае и объеме, если это необходимо работнику для выполнения его должностных обязанностей.

Пользователю должны быть запрещены все операции с ПДн за исключением тех, которые разрешены явно.

4.1.2.10. Принцип специализации и профессионализма.

Реализация мер по защите ПДн и эксплуатация СЗПДн должна осуществляться профессионально подготовленными специалистами Оператора.

4.1.2.11. Принцип знания своих партнеров и работников.

Оператор должен обладать информацией о своих партнерах, позволяющей минимизировать вероятность реализации угроз безопасности ПДн, источники которых связаны с человеческим фактором.

Оператор должен реализовывать кадровую политику (тщательный подбор персонала и мотивация работников), позволяющую исключить или минимизировать возможность нарушения безопасности ПДн своими работниками.

4.1.2.12. Принцип обязательности контроля и оценки.

Неотъемлемой частью работ по защите ПДн является оценка эффективности системы защиты.

С целью своевременного выявления и пресечения попыток нарушения установленных правил обеспечения безопасности ПДн Оператором должны быть определены процедуры осуществления постоянного контроля функционирования СЗПДн, результаты контроля должны регулярно анализироваться.

4.1.3. Для всесторонней и полноценной защиты ПДн Оператор принимает весь необходимый комплекс правовых, организационных и технических мер, направленных на защиту ПДн:

от      неправомерных   доступа,     копирования,       предоставления   или

распространения (нарушения конфиденциальности ПДн); от неправомерных уничтожения или модифицирования (нарушения

целостности ПДн); от неправомерного блокирования (нарушения доступности ПДн).

Правовые меры защиты персональных данных

4.2.1. К организационно-правовым мерам защиты ПДн в Госюрбюро Московской области относятся нормы действующего законодательства и внутренние организационно-распорядительные документы Оператора, регламентирующие правила обращения с ПДн, закрепляющие права и обязанности участников информационных отношений в процессе обработки и использования ПДн, а также устанавливающие ответственность за нарушения этих правил, препятствуя неправомерному использованию ПДн и являющиеся сдерживающим фактором для реализации угроз безопасности потенциальными нарушителями.

4.2.2. Для обеспечения безопасности ПДн директор Госюрбюро Московской области принимает следующие меры:

утверждает политику в отношении обработки ПДн и правила их обработки; утверждает правила рассмотрения запросов субъектов ПДн или их

представителей; утверждает правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн, установленным Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; утверждает перечень ИСПДн Госюрбюро Московской области и перечни

ПДн, обрабатываемых в Госюрбюро Московской области; утверждает перечень должностей работников Госюрбюро Московской области, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн; утверждает правила работы с обезличенными данными перечень должностей работников Госюрбюро Московской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн (в случае их обезличивания); утверждает типовое обязательство работника Госюрбюро Московской области, непосредственно осуществляющего обработку ПДн, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку ПДн, ставших известными ему в связи с исполнением должностных обязанностей; утверждает типовую форму согласия на обработку ПДн работников

Госюрбюро Московской области, а также иных субъектов персональных данных; утверждает типовую форму разъяснения субъекту ПДн юридических

последствий отказа представить свои персональные данные; назначает ответственного за организацию обработки персональных данных в

Госюрбюро Московской области и утверждает его должностной регламент; устанавливает границы контролируемой зоны организации и ИСПДн

организации; утверждает места хранения ПДн в организации;

назначает ответственного за обеспечение безопасности персональных данных

в ИСПДн Госюрбюро Московской области; назначает администратора безопасности информации в ИСПДн; утверждает состав комиссии по определению уровня защищенности

персональных данных при их обработке в ИСПДн; утверждает состав комиссии по проверке условий обработки ПДн в Госюрбюро Московской области.

Организационные и технические меры защиты персональных данных

В рамках СЗПДн с учётом актуальных угроз безопасности персональных данных и применяемых в ИСПДн Госюрбюро Московской области информационных технологий в состав организационных и технических мер входят:

идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации (МНИ), на которых хранятся и

(или) обрабатываются персональные данные; регистрация событий безопасности; антивирусная защита;

контроль (анализ) защищенности персональных данных; обеспечение доступности персональных данных; защита технических средств;

защита информационной системы, ее средств, систем связи и передачи

данных; управление конфигурацией информационной системы и системы защиты

персональных данных; определение угроз безопасности ПДн;

подготовка должностных лиц организации, ответственных за обеспечение

безопасности ПДн; осуществление внутреннего контроля за принимаемыми мерами по

обеспечению безопасности ПДн.

Идентификация и аутентификация субъектов доступа и объектов доступа.

Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

4.3.1.1. При доступе в ИСПДн Госюрбюро Московской области должна осуществляться идентификация и аутентификация пользователей, являющихся работниками Оператора (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.

Пользователи ИСПДн должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа.

Аутентификация пользователя осуществляется с использованием паролей.

Однозначное сопоставления идентификатора пользователя с запускаемыми от его имени процессами в ИСПДн должна обеспечиваться применяемыми сертифицированными СЗИ от НСД.

4.3.1.2. Все ПЭВМ, входящие в состав ИСПДн Госюрбюро Московской области, до начала информационного взаимодействия должны однозначно идентифицироваться по логическим адресам (IP-адресам), а ПЭВМ, подключаемые к ИСПДн по беспроводным радиосетям, - по MAC-адресам.

4.3.1.3. Ответственность за создание идентификаторов пользователей и устройств, их присвоение и своевременное уничтожение возлагается на администратора безопасности информации в ИСПДн. Идентификаторы должны быть удобочитаемыми, однозначно идентифицирующими пользователя или устройство. Повторное использование одного и того же идентификатора администратором безопасности информации в течение одного года не допускается.

По истечении 90 дней неиспользования пользователем своего идентификатора учётная запись такого пользователя должна быть заблокирована администратором безопасности информации.

4.3.1.4. Ответственность за хранение, выдачу, инициализацию, блокирование средств аутентификации (паролей на доступ в ИСПДн) и принятие мер в случае утраты и (или) компрометации средств аутентификации возлагается на администратора безопасности информации в ИСПДн.

Пароли генерируются администратором при помощи встроенных механизмов СЗИ от НСД. Сгенерированные пароли учитываются в «Журнале учёта и выдачи паролей пользователей информационных систем персональных данных Госюрбюро Московской области» (приложение № 5). Пользователи получают пароли на доступ под роспись и хранят полученные пароли в тайне. Способ выдачи паролей должен исключать возможность ознакомления пользователей ИСПДн с паролями друг друга.

4.3.1.5. Пользователям запрещается хранить пароли в виде текстовых файлов на АРМ, записанными на бумагу на рабочих столах и на элементах АРМ (монитор, клавиатура и пр.).

Журнал учёта и выдачи паролей хранится на рабочем месте администратора безопасности информации (в запираемом шкафу, сейфе).

В случае отсутствия в СЗИ от НСД встроенных механизмов генерации паролей администратор безопасности информации составляет комбинации паролей самостоятельно.

4.3.1.6. К паролям предъявляются следующие требования: длина паролей пользователей – не менее 8 символов, администраторов – не

менее 8; срок действия паролей – не более 90 суток;

мощность алфавита – не менее 60 (английский алфавит, с использованием

верхнего и нижнего регистров, цифры от 0 до 9, и специальные символы [a-zA-Z0-

9!@#$%?*]; отличие нового пароля от предыдущего должен отличаться не менее чем в

одной позиции; пароль не должен включать в себя легко вычисляемые сочетания символов, а

также общепринятые сокращения, фамилия, имя пользователя, номер АРМ и т.д.; периодический повтор парольных комбинаций не допускается;

количество попыток неуспешной аутентификации (неправильного ввода

пароля) – 5;

время блокировки учётной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации – 15 мин.

4.3.1.7. В случае необходимости доступа к защищаемым ресурсам пользователя, отсутствующего на рабочем месте, администратор безопасности с разрешения руководителя подразделения, эксплуатирующего ИСПДн, осуществляет вход в систему с идентификационными данными данного пользователя.

В отсутствие администратора безопасности допускается, с разрешения ответственного за организацию обработки ПДн, в комиссионное вскрытие шкафа (сейфа) администратора с журналом учёта и выдачи паролей для последующего доступа в систему.

В этом случае администратор безопасности обязан в кратчайшие сроки произвести внеплановую смену своих паролей и паролей всех пользователей для исключения их компрометации.

4.3.1.8. Внеплановая смена личного пароля пользователя или блокирование учётной записи пользователя в случае прекращения его полномочий (увольнение, переход на другое место работы) должна выполняться немедленно после окончания последнего сеанса работы данного пользователя.

Полная внеплановая смена паролей должна производиться в случае смены администратора безопасности информации.

4.3.1.9. После проведения работ по внедрению СЗПДн администратор безопасности информации в ИСПДн обязан сменить всю аутентификационную информацию, заданную производителями СЗИ от НСД (разработчиками СЗПДн).

Управление доступом субъектов доступа к объектам доступа.

Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в ИСПДн правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.

4.3.2.1. Для доступа в ИСПДн администратор безопасности информации может заводить следующие типы учётных записей: учётная запись приложения; учётная запись внутреннего пользователя; временная учётная запись.

4.3.2.2. При заведении учётной записи внутреннего пользователя администратор безопасности информации должен убедиться в соответствии должности пользователя «Перечню должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным» (приложение № 6).

4.3.2.3. Временная учётная запись заводится администратором безопасности информации, как правило, для предоставления разового доступа представителям сторонних организаций, выполняющих какие-либо работы на оборудовании

(программном обеспечении) ИСПДн в рамках заключённых контрактов (договоров). По окончании работ временные учётные записи подлежат немедленному уничтожению администратором безопасности информации.

4.3.2.4. В целях поддержания учётных записей ИСПДн в актуальном состоянии ответственный за организацию обработки ПДн в Госюрбюро Московской области своевременно оповещает администратора безопасности информации в ИСПДн об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях.

Администратор безопасности информации не реже одного раза в год пересматривает, при необходимости, корректирует учётные записи пользователей ИСПДн.

4.3.2.5. Правила разграничения доступа к защищаемым ресурсам ИСПДн организации описываются разрешительной системой доступа к информационным, программным и техническим средствам ИСПДн Госюрбюро Московской области (далее – РСД) (приложение № 7).

В РСД должны фиксироваться полномочия (роли) пользователей, администраторов и лиц, обеспечивающих функционирование ИСПДн, а также объекты доступа, в отношении которых установлен наименьший уровень привилегий.

РСД разрабатывается администратором безопасности информации, утверждается директором Госюрбюро Московской области и корректируется по мере необходимости.

В целях обеспечения РСД ответственным за организацию обработки ПДн разрабатывается, а директором Госюрбюро Московской области утверждается перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей.

4.3.2.6. В ИСПДн должно быть реализовано управление информационными потоками между пользователями, устройствами, сегментами в рамках информационной системы, а также при взаимодействии с ИТКС ОП, включая сеть «Интернет». Управление информационными потоками должно блокировать передачу защищаемой информации по незащищенным линиям связи, сетевые запросы и трафик, несанкционированно исходящие из информационной системы и (или) входящие в информационную систему.

4.3.2.7. В ходе осуществления доступа к ресурсам ИСПДн пользователям запрещаются любые действия до прохождения ими процедур идентификации и аутентификации.

Администратору безопасности информации разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования ИСПДн в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).

4.3.2.8. В ИСПДн организации использование технологий беспроводного доступа допускается при выполнении ряда условий:

ограничение на использование технологий беспроводного доступа (беспроводной передачи данных, беспроводного подключения оборудования к сети, беспроводного подключения устройств к средству вычислительной техники) в соответствии с задачами (функциями) информационной системы, для решения которых такой доступ необходим;

предоставление технологий беспроводного доступа только тем пользователям,

которым он необходим для выполнения установленных должностных обязанностей

(функций); мониторинг и контроль применения технологий беспроводного доступа на предмет выявления несанкционированного использования технологий беспроводного доступа к объектам доступа информационной системы; контроль беспроводного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы до начала информационного взаимодействия с информационной системой.

При этом для исключения несанкционированного перехвата трафика беспроводной сети за пределами границы контролируемой зоны (КЗ) ИСПДн на точке беспроводного доступа должен быть выставлен минимально достаточный уровень сигнала.

4.3.2.9. В ИСПДн Госюрбюро Московской области допускается использование мобильных технических средств – съёмных МНИ (флэш-

накопителей, внешних накопителей на жестких дисках и иных устройств). Для таких устройств должен быть реализован запрет возможности запуска без команды пользователя в ИСПДн программного обеспечения (программного кода), используемого для взаимодействия с мобильным техническим средством.

Применение прочих мобильных технических средств, таких как личные ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные устройства, запрещается. Контроль применения мобильных технических средств на предмет выявления несанкционированного использования мобильных технических средств для доступа к объектам доступа ИСПДн возлагается на администратора безопасности информации в ИСПДн.

Ограничение программной среды.

Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в ИСПДн программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в ИСПДн программного обеспечения.

4.3.3.1. Установка (инсталляция) в ИСПДн (программного обеспечения) ПО и (или) его компонентов осуществляется с учетом перечня программного обеспечения и (или) его компонентов, разрешенных оператором к установке и приведённом в РСД. Установка ПО должна осуществляться только от имени администратора безопасности информации.

Администратор безопасности информации должен ежеквартально проверять АРМ ИСПДн на предмет отсутствия установленного в нём ПО, не разрешённого к установке.

Защита машинных носителей информации.

Меры по защите МНИ, содержащих ПДн (средств обработки (хранения) ПДн, съемных МНИ) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них ПДн, а также несанкционированное использование съемных машинных носителей ПДн.

4.3.4.1. Порядок учёта, хранения и обращения с МНИ, содержащими ПДн должны исключать возможность их утраты, хищения и несанкционированного доступа к ним посторонних лиц.

4.3.4.2. Все МНИ из состава ИСПДн, как встроенные в корпус средств вычислительной техники (несъёмные), так и съёмные, подлежат обязательному учёту с присвоением регистрационных (учётных) номеров. Учёт МНИ ведётся в «Журнале учёта машинных носителей информации» (приложение № 8) с указанием пользователя или группы пользователей, которым разрешен доступ к МНИ. Регистрация МНИ осуществляется работником Госюрбюро, ответственным за ведение служебного (конфиденциального) делопроизводства. При увольнении (смене) данного сотрудника составляется акт приема-передачи всех числящихся за ним МНИ. Акт утверждается директором Госюрбюро Московской области.

4.3.4.3. При регистрации на МНИ наносятся следующие реквизиты: Госюрбюро Московской области; регистрационный номер (например 123-ПДн); номер экземпляра; дата регистрации; фамилия и инициалы ответственного за учёт МНИ и его роспись.

Реквизиты наносятся либо на нерабочую поверхность МНИ специальным несмываемым маркером, либо распечатываются на бирке. Бирка прикрепляется к носителю способом, исключающим её случайное отторжение.

Несъёмные жёсткие магнитные диски учитываются в составе системного блока ПЭВМ. Бирка в этом случае наклеивается на поверхность системного блока в удобном для обозрения месте.

МНИ выдаются работникам под расписку в «Журнале учёта машинных носителей информации» или в специально заведённых карточках учёта выдачи (приложение № 9).

4.3.4.4. Хранение МНИ, содержащих ПДн осуществляется в запираемых шкафах (сейфах). Не допускается оставление МНИ в служебных кабинетах, на рабочих столах без присмотра при выходе работников, ответственных за их хранение, из помещения, а также вынос МНИ за пределы организации, если это не связано с целями обработки ПДн.

4.3.4.5. При предоставлении ПДн на МНИ в сторонние организации письме делается пометка – «содержит персональные данные». При этом МНИ, перед отправкой, проверяются на отсутствие вирусов.

4.3.4.6. По окончании сроков обработки и хранения ПДн осуществляется их гарантированное стирание с использованием механизмов СЗИ от НСД. Стирание должно исключать возможность восстановления защищаемой информации при передаче МНИ между пользователями, в сторонние организации для ремонта или утилизации.

Стирание ПДн осуществляется пользователем, имеющим на это право, с привлечением администратора безопасности информации. Факт гарантированного стирания оформляется актом (приложение № 1).

4.3.4.7. МНИ, содержащие ПДн и не подлежащие дальнейшему использованию, подлежат уничтожению.

Отбор на уничтожение МНИ и их физическое уничтожение осуществляется комиссией, возглавляемой ответственным за организацию обработки ПДн в Госюрбюро Московской области, с составлением акта (приложение № 1).

Уничтожение МНИ осуществляется путём сожжения, химического воздействия или измельчения носителя в стружку (крошку) с использованием специализированных устройств.

По окончании уничтожения МНИ члены комиссии подписывают акт уничтожения, председатель комиссии утверждает его у директора Госюрбюро Московской области. Должностное лицо, ответственное за учёт МНИ, проставляет отметку о факте уничтожения в «Журнале учёта машинных носителей информации» с указанием номера акта и даты уничтожения.

4.3.4.8. Хранение актов стирания ПДн (уничтожения МНИ) осуществляется установленным порядком в соответствии с «Перечнем типовых управленческих архивных документов…» и правилами обработки ПДн в Госюрбюро Московской области.

Регистрация событий безопасности.

Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в ИСПДн, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

4.3.5.1. Состав и содержание информации о событиях безопасности, включаемой в записи регистрации о событиях безопасности, должны, как минимум, обеспечить возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно), субъект доступа (пользователь и (или) процесс), связанный с данным событием безопасности.

4.3.5.2. Перечень событий безопасности, подлежащих регистрации, и время их хранения в ИСПДн определяются в инструкции администратору безопасности информации в ИСПДн Госюрбюро Московской области.

4.3.5.3. Доступ к записям аудита событий безопасности в ИСПДн, с целью контроля деятельности администратора безопасности информации, предоставляется ответственному за организацию обработки ПДн в Госюрбюро Московской области путём включения его в группу аудиторов журналов СЗИ от НСД.

Антивирусная защита.

Меры по антивирусной защите должны обеспечивать обнаружение в ИСПДн компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации. 4.3.6.1. Реализация антивирусной защиты должна предусматривать: применение сертифицированных средств антивирусной защиты (САВЗ) на АРМ ИСПДн, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные МНИ или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы); установку, конфигурирование и управление САВЗ только администратором

безопасности информации; своевременное обновление из доверенных источников баз данных признаков

вредоносных компьютерных программ (вирусов); проведение еженедельных проверок компонентов информационной системы

(автоматизированных рабочих мест, серверов, других средств вычислительной техники) на наличие вредоносных компьютерных программ (вирусов); проверку в масштабе времени, близком к реальному, объектов (файлов) из внешних источников (съемных МНИ, сетевых подключений, в том числе к сетям общего пользования, и других внешних источников) при загрузке, открытии или исполнении таких файлов; оповещение администратора безопасности информации пользователями

ИСПДн об обнаружении вредоносных компьютерных программ (вирусов); определение и выполнение действий по реагированию на обнаружение в ИСПДн объектов, подвергшихся заражению вредоносными компьютерными программами (вирусами).

4.3.6.2. Порядок осуществления антивирусной защиты в ИСПДн Госюрбюро Московской области устанавливается в «Инструкции по антивирусному контролю в информационных системах персональных данных».

Контроль (анализ) защищенности персональных данных.

Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в ИСПДн, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности СЗПДн.

4.3.7.1. Для выявления (поиска) уязвимостей в ИСПДн организации должны использоваться сертифицированные средства анализа (контроля) защищенности (сканеры безопасности). Доступ к функциям поиска уязвимостей (эксплуатации сканеров безопасности) предоставляется только администратору безопасности информации в ИСПДн. По результатам выявления (поиска) уязвимостей администратор безопасности информации составляет отчеты с описанием выявленных уязвимостей и планы мероприятий по их устранению.

4.3.7.2. Для выявления (поиска) уязвимостей, связанных с ошибками кода в программном (микропрограммном) обеспечении (общесистемном, прикладном, специальном), а также программном обеспечении СЗИ от НСД, администратор безопасности информации использует, в том числе, Банк данных угроз безопасности информации ФСТЭК России, а также опубликованные данные разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств, а также другие базы данных уязвимостей.

4.3.7.3. Нейтрализация выявленных уязвимостей в ИСПДн осуществляется администратором безопасности информации, в том числе путем установки обновлений ПО СЗИ от НСД, общесистемного и, прикладного ПО или микропрограммного обеспечения технических средств, в соответствии с рекомендациями производителей (разработчиков).

В случае невозможности устранения выявленных уязвимостей путём установки обновлений ПО СЗИ от НСД, общесистемного и прикладного ПО или микропрограммного обеспечения технических средств необходимо администратор безопасности информации предпринимает действия (настройку средств защиты информации, изменение режима и порядка использования информационной системы), направленные на устранение возможности использования выявленных уязвимостей.

4.3.7.4. Обновление ПО, включая ПО СЗИ от НСД и программное обеспечение базовой системы ввода-вывода, должно осуществляться из доверенных источников. При контроле установки обновлений осуществляются проверки соответствия версий общесистемного, прикладного и специального программного (микропрограммного) обеспечения, включая ПО средств защиты информации, установленного в ИСПДн и выпущенного разработчиком, а также наличие отметок в эксплуатационной документации (формуляр или паспорт) об установке (применении) обновлений.

Контроль установки обновлений проводится администратором безопасности информации ежеквартально с отметкой в плане периодических проверок условий обработки персональных данных в организации.

4.3.7.5. Контроль работоспособности, параметров настройки и правильности функционирования ПО и СЗИ от НСД проводится администратором безопасности информации не реже одного раза в год

При контроле работоспособности, параметров настройки и правильности функционирования ПО и СЗИ от НСД осуществляется:

контроль работоспособности (неотключения) ПО и СЗИ от НСД; проверка правильности функционирования (тестирование на тестовых

данных, приводящих к известному результату) ПО и СЗИ от НСД; контроль соответствия настроек ПО и СЗИ от НСД параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации; восстановление работоспособности (правильности функционирования) и параметров настройки ПО и СЗИ от НСД (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов.

Результаты контроля отражаются в плане периодических проверок условий обработки персональных данных в организации.

4.3.7.6. Контроль состава технических средств, ПО и СЗИ от НСД проводится лицом, ответственным за обеспечение безопасности ПДн не реже двух раз в год с отметкой в плане периодических проверок условий обработки персональных данных в организации.

При контроле состава технических средств, ПО и СЗИ от НСД осуществляется:

контроль соответствия состава технических средств, ПО и СЗИ от НСД приведенному в эксплуатационной документации с целью поддержания актуальной (установленной в соответствии с эксплуатационной документацией) конфигурации

ИСПДн и принятие мер, направленных на устранение выявленных недостатков; контроль состава технических средств, ПО и СЗИ от НСД на соответствие сведениям действующей (актуализированной) эксплуатационной документации и принятие мер, направленных на устранение выявленных недостатков; контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков; исключение (восстановление) из состава информационной системы несанкционированно установленных (удаленных) технических средств, ПО и СЗИ от НСД.

4.3.7.7. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в ИСПДн Госюрбюро Московской области осуществляется ответственным за обеспечение безопасности ПДн не реже одного раза в год с отметкой в плане периодических проверок условий обработки персональных данных в организации.

При контроле осуществляется:

контроль правил генерации и смены паролей пользователей; контроль заведения и удаления учетных записей пользователей; контроль реализации правил разграничения доступом; контроль реализации полномочий пользователей;

контроль наличия документов, подтверждающих разрешение изменений учетных записей пользователей, их параметров, правил разграничения доступа и полномочий пользователей, предусмотренных организационно-распорядительными документами по защите информации; устранение нарушений, связанных с генерацией и сменой паролей пользователей, заведением и удалением учетных записей пользователей, реализацией правил разграничения доступа, установлением полномочий пользователей.

Обеспечение доступности персональных данных.

Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в ИСПДн, в штатном режиме функционирования информационной системы.

4.3.8.1. Для обеспечения доступности ПДн администратор безопасности информации и пользователи ИСПДн осуществляют периодическое резервное копирование информации на резервные МНИ. Резервное копирование проводится по мере накопления ПДн, но не реже одного раза в месяц.

Резервное копирование ПДн допускается только на учтённые установленным порядком съёмные МНИ.

Перечень информации (типов информации), подлежащей периодическому резервному копированию, уточняется лицом, ответственным за обеспечение безопасности ПДн, для каждой информационной системы отдельно.

Защита технических средств.

Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование ИСПДн (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.

4.3.9.1. Директором Госюрбюро Московской области определяется контролируемая зона (КЗ), в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования.

КЗ включает пространство, в котором исключено неконтролируемое пребывание работников (сотрудников) оператора и лиц, не имеющих постоянного допуска на объекты ИСПДн (не являющихся работниками оператора), а также транспортных, технических и иных материальных средств.

4.3.9.2. В Госюрбюро Московской области должны обеспечиваться контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения, в которых они установлены.

Список лиц, допущенных к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения ИСПДн, утверждается директором Госюрбюро Московской области.

Учёт физического доступа к техническим средствам, средствам защиты информации, осуществляется средствами аудита СЗИ от НСД.

4.3.9.3. Размещение устройств вывода (отображения, печати) информации  в ИСПДн должно исключать возможность несанкционированного просмотра выводимой информации, как из-за пределов КЗ, так и в пределах КЗ.

Защита информационной системы, ее средств, систем связи и передачи данных.

Меры по защите ИСПДн, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.

4.3.10.1. Наличие беспроводных соединений в ИСПДн организации должно быть по возможности исключено.

Защита беспроводных соединений должна включать в себя: ограничение на использование в информационной системе беспроводных соединений (в частности 802.11xWi-Fi, 802.15.1 Bluetooth, 802.22WRAN, IrDA и иных беспроводных соединений) в соответствии с задачами (функциями) информационной системы, для решения которых такие соединения необходимы; предоставление доступа к параметрам (изменению параметров) настройки

беспроводных соединений только администратору безопасности информации; обеспечение возможности реализации беспроводных соединений только через контролируемые интерфейсы (в том числе, путем применения средств защиты информации); регистрация и анализ событий, связанных с использованием беспроводных соединений, в том числе для выявления попыток несанкционированного подключения к информационной системе через беспроводные соединения.

4.3.10.2. При обеспечении защиты беспроводных соединений в зависимости от их типов должны реализовываться меры по идентификации и аутентификации.

4.3.10.3. При        невозможности   исключения         установления          беспроводных соединений из-за пределов КЗ должны приниматься меры защищенного удаленного доступа.

Управление конфигурацией информационной системы и системы защиты персональных данных.

Меры по управлению конфигурацией ИСПДн и её системы защиты должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

4.3.11.1. Изменения в конфигурацию ИСПДн и её систему защиты вносит только администратор безопасности информации с разрешения лица, ответственного за обеспечение безопасности ПДн, и по согласованию с организацией-разработчиком СЗПДн и организацией, осуществлявшей аттестацию ИСПДн по требованиям безопасности информации.

Внесение изменений в конфигурацию ИСПДн и её системы защиты сопровождается своевременной корректировкой технического паспорта и другой эксплуатационно-технической документации.

4.3.11.2. Внесению изменений в конфигурацию ИСПДн и её систему защиты должен предшествовать анализ потенциального воздействия планируемых изменений на обеспечение защиты ПДн.

Определение угроз безопасности персональных данных.

4.3.12.1. Угрозы безопасности ПДн определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей ИСПДн, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

4.3.12.2. Максимально полное описание угроз безопасности ПДн и описание предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак на ПДн, приводятся в частной модели угроз безопасности персональных данных, обрабатываемых в ИСПДн, и модели нарушителя.

4.3.12.3. В ходе эксплуатации ИСПДн должен регулярно проводиться анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации периодически переоцениваться.

Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях:

изменения требований законодательства Российской Федерации о защите ПДн, нормативных правовых актов и методических документов, регламентирующих защиту информации; изменения конфигурации (состава основных компонентов) и особенностей функционирования ИСПДн, следствием которых стало возникновение новых угроз безопасности информации; выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих; появления сведений и фактов о новых возможностях нарушителей.

Подготовка должностных лиц, ответственных за обеспечение безопасности персональных данных.

4.3.13.1. Переподготовка (повышение квалификации) лиц, ответственных за обеспечение безопасности ПДн, осуществляется в организациях, осуществляющих образовательную деятельность, имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК России, с периодичностью, позволяющей специалистам в условиях нарастания количества угроз безопасности информации, а также с учетом необходимости постоянного совершенствования методов и средств их нейтрализации получать новые знания, умения и навыки, необходимые для профессиональной деятельности, но не реже одного раза в 3 года.

Контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

4.3.14.1. Внутренний контроль и (или) аудит соответствия обработки ПДн Законодательству Российской Федерации, настоящему Положению и локальным актам Госюрбюро Московской области проводится в целях выявления возможных нарушений правил обработки ПДн, своевременного принятия мер, направленных на их устранение, а также недопущения их в дальнейшем в ходе выполнения организацией своих функций.

4.3.14.2. Мероприятия по внутреннему контролю в Госюрбюро Московской области организуются должностным лицом, ответственным за организацию обработки ПДн. Меры по внутреннему контролю должны отражаться в соответствующем разделе «Плана мероприятий по обеспечению безопасности персональных данных в ГКУ «Государственное юридическое бюро по Московской области» и представляют собой проверки соответствия нормативным требованиям, как периодические, осуществляемые не реже одного раза в год, так и внеплановые, приводящиеся в случае выявления нарушений законодательства в сфере обработки и защиты ПДн.

ТРЕБОВАНИЯ К ПОМЕЩЕНИЯМ ИНФОРМАЦИОННЫХ

СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

Требования к помещениям, в которых обрабатываются персональные данные

5.1.1. Оборудование и эксплуатация помещений Госюрбюро Московской области, в которых обрабатываются ПДн, должны обеспечивать надёжную сохранность материальных носителей персональных данных (как бумажных, так и МНИ), средств их защиты и исключать возможность проникновения и (или) неконтролируемого пребывания в этих помещениях посторонних лиц.

Помещения должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации.

5.1.2. Помещения, в которых осуществляется обработка ПДн, как автоматизированная, так и без использования средств автоматизации, должны иметь крепкие стены, оборудоваться замками, гарантирующими надёжное закрытие помещений в нерабочее время. Дополнительно, помещения могут оборудоваться средствами контроля и управления доступом.

В случае возможности беспрепятственного просмотра помещения, в котором обрабатываются ПДн, извне окна помещения (стеклянные двери) оборудуются шторами (жалюзи).

5.1.3. Вход в помещения разрешается постоянно работающим в них работникам организации по списку, подписанному директором Госюрбюро Московской области. Лица, не являющиеся работниками Госюрбюро Московской области, но по характеру своей работы обязанные посещать данные помещения, включаются в список отдельно и допускаются в помещения только под контролем ответственного за это помещение.

5.1.4. Уборка помещений должна проводиться под контролем ответственного за помещение или одного из работников Госюрбюро Московской области.

5.1.5. Для хранения материальных носителей ПДн в подразделениях Госюрбюро Московской области выделяется достаточное количество сейфов (запираемых шкафов) с приспособлениями для опечатывания замочных скважин или кодовыми замками. Вторые экземпляры ключей от сейфов (шкафов) должны храниться у лица, ответственного за организацию обработки ПДн в опечатанном виде.

Требования         к        помещениям,       в        которых     установлены криптосредства или хранятся ключевые документы к ним

5.2.1. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним (далее – спецпомещения), должны обеспечивать сохранность персональных данных, криптосредств и ключевых документов к ним и исключать возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

5.2.2. Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Кроме того, при оборудовании спецпомещений должны выполняться требования к размещению, монтажу криптосредств, а также другого оборудования, функционирующего с криптосредствами.

Окна спецпомещений, расположенных на первых или последних этажах здания, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, оборудуются металлическими решетками или охранной сигнализацией.

5.2.3. По окончании рабочего дня двери спецпомещений закрываются и опечатываются. Ключи от спецпомещений сдаются в опечатанном виде, под расписку в соответствующем журнале, в дежурную службу ФГУП «Охрана» Росгвардии России одновременно с передачей под охрану самих спецпомещений.

5.2.4. Ключевые документы, эксплуатационная и техническая документация, носители с инсталлирующими криптосредства программами должны хранится в надежно запираемых шкафах (ящиках, хранилищах) индивидуального пользования, оборудованных приспособлениями для опечатывания замочных скважин.

Ключи от этих хранилищ должны находиться у соответствующих пользователей СКЗИ.

5.2.5. Вход в спецпомещения разрешается постоянно работающим в них работникам организации по списку, подписанному директором Госюрбюро Московской области. Лица, не являющиеся работниками Госюрбюро Московской области, но по характеру своей работы обязанные посещать данные помещения, включаются в список отдельно и допускаются в помещения только под контролем ответственного за это помещение.

Уборка помещений должна проводиться под контролем ответственного за помещение или одного из работников Госюрбюро Московской области.

5.2.6. Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в спецпомещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ.

5.2.7. При утрате ключа от хранилища или от входной двери в спецпомещение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Ключевые и другие документы из хранилища, от которого утрачен ключ, до изменения секрета замка хранятся в сейфе ответственного за организацию обработки ПДн в Госюрбюро Московской области.

5.2.8. В обычных условиях спецпомещения, находящиеся в них опечатанные хранилища могут быть вскрыты только пользователями криптосредств или работниками Госюрбюро Московской области, имеющими на это право.

При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено ответственному за организацию обработки ПДн в Госюрбюро Московской области. Указанное лицо должно оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять при необходимости меры к локализации последствий компрометации ПДн и к замене скомпрометированных криптоключей.