Телефон единой дежурно-диспетчерской службы МО Щекинский район 8(48751)5-66-56    Телефон доверия Губернатора: 8-800-200-71-02
Размер шрифта: A A A
Цвет сайта: A A A A
Реализация стратегических инициатив Президента Российской Федерации в Щекинском районе
Реализация стратегических инициатив Президента Российской Федерации в Щекинском районе
Муниципальный земельный контроль
Государственное учреждение Тульской области «Областное бюро технической инвентаризации»
Общественный совет муниципального образования Щекинский раойн
Общественное обсуждение Программы социально-экономического развития Тульской области  на 2016-2021 годы
Открытый муниципалитет

Ответственный за точность и поддержание информации раздела в актуальном состоянии: Отдел по информационному обеспечению

Правовые акты

Порядок обжалования нормативных правовых актов и иных решений, принятых администрацией Щекинского района

Возврат к списку
04.09.2015 Файл нормативно-правового акта:  Загрузить
Тип файла: doc
Размер файла: 0.14 Мбайт

Герб Щекинского района размером 100 на 100 пикселей в рамке, формата jpg


Тульская область
Муниципальное образование
ЩЁКИНСКИЙ РАЙОН
АДМИНИСТРАЦИЯ ЩЁКИНСКОГО РАЙОНА

Р А С П О Р Я Ж Е Н И Е

№  288-р

от 31.08.2015 г.


Об утверждении положения об обеспечении безопасности персональных данных администрации муниципального образования Щекинский район


В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», руководящими и нормативно-методическими документами Федеральной службы по техническому и экспортному контролю (ФСТЭК России), на основании Устава муниципального образования Щекинский район:

1.                 Утвердить положение об обеспечении безопасности персональных данных администрации муниципального образования Щекинский район (Приложение).

2.                 Распоряжение вступает в силу со дня подписания.

Глава администрации муниципального образования Щекинский район                                                           О.А. Федосов


Исп. Устинов К.А.

тел.: 848751-5-51-20

Об утверждении положения об обеспечении безопасности персональных данных администрации муниципального образования Щекинский район




Приложение

к распоряжению администрации муниципального образования

Щекинский район

от 31.08.2015 № 288-р

ПОЛОЖЕНИЕ

об обеспечении безопасности персональных данных администрации муниципального образования Щекинский район

1.    Общие положения

1.1.          Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных разработано в целях выполнения требований законодательства Российской Федерации в области защиты персональных данных (далее – Положение).

1.2.          В положении устанавливаются требования к обеспечению безопасности персональных данных путём принятия правовых, организационных и технических мер (далее – меры защиты информации), направленных на:

- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий;

- соблюдение конфиденциальности и целостности информации;

- реализацию права на доступ к информации в соответствии с законодательством Российской Федерации.

1.3. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы могут привлекаться (при необходимости) организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности».

1.4. Пересмотр положения с целью поддержания в актуальном состоянии проводится при:

- возникновении условий, существенно влияющих на процессы обработки персональных данных и нерегламентированных настоящим документом;

- по результатам контрольных мероприятий и проверок контролирующих органов, выявивших несоответствие требованиям по обеспечению безопасности персональных данных;

- при появлении новых требований к обеспечению безопасности персональных данных со стороны законодательства Российской Федерации и контролирующих органов.

2.     Требования к организации защиты информации

2.1. В информационной системе объектами защиты являются:

- информация, содержащаяся в информационной системе;

- технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации, иные технические средства, используемые для обработки информации), общесистемное, прикладное, специальное программное обеспечение, реализующие информационные технологии, входящие в периметр защиты информационной системы;

- средства защиты информации.

2.2. Периметр защиты информационной системы определяется совокупностью физически и (или) логически выделенных технических средств и программного обеспечения, в отношении которых применяются меры защиты информации, и осуществляется контроль за их применением.

2.3. Для обеспечения защиты информации в ходе создания и эксплуатации информационной системы назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

2.4.          Для проведения работ по защите информации в ходе создания и эксплуатации информационных систем могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

2.5.          Для обеспечения защиты информации применяются средства защиты, прошедшие в соответствии с законодательством Российской Федерации оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

2.6.          Защита информации является неотъемлемой частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) создания и эксплуатации информационной системы с помощью системы (подсистемы) защиты информации, включающей организационные и технические меры защиты информации, обеспечивающие блокирование (нейтрализацию) актуальных угроз безопасности информации (далее – система защиты информации информационной системы).

2.7.          Система защиты информации должна обеспечивать конфиденциальность, целостность и (или) доступность защищаемой информации.

3.     Формирование требований к системе защиты информации

3.1. Организация системы защиты информации включает следующие этапы:

- принятие решения о необходимости создания системы защиты информации;

- классификацию информационной системы по требованиям защиты информации (далее – классификация информационной системы);

- определение актуальных угроз безопасности информации и разработку на их основе модели угроз безопасности информации;

- определение требований к системе защиты информации информационной системы.

3.2. При принятии решения о необходимости создания системы защиты информации осуществляется:

- анализ целей создания информационной системы и задач, решаемых этой информационной системой;

- определение видов (типов) информации, подлежащей обработке в информационной системе;

- анализ нормативных правовых актов, методических документов и национальных стандартов, требованиям которых должна соответствовать информационная система;

- принятие решения о необходимости создания системы защиты информации, включающее определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы.

3.3. Решение о необходимости создания системы защиты информации является основой для определения требований к системе защиты информации информационной системы.

3.4. Результаты классификации информационной системы оформляются соответствующим актом классификации.

3.5. Актуальные угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) нарушителей (внешних, внутренних), анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

3.6. При определении актуальных угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами (составными частями) информационной системы и взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе в целом и в ее отдельных сегментах.

3.7. По результатам определения актуальных угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

3.8. Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации, которая должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание актуальных угроз безопасности информации, включающее описание возможностей нарушителей, возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

3.9. Для определения актуальности угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы ФСТЭК России, разработанные и утвержденные в пределах ее полномочий.

4.     Разработка системы защиты информации информационной системы

4.1. Разработка системы защиты информации включает следующие этапы:

- проектирование системы защиты информации информационной системы;

- разработку документации на систему защиты информации информационной системы;

- макетирование и тестирование системы защиты информации информационной системы (при необходимости).

4.2. Разрабатываемая система защиты информации не должна препятствовать достижению целей создания информационной системы и ее функционированию.

4.3. При проектировании системы защиты информации информационной системы:

- определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);

- определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и используемые правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;

- осуществляется выбор мер защиты информации, подлежащих реализации в системе защиты информации информационной системы;

- определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;

- определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;

- осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами обработки информации, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;

- определяются параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению актуальных угроз безопасности информации;

- формируются требования к защите информации при информационном взаимодействии с иными информационными системами.

4.4. Эксплуатационная документация на систему защиты информации информационной системы должна содержать:

- структуру системы защиты информации информационной системы;

- состав, места установки, параметры и порядок настройки средств защиты информации, программного обеспечения и технических средств обработки информации;

- правила эксплуатации системы защиты информации информационной системы.

4.5. При тестировании системы защиты информации информационной системы осуществляется:

- проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами обработки информации;

- проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;

- корректировка документации на систему защиты информации информационной системы.

5.     Реализация системы защиты информации информационной системы

5.1. Реализация системы защиты информации информационной системы организуется и проводится в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и включает:

- установку и настройку средств защиты информации в информационной системе;

- разработку документов, определяющих правила и процедуры, реализуемые для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее – организационно-распорядительные документы по защите информации);

- внедрение организационных мер;

- предварительные испытания системы защиты информации информационной системы;

- опытную эксплуатацию системы защиты информации информационной системы;

- анализ уязвимостей информационной системы;

5.2. Установка и настройка средств защиты информации в информационной системе должна проводиться в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и документацией на средства защиты информации.

5.3. Разрабатываемые организационно-распорядительные документы по защите информации определяют:

- правила и процедуры идентификации и аутентификации субъектов доступа и объектов доступа, в том числе предусматривающие управление учетными записями пользователей, установление полномочий пользователей, правила генерации, смены и восстановления паролей пользователей;

- правила и процедуры управления доступом субъектов доступа к объектам доступа, в том числе устанавливающие перечень лиц, имеющих доступ к объектам доступа информационной системы, и их права (привилегии) доступа к этим объектам;

- правила и процедуры защиты машинных носителей информации, в том числе устанавливающие порядок вывода информации на внешние носители информации, учета, хранения и использования съемных машинных носителей информации, процедуры архивирования информации, порядок стирания (уничтожения) данных и остаточной информации с машинных носителей информации и (или) уничтожения машинных носителей информации;

- правила и процедуры регистрации событий безопасности, в том числе предусматривающие порядок контроля за действиями пользователей (администраторов) в информационной системе;

- правила и процедуры обеспечения целостности информационной системы и информации, в том числе предусматривающие контроль целостности системы защиты информации информационной системы, порядок периодического анализа уязвимостей информационной системы и принятия первоочередных мер по устранению вновь выявленных уязвимостей, восстановления работоспособности и настроек системы защиты информации информационной системы в случае нарушения функционирования информационной системы;

- правила и процедуры защиты технических средств, в том числе определяющие перечень лиц, имеющих доступ в помещения, в которых расположены технические средства, и порядок их доступа в помещения и к техническим средствам;

- правила и процедуры защиты информационной системы, ее средств и систем связи и передачи данных, в том числе определяющие порядок использования периферийных устройств, которые могут активироваться удаленно, технологий мобильного кода, технологий передачи речи и видеоинформации, порядок защиты внутренних и внешних беспроводных соединений, порядок использования и защиты мобильных устройств;

- правила и процедуры управления конфигурацией, в том числе определяющие порядок обновления программного обеспечения, управления параметрами настройки средств защиты информации, составом и конфигурацией технических средств обработки информации и программного обеспечения, контроля за несанкционированными подключениями технических средств обработки информации и установкой программного обеспечения;

- правила и процедуры анализа угроз безопасности информации и принятия дополнительных мер защиты информации от вновь возникших угроз безопасности информации, выявления и устранения недостатков в системе защиты информации информационной системы, внесения изменений в документацию на систему защиты информации информационной системы;

- правила и процедуры выявления реагирования на инциденты, связанные с защитой информации;

- правила и процедуры обслуживания системы защиты информации информационной системы;

- порядок обучения и информирования пользователей о правилах эксплуатации системы защиты информации информационной системы и средств защиты информации, а также информирования об угрозах безопасности информации.

5.4. При внедрении организационных мер осуществляется:

- реализация в соответствии с организационно-распорядительными документами по защите информации правил, регламентирующих права доступа субъектов доступа к объектам доступа (далее - правила разграничения доступа), и введение ограничений на действия пользователей, а так же на изменение условий эксплуатации, состава и конфигурации технических средств обработки информации и программного обеспечения;

- проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов информационной системы по реализации организационных мер;

- отработка действий должностных лиц и подразделений, ответственных за реализацию организационных мер.

5.5. Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.

5.6. Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств обработки информации и программного обеспечения информационной системы.

5.7. При анализе уязвимостей информационной системы проверяется отсутствие известных уязвимостей средств защиты информации, технических средств обработки информации и программного обеспечения, в том числе на основе информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств обработки информации и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами обработки информации и программным обеспечением.

5.8. В случае выявления уязвимостей информационной системы, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования выявленных уязвимостей.

6.     Аттестация информационной системы на соответствие требованиям по защите информации и ввод ее в действие

6.1. Аттестация информационной системы на соответствие требованиям по защите информации включает оценку соответствия организации защиты информации и системы защиты информации требованиям по безопасности информации.

6.2. Аттестация информационной системы проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации в информационной системе. Для проведения аттестации информационной системы применяются национальные стандарты, а также методические документы ФСТЭК России, разработанные и утвержденные в пределах ее полномочий.

6.3. По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний и заключение о соответствии информационной системы требованиям о защите информации.

6.4. Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

6.5. Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний и аттестате соответствия.

6.6. В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания.

6.7. Сегмент считается соответствующим аттестованному сегменту информационной системы, если для обоих сегментов установлены одинаковые классы и/или уровни защищенности, актуальные угрозы безопасности информации, реализованы одинаковые решения по системе защиты информации информационной системы.

6.8. В сегментах информационной системы, на которые распространяется аттестат соответствия, обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации.

6.9. Повторная аттестация информационной системы осуществляется в случае окончания срока действия аттестата соответствия, изменения класса и/или уровня защищенности информационной системы, состава актуальных угроз безопасности информации.

7.     Эксплуатация системы защиты информации информационной системы

7.1. Эксплуатация системы защиты информации информационной системы осуществляется при наличии аттестата соответствия требованиям по защите информации в соответствии с эксплуатационной документацией на систему защиты информации и организационно-распорядительными документами по защите информации и должна в том числе включать:

- обеспечение безопасности среды эксплуатации информационной системы;

- администрирование системы защиты информации информационной системы;

- реагирование на инциденты, связанные с защитой информации;

управление конфигурацией системы защиты информации информационной системы;

- управление защитой информации в информационной системе.

7.2. Безопасность среды эксплуатации информационной системы обеспечивается:

- организацией контролируемой зоны, в пределах которой постоянно размещаются технические средства, обрабатывающие информацию, и средства защиты информации, а также средства, обеспечивающие функционирование информационной системы (далее – средства обеспечения функционирования);

- контролем и управлением доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены;

- защитой технических средств, средств защиты информации и средств обеспечения функционирования.

7.3. В ходе администрирования системы защиты информации информационной системы осуществляется:

- заведение и удаление учетных записей пользователей, управление полномочиями пользователей информационной системы и поддержание правил разграничения доступа в информационной системе;

- управление средствами защиты информации в информационной системе, включая восстановление их работоспособности, генерацию, смену и восстановление паролей;

- централизованное управление системой защиты информации информационной системы (при необходимости);

- внесение изменений в организационно-распорядительные документы по защите информации (при необходимости);

- анализ событий в информационной системе, относящихся к безопасности информации;

информирование пользователей о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации и их обучение, а также об угрозах безопасности информации.

7.4. В ходе реагирования на инциденты, связанные с защитой информации, осуществляется:

- обнаружение, квалификация и регистрация инцидентов, связанных с защитой информации, в том числе сбоев в работе технических средств, программного обеспечения и средств защиты информации, внедрения вредоносных компьютерных программ (вирусов), неправомерных действий пользователей и иные событий, связанных с защитой информации;

- своевременное информирование структурного подразделения или должностного лица, ответственных за защиту информации, пользователями информационной системы об инцидентах, связанных с защитой информации;

- выявление причин возникновения инцидентов, связанных с защитой информации, оценка их последствий, планирование и принятие мер по предупреждению и устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов после сбоев, выявлению и устранению последствий внедрения вредоносных компьютерных программ (вирусов), неправомерных действий пользователей и иных событий, связанных с защитой информации.

7.5. В ходе управления конфигурацией системы защиты информации информационной системы осуществляется:

- обеспечение целостности системы защиты информации информационной системы, включая резервирование средств защиты информации;

- установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации, выпускаемых их разработчиками (по поручению разработчиков);

- управление параметрами настройки программного обеспечения, включая программное обеспечение средств защиты информации, составом и конфигурацией технических средств и программного обеспечения, а также контроль за несанкционированными подключениями технических средств и установкой программного обеспечения.

7.6. Перед реализацией планируемых в процессе управления конфигурацией изменений в информационной системе и ее системе защиты информации проводится оценка их потенциального воздействия на обеспечение защиты информации и работоспособность информационной системы.

7.7. Изменения в информационной системе и ее системе защиты информации, внесенные в процессе управления конфигурацией, подлежат документированию.

7.8. В ходе управления защитой информации в информационной системе осуществляется:

- выполнение организационных мер защиты информации;

- контроль состояния защиты информации в информационной системе, включая контроль за событиями и действиями пользователей информационной системы;

- анализ и оценка функционирования системы защиты информации информационной системы, включая выявление, анализ и устранение недостатков в функционировании системы защиты информации информационной системы;

- периодический анализ уязвимостей информационной системы и оперативное принятие первоочередных мер по устранению вновь выявленных уязвимостей, приводящих к возникновению актуальных угроз безопасности;

- периодический анализ изменения угроз безопасности информации в информационной системе, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации;

- анализ влияния на систему защиты информации информационной системы планируемых изменений в информационной системе;

- доработка (модернизация) системы защиты информации информационной системы и ее повторная аттестация при изменении класса и/или уровня защищенности информационной системы, состава актуальных угроз безопасности информации;

- сопровождение системы защиты информации информационной системы в ходе ее эксплуатации, включая корректировку эксплуатационной документации на нее.

7.9. Результаты контроля состояния защиты информации, анализа и оценки функционирования системы защиты информации информационной системы, анализа уязвимостей и изменения угроз безопасности информации в информационной системе подлежат документированию.

8.    Защита информации в ходе снятия с эксплуатации информационной системы или после окончания обработки информации

8.1. Защита информации в ходе снятия с эксплуатации информационной системы или после окончания обработки информации осуществляется в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и организационно-распорядительными документами по защите информации и включает:

- архивирование информации, содержащейся в информационной системе;

- уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

8.2. Архивирование информации, содержащейся в информационной системе, обеспечивается при необходимости ее дальнейшего использования.

8.3. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости их передачи между пользователями информационной системы или в сторонние организации для ремонта, технического обслуживания или дальнейшей утилизации.

8.4. При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется уничтожение этих машинных носителей информации.

9.     Требования к системе защиты информации информационной системы

9.1. Система защиты информации, реализуемая в информационной системе, в зависимости от актуальных угроз безопасности информации и структурно-функциональных характеристик информационной системы включает следующие меры защиты информации:

- обеспечение доверенной загрузки;

- идентификацию и аутентификацию субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защиту машинных носителей информации;

- регистрацию событий безопасности;

- обеспечение целостности информационной системы и информации;

- защиту среды виртуализации;

- защиту технических средств;

- защиту информационной системы, ее средств и систем связи и передачи данных.


Начальник отдела по информационному обеспечению                                  А.Н. Сошников






Количество показов: 1049

Файл нормативно-правового акта:  Загрузить
Тип файла: doc
Размер файла: 0.14 Мбайт


Возврат к списку