Инструкции по порядку учета и хранению съемных носителей Руководство пользователя по обеспечению безопасности ИСПДн в организации и Запретить сотрудникам, имеющим доступ к персональным данным.
Инструкции по порядку учета и хранению съемных носителей Руководство пользователя по обеспечению безопасности ИСПДн. Запретить сотрудником имеющих доступ к персональным данным. Инструктирование сотрудников, работающих в ЗП о правилах эксплуатации ПЭВМ, других технических.
Установка контроля над использованием сменных носителей в Windows 7 Рис. 8. Запретить установку устройств, не описанных в других правилах. Вместе то пользователи могут использовать BitLocker на съемных носителях.
Утвердить Инструкцию по порядку учёта и хранения электронных Утвердить форму акта уничтожения съёмных носителей персональных данных (прилагается). 5. магнитные носители информации для ПЭВМ ( жесткие магнитные диски АРМ - автоматизированное рабочее место пользователя (ПК с.
ДЕПАРТАМЕНТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ГОРОДА МОСКВЫ Методические рекомендации органам исполнительной власти города Москвы по организации защиты конфиденциальной информации и персональных данных Москва Содержание 1. Сводный перечень организационно-распорядительных документов, регламентирующих организацию работ в органах исполнительной власти по защите конфиденциальной информации и персональных данных № п/п Наименование документа Основание КИ ПДн Примечание Приказы 1 Приказ о назначении работника (структурного подразделения), ответственного за обеспечение безопасности конфиденциальной информации, в том числе ПДн ФСТЭК + + 2 Приказ о назначении работника (структурного подразделения), ответственного за выполнение работ по технической и криптографической защите ПДн ФСБ + В случае использования СКЗИ 3 Приказ о составе комиссии по классификации автоматизированных систем ФСТЭК + 4 Приказ о составе комиссии по классификации информационных систем персональных данных + 5 Приказ о выделении помещения (помещений) в котором производится обработка конфиденциальной информации, в том числе ПДн (в соответствии с тем в каких отделах, подразделениях организации обрабатываются ПДн). Приложение: список допущенных сотрудников Роскомнадзор, ФСТЭК + + 6 Приказ о назначении администраторов безопасности СЗ конфиденциальной информации, в том числе ПДн в целом и прикладных администраторов ФСТЭК + + 7 Приказ об утверждении мест хранения материальных носителей персональных данных Роскомнадзор + В случае неавтоматизированной обработке ПДн 8 Приказ о назначении комиссии по уничтожению документов с ПД Роскомнадзор + 9 Приказы (на этапе ввода в эксплуатацию): на проектирование объекта информатизации и назначение ответственных исполнителей: на проведение работ по защите информации; о назначении лиц, ответственных за эксплуатацию объекта информатизации; на обработку в АС (обсуждение в ЗП) конфиденциальной информации ФСТЭК + Инструкции 1 Инструкция по порядку учета и хранению съемных носителей конфиденциальной информации ФСТЭК + + 2 Инструкция, определяющая порядок охраны, внутри объектовый режим и порядок допуска лиц в помещения, в которых ведется обработка конфиденциальной информации, в том числе персональные данные ФСТЭК + + Положения 1 Положение о порядке организации и проведения работ по защите конфиденциальной информации или приложение к руководству по защите информации от утечки по техническим каналам ФСТЭК + + 2 Положение о порядке обработки и обеспечении безопасности персональных данных ФСТЭК, Роскомнадзор + 3 Положение о подразделении, осуществляющем функции по организации защиты персональных данных ФСТЭК + При наличии 4 Положение (инструкция) о резервировании и восстановлении работоспособности ТС и ПО, баз данных и средств СЗПДн ФСТЭК + + Руководства 1 Руководство пользователя по эксплуатации технических и программных средств защиты конфиденциальной информации ФСТЭК + + 2 Руководство администратора по эксплуатации технических и программных средств защиты конфиденциальной информации ФСТЭК + + 3 Руководство пользователя по обеспечению безопасности ИСПДн ФСТЭК + 4 Руководство администратора по обеспечению безопасности ИСПДн ФСТЭК + Журналы 1 Журнал учета бумажных и съемных носителей конфиденциальной информации, в том числе ПДн ФСТЭК + + 2 Журнал регистрации и учета обращений субъектов персональных данных ФСТЭК + Возможно ведение в электронной форме 3 Журнал ознакомления ответственных за обеспечение безопасности ПДн, за выполнение работ по защите ПДн под расписку с Типовыми требованиями и другими документами, регламентирующими организацию и обеспечение безопасности ПДн при их обработке в ИСПДн ФСБ + 4 Журнал учета криптосредств, эксплуатационной и технической документации к ним ФСБ + В случае использования СКЗИ 5 Журнал учета ключевых носителей ФСБ + В случае использования СКЗИ 6 Журнала учета персональных данных для пропуска субъекта персональных данных на территорию оператора ПП + При неавтоматизированной обработке Перечни 1 Перечень используемых сертифицированных технических средств защиты информации (всех ТЗИ, так как все должны быть сертифицированы) ФСТЭК + + 2 Перечень сведений конфиденциального характера, подлежащих защите, в том числе ПДн и лист ознакомления к нему. ФСТЭК + + 3 Перечень АС и ИС, обрабатывающих конфиденциальную информацию и персональные данные ФСТЭК + + 4 Перечень эксплуатационной и технической документации, применяемых средств защиты информации ФСТЭК + + 5 Перечень носителей персональных данных ФСТЭК + Списки 1 Список помещений, в которых разрешена обработка конфиденциальной информации ФСТЭК + + Приложение к приказу 2 Утвержденный список лиц, допущенных в ЗП ФСТЭК + + 3 Утвержденный список лиц, допущенных к работе на автоматизированных системах (АС), также в ИСПДн ФСТЭК + + 4 Утвержденный список лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей ФСТЭК + Акты 1 Акт классификации АС ФСТЭК + 2 Акт классификации ИСПДн и лист ознакомления сотрудников, в части касающейся ФСТЭК + 3 Акт об уничтожении персональных данных субъекта (ов) персональных данных (в случае достижения цели обработки) (как в информационных системах, так и на бумажном носителе) Роскомнадзор + в случае достижения цели обработки Модели 1 Модель угроз безопасности информации ФСТЭК + 2 Модель нарушителя ФСТЭК + 3 Частная модель угроз безопасности ПДн ФСТЭК + Планы 1 План мероприятий по технической защите информации ФСТЭК + + 2 План мероприятий по защите персональных данных ФСТЭК + 3 План внутренних проверок состояния защиты конфиденциальной информации ФСТЭК + 4 План внутренних проверок состояния защиты персональных данных ФСТЭК + 5 Планы устранения недостатков, выявленных в ходе проверок вопросов защиты информации ФСТЭК + + Другие 1 Политика информационной безопасности органа исполнительной власти ФСТЭК + + 2 матрица доступа персонала к сведениям конфиденциального характера и разграничение доступа в соответствии с матрицей ФСТЭК + + 3 Описание конфигурации и топологии АС (ИСПДн), физических, функциональных и технологических связей внутри этих систем, так и с другими системами различного уровня и назначения, а также режимов обработки ПДн ФСТЭК + + 4 Условия расположения объекта информатизации относительно границы КЗ ФСТЭК + + 5 Технический паспорт объекта информатизации ФСТЭК + 6 Технический паспорт на защищаемое помещение ФСТЭК + 7 Ведомость приема зачетов по знанию действующего законодательства у лиц, допущенных к автоматизированной обработке конфиденциальной информации ФСТЭК + 8 Заключение о готовности СЗИ к эксплуатации ФСТЭК + + 9 Копия уведомления об обработке персональных данных Роскомнадзор + 10 Разделы должностных инструкций (должностного регламента) сотрудников имеющих доступ к ИСПДн, в части обеспечения безопасности ПДн Роскомнадзор + 11 Типовые формы документов, предполагающие или допускающие содержание персональных данных Роскомнадзор + 12 Копии договоров, заключённых между оператором и субъектом по основным направлениям деятельности, подтверждающего согласие субъекта персональных данных на их обработку Роскомнадзор, 152-ФЗ + Если имеются 13 Письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма) Роскомнадзор, 152-ФЗ + 14 Распечатка (копия) шаблона содержания персональных данных (формы и поля заполнения), определенных оператором, заверенных оператором и государственным инспектором, проводящим проверку Роскомнадзор, 152-ФЗ + 2. Приказ о назначении ответственных лиц за обеспечение защиты информации На бланке органа исполнительной власти города Москвы ПРОЕКТ ПРИКАЗА О назначении ответственных лиц за обеспечение защиты информации _________________________________ Во исполнение "Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К), утвержденных приказом Гостехкомиссии России от 30 августа 2002 года № 282, приказываю: Назначить ответственным за обеспечение защиты информации _________________ начальника Управления ________________ Назначить ответственным за функционирование технических средств защиты информации ________________ (приложение) в аппарате управления _______________________ Назначить ответственным за эксплуатацию ______________начальника Отдела ________________________ Назначенным лицам разработать: – Приказ о создании комиссии по классификации автоматизированных систем, обрабатывающих конфиденциальную информацию. – План мероприятий по обеспечению защиты конфиденциальной информации. – Перечень сведений конфиденциального характера, подлежащих защите. – Положение о порядке организации и проведения работ по защите конфиденциальной информации. – Модель нарушителя и вероятных угроз. – Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним. – Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ. – Инструкцию администратора безопасности АС. – Инструкцию пользователя по обеспечению безопасности АС. Контроль за соблюдением требований по защите информации ___________ возложить на Отдел _______________________. Контроль за выполнением настоящего приказа возложить на ________________________. Руководитель _________________ 3. Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных На бланке органа исполнительной власти города Москвы ПРОЕКТ ПРИКАЗА О назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17 ноября 2007 г. № 781, приказываю: 1. Назначить ответственным за организацию работ и обеспечение безопасности персональных данных ________________________ (должностное лицо из числа заместителей). 2. Выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных возложить на (подразделение или должностное лицо). 3. В срок до ____________ назначенным лица разработать и внедрить: – план мероприятий по обеспечению защиты персональных данных; – перечень персональных данных, подлежащих защите; – провести классификацию автоматизированных систем, обрабатывающих персональные данные; – частную модель угроз для каждой ИСПДн; – матрицу доступа сотрудников к персональным данным; – положение о порядке обработки и обеспечении безопасности персональных данных; – журнал учета используемых сертифицированных технических средств защиты информации, эксплуатационной и технической документации к ним; – порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ; – журнал учета съемных носителей конфиденциальной информации; – журнал регистрации и учета обращений субъектов персональных данных; – инструкцию администратора безопасности ИСПДн; – инструкцию пользователя по обеспечению безопасности ИСПДн. 4. Руководителям структурных подразделений в срок до _____________ представить ответственному за обеспечение безопасности персональных данных списки сотрудников, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими служебных (трудовых) обязанностей. 5. Ответственному за выполнение работ по обеспечению безопасности персональных данных организовать учет носителей персональных данных. 6. Запретить сотрудником имеющих доступ к персональным данным использовать для хранения и обработки персональных данных носителей информации, не поставленных на учет в установленном порядке. 7. ____________________ юридического отдела урегулировать вопросы законности обработки персональных данных субъектов, разработать типовую форму письменного согласия субъектов персональных данных на обработку их персональных данных. 8. ____________________ отдела кадров провести работу по учету персональных данных сотрудников и обеспечить их безопасность при неавтоматизированной обработке. 9. Приказ довести до сотрудников ______________________ в части касающейся. 10. Контроль за выполнением требований настоящего приказа оставляю за собой. Руководитель И.О.Фамилия 4. Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн На бланке органа исполнительной власти города Москвы ПРОЕКТ ПРИКАЗА О назначении ответственного за выполнение работ по технической и криптографической защите ПДн С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17 ноября 2007 г. № 781, приказываю: 1. Назначить ответственным за выполнение работ по технической и криптографической защите ПДн _________________________. 2. В рамках проведения данных работ возложить на (подразделение или должностное лицо) следующие функции администрирования средств криптографической защиты персональных данных. 3. Контроль за выполнением требований настоящего приказа возложить на ________________________.. Руководитель И.О.Фамилия 5. Приказ о создании комиссии по классификации автоматизированных систем, обрабатывающих конфиденциальную информацию На бланке органа исполнительной власти города Москвы ПРОЕКТ ПРИКАЗА О создании комиссии по классификации автоматизированных систем, обрабатывающих конфиденциальную информацию В целях выполнения "Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К), утвержденных приказом Гостехкомиссии России от 30 августа 2002 года № 282 и проведения классификации автоматизированных систем, обрабатывающих конфиденциальную информацию, приказываю: Утвердить состав Комиссии по классификации ______________ (Приложение № 1). Комиссии провести классификацию автоматизированных систем, обрабатывающих конфиденциальную информацию до __.12.2007 года в соответствии с требованиями руководящих документов ФСТЭК России с оформлением акта классификации АС. При проведении классификации руководствоваться требованиями руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Контроль за выполнением настоящего приказа оставляю за собой. ПРИЛОЖЕНИЕ № 1 к приказу от ________ 2010г. № ___ С О С Т А В КОМИССИИ ПО КЛАССИФИКАЦИИ ___________________ Председатель Комиссии – руководитель __________________ Члены Комиссии: ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ 6. Приказ о создании комиссии по классификации информационных систем персональных данных На бланке органа исполнительной власти города Москвы ПРОЕКТ ПРИКАЗА О создании комиссии по классификации информационных систем персональных данных В соответствии с Федеральным законом Российской Федерации от 27.06.2006 № 152-ФЗ «О персональных данных» и Постановлением Правительства Российской Федерации от 17.11.2007 № 781 «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», приказываю: Утвердить состав Комиссии по классификации информационных систем персональных данных (далее – ИСПДн) (Приложение № 1). В срок до __________________ Комиссии провести классификацию информационных систем персональных данных с оформлением акта классификации ИСПДн. При проведении классификации ИСПДн комиссии руководствоваться требованиями совместного приказа ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных». Контроль за выполнением настоящего приказа оставляю за собой. ПРИЛОЖЕНИЕ № 1 к приказу от ________ 2010г. № ___ С О С Т А В КОМИССИИ ПО КЛАССИФИКАЦИИ ___________________ Председатель Комиссии – руководитель __________________ Члены Комиссии: ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ 7. Приказ о выделении помещений для обработки конфиденциальной информации На бланке органа исполнительной власти города Москвы ПРОЕКТ ПРИКАЗА О выделении помещений для обработки конфиденциальной информации _________________________________ Во исполнение "Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К), утвержденных приказом Гостехкомиссии России от 30 августа 2002 года № 282, приказываю: Утвердить список помещений, предназначенных для обработки конфиденциальной информации (далее – защищаемое помещение) согласно приложению № 1 к настоящему приказу. Руководителям структурных подразделений в срок до _____________ представить ответственному за обеспечение защиты информации списки сотрудников для организации допуска сотрудников в указанные помещения. Установить, что ответственность за режим безопасности в защищаемом помещении и правильность использования установленных в нем технических средств несет лицо, которое постоянно в нем работает, и руководитель структурного подразделения. В нерабочее время указанные помещения закрываться на ключ и сдавать под охрану. Установка нового оборудования, мебели и т.п. или замена их, а также ремонт помещения должны проводиться только по согласованию с подразделением (специалистом) по защите информации органа исполнительной власти. Неукоснительно выполнять предписания на эксплуатацию средств связи, вычислительной техники, оргтехники, бытовых приборов и другого оборудования, установленного в помещении. Контроль за соблюдением требований по защите информации возложить на Отдел _______________________. Контроль за выполнением настоящего приказа возложить на ________________________. Руководитель _________________ Приложение №1 к приказу Руководителя органа исполнительной власти от ____. _________ 2010 г. № ________ Перечень защищаемых помещений № п/п Наименование помещения Адрес и место расположения 1 Зал совещаний, помещение № 510 ул. Тверская д.12 2 Кабинет первого заместителя руководителя, помещение № 301 ул. Тверская д.12 8. Приказ о выделении помещений для обработки персональных данных На бланке органа исполнительной власти города Москвы ПРОЕКТ ПРИКАЗА О выделении помещений для обработки персональных данных _________________________________ С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17 ноября 2007 г. № 781, приказываю: Утвердить список помещений, предназначенных для обработки персональных данных (далее – ПДн) согласно приложению №1 к настоящему приказу. Руководителям структурных подразделений в срок до _____________ представить ответственному за обеспечение защиты информации списки сотрудников для организации допуска сотрудников в указанные помещения. Установить, что ответственность за режим безопасности в помещении и правильность использования установленных в нем технических средств несет лицо, которое постоянно в нем работает, и руководитель структурного подразделения. В нерабочее время указанные помещения закрываться на ключ и сдавать под охрану. Установка нового оборудования, мебели и т.п. или замена их, а также ремонт помещения должны проводиться только по согласованию с подразделением (специалистом) по защите информации органа исполнительной власти. Контроль за соблюдением требований по защите информации возложить на Отдел _______________________. Контроль за выполнением настоящего приказа возложить на ________________________. Руководитель _________________ Приложение №1 к приказу Руководителя органа исполнительной власти от ____. _________ 2010 г. № _____ Перечень защищаемых помещений № п/п Наименование помещения Адрес и место расположения 1 Кабинет главного бухгалтера, помещение № 510 ул. Тверская д.12 2 Кабинет начальника отдела кадров, помещение № 301 ул. Тверская д.12 9. Приказ о назначении администратора безопасности средств защиты конфиденциальной информации и персональных данных На бланке органа исполнительной власти города Москвы ПРОЕКТ ПРИКАЗА О назначении администратора безопасности средств защиты конфиденциальной информации и персональных данных В соответствии с требованиями Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17 ноября 2007 г. № 781 и специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К), утвержденных приказом Гостехкомиссии России от 30 августа 2002 года № 82, приказываю: 1. Назначить администратором безопасности в органе исполнительной власти ____________________. 2. Возложить на администратора безопасности следующие функции: администрирование информационных систем персональных данных (АС); администрирование средств антивирусной защиты информационных систем персональных данных (АС); администрирование средств и систем защиты персональных данных в информационных системах персональных данных (АС). 3. Утвердить руководство администратора безопасности. 9. Контроль за выполнением требований настоящего приказа возложить на начальника _______________. Руководитель И.О.Фамилия 10. Инструкции по порядку учета и хранению съемных носителей конфиденциальной информации (персональных данных) в органах исполнительной власти и их подведомственных учреждениях __________________________________________________________ (наименование органа исполнительной власти) УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 2010 г. Типовая форма инструкции по порядку учета и хранению съемных носителей конфиденциальной информации (персональных данных) в органах исполнительной власти и их подведомственных учреждениях Москва 2010 1. Общие положения 1.1. Настоящее Положение разработано в соответствии с Федеральным законом № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации», ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью» и другими нормативными правовыми актами, и устанавливает порядок использования носителей информации, предоставляемых органом исполнительной власти (далее наименование ОИВ) для использования в ИС. 1.2. Действие настоящего Положения распространяется на сотрудников органа исполнительной власти, подрядчиков и третью сторону. 2. Основные термины, сокращения и определения Администратор ИС – технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО и оборудования вычислительной техники. АРМ – автоматизированное рабочее место пользователя (ПК с прикладным ПО) для выполнения определенной производственной задачи. ИБ – информационная безопасность – комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации. ИС – информационная система – система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники. Носитель информации – любой материальный объект, используемый для хранения и передачи электронной информации. Паспорт ПК – документ, содержащий полный перечень оборудования и программного обеспечения АРМ. ПК – персональный компьютер. ПО – Программное обеспечение вычислительной техники. ПО вредоносное – ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации. ПО коммерческое – ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе. Пользователь – работник Организации, использующий мобильные устройства и носители информации для выполнения своих служебных обязанностей. 3. Порядок использования носителей информации 3.1. Под использованием носителей информации в ИС органа исполнительной власти понимается их подключение к инфраструктуре ИС с целью обработки, приема/передачи информации между ИС и носителями информации. 3.2. В ИС допускается использование только учтенных носителей информации, которые являются собственностью органа исполнительной власти и подвергаются регулярной ревизии и контролю. 3.3. К предоставленным органам исполнительной власти носителям конфиденциальной информации предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС). 3.4. Носители конфиденциальной информации предоставляются сотрудникам органа исполнительной власти по инициативе Руководителей структурных подразделений в случаях: необходимости выполнения вновь принятым работником своих должностных обязанностей; возникновения у сотрудника органа исполнительной власти производственной необходимости. 3.5. Процесс предоставления сотрудникам органа исполнительной власти носителей конфиденциальной информации состоит из следующих этапов: 4. Порядок учета, хранения и обращения со съемными носителями конфиденциальной информации (персональных данных), твердыми копиями и их утилизации. 4.1. Все находящиеся на хранении и в обращении съемные носители с конфиденциальной информацией (персональными данными) в органе исполнительной власти подлежат учёту. 4.2. Каждый съемный носитель с записанными на нем конфиденциальной информацией (персональными данными) должен иметь этикетку, на которой указывается его уникальный учетный номер. 4.3. Учет и выдачу съемных носителей конфиденциальной информации (персональных данных) осуществляют сотрудники структурных подразделений, на которых возложены функции хранения носителей персональных данных. Факт выдачи съемного носителя фиксируется в журнале учета съемных носителей конфиденциальной информации. 4.4. Сотрудники органа исполнительной власти получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета. 5. При использовании сотрудниками носителей конфиденциальной информации необходимо: 5.1. Соблюдать требования настоящего Положения. 5.2. Использовать носители информации исключительно для выполнения своих служебных обязанностей. 5.3. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения. 5.4. Бережно относится к носителям конфиденциальной информации. 5.5. Обеспечивать физическую безопасность носителей информации всеми разумными способами. 5.6. Извещать администраторов ИС о фактах утраты (кражи) носителей конфиденциальной информации. 6. При использовании носителей конфиденциальной информации запрещено: 6.1. Использовать носители конфиденциальной информации в личных целях. 6.2. Передавать носители конфиденциальной информации другим лицам (за исключением администраторов ИС). 6.3. Хранить съемные носители с конфиденциальной информацией (персональными данными) вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам; 6.4 Выносить съемные носители с конфиденциальной информацией (персональными данными) из служебных помещений для работы с ними на дому и т. д. 7.1. Любое взаимодействие (обработка, прием/передача информации) инициированное сотрудником органа исполнительной власти между ИС и неучтенными (личными) носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администраторами ИС заранее). Администратор ИС оставляет за собой право блокировать или ограничивать использование носителей информации. 7.2. Информация об использовании сотрудником органа исполнительной власти носителей информации в ИС протоколируется и, при необходимости, может быть предоставлена Руководителям структурных подразделений, а также Руководителю органа исполнительной власти. 7.3. В случае выявления фактов несанкционированного и/или нецелевого использовании носителей конфиденциальной информации инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем органа исполнительной власти. 7.4. По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Организации и действующему законодательству. 7.5. Информация, хранящаяся на носителях конфиденциальной информации, подлежит обязательной проверке на отсутствие вредоносного ПО. 7.6. При отправке или передаче конфиденциальной информации (персональных данных) адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка конфиденциальной информации (персональных данных) адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. 7.7. Вынос съемных носителей конфиденциальной информации (персональных данных) для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения. 7.8. В случае утраты или уничтожения съемных носителей конфиденциальной информации (персональных данных) либо разглашении содержащихся в них сведений немедленно ставится в известность начальник соответствующего структурного подразделения. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей конфиденциальной информации (персональных данных). 7.9. Съемные носители конфиденциальной информации (персональных данных), пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется «уполномоченной комиссией». По результатам уничтожения носителей составляется акт по прилагаемой форме 7.10. В случае увольнения или перевода работника в другое структурное подразделение, предоставленные носители конфиденциальной информации изымаются. 8. Ответственность 8.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами органа исполнительной власти. Типовая форма акта «УТВЕРЖДАЮ» ____________________ «____ »__________ 200 г. АКТ уничтожения съемных носителей персональных данных Комиссия, наделенная полномочиями приказом ______________________ от №___ в составе: ________________________________________________________________________________ (должности, ФИО) провела отбор съемных носителей конфиденциальной информации (персональных данных), не подлежащих дальнейшему хранению: № п/п Дата Учетный номер съемного носителя Примечание Всего съемных носителей_______________________________________(цифрами и прописью) На съемных носителях уничтожена конфиденциальная информация путем стирания ее на устройстве гарантированного уничтожения информации (механического уничтожения, сжигания и т.п.). Перечисленные съемные носители уничтожены ________________________________________________________________________ путем (разрезания, демонтажа и т.п.) , _______________________________________________________________________ Председатель комиссии Подпись Дата Члены комиссии (ФИО) Подпись Дата 11. Положение о порядке организации и проведения работ по защите конфиденциальной информации в органах исполнительной власти и их подведомственных учреждениях __________________________________________________________ (наименование органа исполнительной власти) УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 2010 г. Типовая форма положения о порядке организации и проведения работ по защите конфиденциальной информации в органах исполнительной власти и их подведомственных учреждениях Москва 2010 1. Общие положения 1.1. Настоящее Положение определяет порядок организации и проведения работ по защите конфиденциальной информации в органах исполнительной власти и их подведомственных учреждениях (далее – ОИВ). 1.2. Мероприятия по защите конфиденциальной информации, проводимые в ОИВ, являются составной частью управленческой и иной служебной деятельности и осуществляются во взаимосвязи с мерами по обеспечению установленной конфиденциальности проводимых работ. 1.3. Информационные системы и ресурсы, являющиеся собственностью государства, находятся в ведении органов исполнительной власти и организаций в соответствии с их компетенцией, подлежат обязательному учету и защите. В соответствии с требованиями постановления Правительства Москвы от 24 июня 2003 года № 496-ПП «Положение о едином реестре информационных ресурсов и систем города Москвы» городские информационные системы и ресурсы должны быть зарегистрированы в реестре информационных систем и ресурсов города Москвы. 1.4. Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством. Конфиденциальная информация должна обрабатываться (передаваться) с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств технической защиты конфиденциальной информации, сертифицируемых в установленном порядке. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для технической защиты конфиденциальной информации. 1.5.Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцировано по результатам обследования объекта информатизации, с учетом соотношения затрат на организацию технической защиты конфиденциальной информации и величины ущерба, который может быть нанесен собственнику конфиденциальной информации при ее разглашении, утрате, уничтожении и искажении. Для сведений, составляющих служебную тайну не ниже требований, установленных данным документом и государственными стандартами Российской Федерации. Системы и средства информатизации и связи, предназначенные для обработки (передачи) конфиденциальной информации должны быть аттестованы в реальных условиях эксплуатации на предмет соответствия принимаемых мер и средств защиты требуемому уровню безопасности информации. Проведение любых мероприятий и работ с конфиденциальной информацией, без принятия необходимых мер технической защиты информации не допускается. 1.6. Объектами защиты в органах исполнительной власти и их подведомственных учреждениях являются: средства и системы информатизации и связи (средства вычислительной техники, локальная вычислительная сеть (ЛВС), средства и системы связи и передачи информации, средства звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления и тиражирования документов), используемые для обработки, хранения и передачи информации, содержащей конфиденциальную информацию - далее основные технические средства и системы (ОТСС); технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается конфиденциальной информация - далее вспомогательные технические средства и системы (ВТСС); помещения (служебные кабинеты, актовые, конференц-залы и т.п.), специально предназначенные для проведения конфиденциальных мероприятий – защищаемые помещения (ЗП). 1.7. Ответственность за выполнение требований настоящего Положения возлагается на руководителя органа исполнительной власти, руководителей (начальников) подразделений (департаментов, управлений, отделов), на начальника структурного подразделения защиты конфиденциальной информации, а также на специалистов допущенных к обработке, передаче и хранению в технических средствах информации, содержащей конфиденциальную информацию. 1.8. Непосредственное руководство работами по защите конфиденциальной информации осуществляет первый заместитель органа исполнительной власти. 2. Охраняемые сведения 2.1. В органе исполнительной власти и их подведомственных учреждениях разрабатывается Перечень сведений конфиденциального характера. Сведения, составляющие конфиденциальную информацию, определяются Перечнем сведений конфиденциального характера в соответствии с Указом Президента РФ от 6 марта 1997 года № 188. Перечень сведений конфиденциального характера включает: Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Сведения, составляющие тайну следствия и судопроизводства. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.). Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна). Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна). Сведения, составляющие служебную тайну, определяются действующим в субъекте Российской Федерации "Перечнем сведений, составляющих служебную информацию ограниченного распространения". Указанный перечень может включать следующие классы сведений ограниченного распространения: сведения экономического характера; сведения по финансовым вопросам; сведения по науке и технике; сведения по транспорту и связи; сведения по вопросам внешней торговли и международных научно-технических связей; сведения, связанные с обеспечением безопасности органов государственной власти субъекта РФ и органов местного самоуправления. 3. Технические каналы утечки конфиденциальной информации, несанкционированного доступа и специальных воздействий на нее. 3.1. Доступ к конфиденциальной информации, нарушение ее целостности и доступности возможно реализовать за счет: – несанкционированного доступа к конфиденциальной информации при ее обработке в информационных системах и ресурсах; – утечки конфиденциальной информации по техническим каналам. 3.2. Детальное описание возможных технических каналов утечки информации, несанкционированного доступа к информации и специальных воздействий на нее содержится в Модели угроз безопасности информации органа исполнительной власти. 4.Оценка возможностей технических разведок и других источников угроз безопасности конфиденциальной информации 4.1. Для добывания конфиденциальных сведений могут использоваться: портативная возимая (носимая) аппаратура радио, акустической, визуально-оптической и телевизионной разведки, а также разведки побочных электромагнитных излучений и наводок (ПЭМИН); автономная автоматическая аппаратура акустической и телевизионной разведки, а также разведки ПЭМИН; компьютерная разведка, использующая различные способы и средства несанкционированного доступа к информации и специальных воздействий на нее. Угроза компьютерной разведки объектам защиты возможна в случае подключения АС, обрабатывающим информацию ограниченного доступа к внешним, в первую очередь - глобальным сетям. Портативная возимая аппаратура разведки может применяться из ближайших зданий и автомобилей на стоянках вблизи зданий органов исполнительной власти и их подведомственных учреждениях. Портативная носимая аппаратура имеет ограниченные возможности и может быть использована лишь для уточнения данных, или перехвата информации в непосредственной близости от защищаемых объектов. Автономная автоматическая аппаратура радио, акустической, телевизионной, а также разведки ПЭМИН используется для длительного наблюдения за объектом защиты. 4.2. Несанкционированный доступ к информации и специальные воздействия на нее могут осуществляться при ее обработке на отдельных автоматизированных рабочих местах, в локальных вычислительных сетях, в распределенных телекоммуникационных системах. 4.3. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно, например, вследствие: – непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем; – случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи; – некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей; – просмотра информации с экранов дисплеев и других средств ее отображения. 4.4. Оценка возможностей средств технической разведки осуществляется с использованием нормативных документов ФСТЭК России. Наиболее опасной для органов исполнительной власти и их подведомственных учреждений является аппаратура портативной (возимой и носимой) разведки электромагнитных излучений и аппаратура акустической речевой разведки, которая может применяться с прилегающей к зданиям администрации территорий, а также автономная автоматическая аппаратура акустической речевой разведки, скрытно устанавливаемая внутри помещений. 4.5. Оценка возможности НСД к информации в средствах вычислительной техники и автоматизированных системах осуществляется с использованием следующих руководящих документов ФСТЭК России: Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации; Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации; Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по технической защите конфиденциальной информации. НСД к информации и специальные воздействия на нее реально возможны, если не выполняются требования перечисленных выше документов, дифференцированные в зависимости от степени конфиденциальности обрабатываемой информации, уровня полномочий пользователей по доступу к конфиденциальной информации и режимов обработки данных в автоматизированных системах. 5. Организационные и технические мероприятия по технической защите конфиденциальной информации 5.1. Разработка мер, и обеспечение защиты конфиденциальной информации осуществляются подразделением по защите конфиденциальной информации (службой безопасности) или отдельными специалистами, назначаемыми руководителем органа исполнительной власти для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии ФСТЭК России и ФСБ России на право осуществления соответствующих работ. 5.2. Для защиты конфиденциальной информации, используются сертифицированные по требованиям безопасности технические средства защиты. 5.3. Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России. 5.4. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителя органа исполнительной власти, эксплуатирующего объекты информатизации. 5.5. Техническая защита информации в защищаемых помещениях. К основным мероприятиям по технической защите конфиденциальной информации в ЗП относятся: 5.5.1. Определение перечня ЗП по результатам анализа циркулирующей в них конфиденциальной информации и условий ее обмена (обработки), в соответствии с нормативными документами ФСТЭК России. 5.5.2. Назначение сотрудников, ответственных за выполнение требований по технической защите конфиденциальной информации в ЗП, далее сотрудники, ответственные за безопасность информации. 5.5.3. Разработка частных инструкций по обеспечению безопасности информации в ЗП. 5.5.4. Обеспечение эффективного контроля за доступом в ЗП, а также в смежные помещения. 5.5.5. Инструктирование сотрудников, работающих в ЗП о правилах эксплуатации ПЭВМ, других технических средств обработки информации, средств связи с соблюдением требований по технической защите конфиденциальной информации. 5.5.6. Проведение в ЗП обязательных визуальных (непосредственно перед совещаниями) и инструментальных (перед ответственными совещаниями и периодически раз в квартал) проверок на наличие внедренных закладных устройств, в том числе осуществление контроля всех посторонних предметов, подарков, сувениров и прочих предметов, оставляемых в ЗП. 5.5.7. Исключение неконтролируемого доступа к линиям связи, управления и сигнализации в ЗП, а также в смежных помещениях и в коридоре. 5.5.8. Оснащение телефонных аппаратов городской АТС, расположенных в ЗП, устройствами высокочастотной развязки подавления слабых сигналов, а также поддержание их в работоспособном состоянии. Для спаренных телефонов достаточно одного устройства на линию, выходящую за пределы ЗП. 5.5.9. Осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах. 5.5.10. Обеспечение требуемого уровня звукоизоляции входных дверей ЗП. 5.5.11. Обеспечение требуемого уровня звукоизоляции окон ЗП. 5.5.12. Демонтирование или заземление (с обеих сторон) лишних (незадействованных) в ЗП проводников и кабелей. 5.5.13. Отключение при проведении совещаний в ЗП всех неиспользуемых электро- и радиоприборов от сетей питания и трансляции. 5.5.14. Выполнение перед проведением совещаний следующих условий: окна должны быть плотно закрыты и зашторены; двери плотно прикрыты; 5.6. Защита информации, циркулирующей в ОТСС и наводящейся в ВТСС. 5.6.1. При эксплуатации ОТСС и ВТСС необходимо неукоснительное выполнение требований, определенных в предписании на эксплуатацию. 5.6.2. При невозможности обеспечения контролируемой зоны заданных размеров рекомендуется проведение следующих мероприятий: Применение систем электромагнитного пространственного зашумления (СПЗ) в районе размещения защищаемого ОТСС. Применение средств линейного электромагнитного зашумления (СЛЗ) линий электропитания, радиотрансляции, заземления, связи. 5.6.3. Техническая защита информации в средствах вычислительной техники (СВТ) и автоматизированных системах (АС) от несанкционированного доступа в соответствии с требованиями руководящих документов Гостехкомиссии России должна обеспечиваться путем: проведения классификации СВТ и АС; выполнения необходимых организационных мер защиты; установки сертифицированных программных и аппаратно-технических средств защиты информации от НСД. защита каналов связи, предназначенных для передачи конфиденциальной информации. защиты информации от воздействия программ-закладок и компьютерных вирусов. 5.7. Организация и проведение работ по антивирусной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, при ее обработке техническими средствами определяются настоящим документом, действующими государственными стандартами и другими нормативными и методическими документами Гостехкомиссии России. Организации антивирусной защиты информации на объектах информатизации достигается путём: установки и применения средств антивирусной защиты информации; обновления баз данных средств антивирусной защиты информации; действий должностных лиц при обнаружении заражения информационно-вычислительных ресурсов программными вирусами. 5.7.1. Организация работ по антивирусной защите информации возлагается на руководителей структурных подразделений и должностных лиц, осуществляющих контроль за антивирусной защитой, а методическое руководство и контроль над эффективностью предусмотренных мер защиты информации на руководителя подразделения по защите конфиденциальной информации (ответственного) ОИВ. 5.7.2. Защита информации от воздействия программных вирусов на объектах информатизации должна осуществляться посредством применения средств антивирусной защиты. Порядок применения средств антивирусной защиты устанавливается с учетом следующих требований: обязательный входной контроль на отсутствие программных вирусов всех поступающих на объект информатизации носителей информации, информационных массивов, программных средств общего и специального назначения; периодическая проверка пользователями жестких магнитных дисков (не реже одного раза в неделю) и обязательная проверка используемых в работе носителей информации перед началом работы с ними на отсутствие программных вирусов; внеплановая проверка носителей информации на отсутствие программных вирусов в случае подозрения на наличие программного вируса; восстановление работоспособности программных средств и информационных массивов в случае их повреждения программными вирусами. 5.7.3. К использованию допускается только лицензированные, сертифицированные по требованиям ФСТЭК России антивирусные средства. 5.7.4. Порядок применения средств антивирусной защиты во всех случаях устанавливается с учетом следующих требований: Входной антивирусный контроль всей поступающей на внешних носителях информации и программных средств любого назначения. Входной антивирусный контроль всей информации поступающей с электронной почтой; Входной антивирусный контроль всей поступающей информации из сети Internet; Выходной антивирусный контроль всей исходящей информации на любых внешних носителях и/или передаваемой по локальной сети на другие рабочие станции/сервера, а так же передача информации посредством электронной почты; Периодическая антивирусная проверка на отсутствие компьютерных вирусов на жестких дисках рабочих станций и серверов; Обязательная антивирусная проверка используемых в работе внешних носителей информации; Постоянный антивирусный контроль на рабочих станциях и серверах с использованием резидентных антивирусных мониторов в автоматическом режиме; Обеспечение получения обновлений антивирусных программ в автоматическом режиме, включая обновления вирусных баз и непосредственно новых версий программ; Внеплановая антивирусная проверка внешних носителей и жестких дисков рабочих станций и серверов на отсутствие компьютерных вирусов в случае подозрения на наличие компьютерного вируса; Восстановление работоспособности программных и аппаратных средств, а так же непосредственно информации в случае их повреждения компьютерными вирусами. 5.7.5.Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке и руководством по эксплуатации конкретного антивирусного программного продукта. 5.7.6. При обнаружении на носителе информации или в полученных файлах программных вирусов пользователи докладывают об этом в подразделение по защите конфиденциальной информации или ответственному сотруднику, и принимают меры по восстановлению работоспособности программных средств и данных. О факте обнаружения программных вирусов сообщается в орган, от которых поступили зараженные файлы, для принятия мер по локализации и устранению программных вирусов. Перед отправкой массивов информации и программных средств, осуществляется ее проверка на наличие программных вирусов. При обнаружении программных вирусов пользователь обязан немедленно прекратить все работы на АРМ, поставить в известность подразделение информационно-технической службы органа власти по защите конфиденциальной информации и принять меры к их локализации и удалению с помощью имеющихся антивирусных средств защиты. При функционировании АРМ в качестве рабочей станции вычислительной сети производится ее отключение от локальной сети, локализация и удаление программных вирусов в вычислительной сети. Ликвидация последствий воздействия программных вирусов осуществляется подготовленными представителями подразделения информационно-технической службы органа власти по защите конфиденциальной информации. 5.7.7. Организация антивирусной защиты конфиденциальной информации должна быть направлена на предотвращение заражения рабочих станций, входящих в состав локальных компьютерных сетей, и серверов различного уровня и назначения вирусами. 5.7.8. Необходимо постоянно осуществлять обновление вирусных баз. Частоту обновления установить в зависимости от используемых антивирусных средств и частоты выпуска обновления указанных баз. 5.7.9. Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке, руководством по эксплуатации конкретного антивирусного программного продукта и инструкцией по антивирусной защите. 5.8. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в информационных системах возлагается на системного администратора органа исполнительной власти. 5.8.1. Личные пароли должны генерироваться и распределяться централизованно с учетом следующих требований: – длина пароля должна быть не менее 8 символов; – пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения; – при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях; – личный пароль пользователь не имеет права сообщать никому. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации. 5.8.2 Формирование личных паролей пользователей осуществляется централизованно. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления (самих уполномоченных сотрудников, а также руководителей подразделений) с паролями других сотрудников подразделений. 5.8.3. Полная плановая смена паролей пользователей должна проводиться регулярно. 5.8.4. Внеплановая смена личного пароля или удаление учетной записи пользователя информационной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться по представлению администратора безопасности уполномоченными сотрудниками немедленно после окончания последнего сеанса работы данного пользователя с системой. 5.8.5. В случае компрометации личного пароля пользователя информационной системы должны быть немедленно предприняты меры в соответствии с п.5.8.4 настоящей Инструкции. 5.8.6 Хранение сотрудником (исполнителем) значений своих паролей на материальном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у руководителя подразделения в опечатанном конверте или пенале (возможно вместе с персональным носителем информации и идентификатором Touch Memory). 5.8.7. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены и использования в подразделениях возлагается на администратора безопасности подразделения, периодический контроль – на специалиста по защите информации или ответственного сотрудника. 6. Обязанности и права должностных лиц 6.1. Руководство технической защитой конфиденциальной информации в органе исполнительной власти возлагается на заместителя ОИВ. 6.2. Руководители подразделений органа исполнительной власти организуют и обеспечивают техническую защиту информации, циркулирующую в технических средствах и помещениях подчиненных им подразделений. 6.3. Начальник структурного подразделения по технической защите конфиденциальной информации (ответственный сотрудник) осуществляет непосредственное руководство разработкой мероприятий по технической защите конфиденциальной информации и контролю в органе исполнительной власти. 6.4. Владельцы и пользователи ОТСС обеспечивают уровень технической защиты информации в соответствии с требованиями (нормами), установленными в нормативных документах. 6.5. Руководители подразделений, владельцы и пользователи ОТСС обязаны вносить предложения о приостановке работ с использованием сведений, составляющих конфиденциальную или служебную тайну, в случае обнаружения утечки (или предпосылок к утечке) этих сведений. Предложения докладываются заместителю органа исполнительной власти (через структурное подразделение по технической защите конфиденциальной информации или ответственного сотрудника). 6.6. Заместитель органа исполнительной власти имеет право привлекать к проведению работ по технической защите конфиденциальной информации в установленном порядке организации, имеющие лицензии на соответствующие виды деятельности. 7. Планирование работ по технической защите конфиденциальной информации и контролю. 7.1. В органе исполнительной власти составляются годовые планы работ по технической защите конфиденциальной информации и контролю. Проекты планов разрабатываются структурным подразделением по технической защите конфиденциальной информации или ответственным сотрудником совместно с подразделениями органа исполнительной власти, выполняющими работы с защищаемой информацией, рассматриваются постоянно действующей технической комиссией и утверждаются руководителем органа исполнительной власти. Сроки разработки, представления и утверждения планов устанавливаются руководителем органа исполнительной власти. 7.2. В годовые планы по технической защите конфиденциальной информации и контролю включаются: мероприятия по выполнению постановлений и распоряжений Мэра Москвы, Правительства Москвы, руководителя органа исполнительной власти по вопросам защиты конфиденциальной информации; подготовка проектов распорядительных документов по вопросам организации технической защиты информации в органе исполнительной власти, инструкций, рекомендаций, памяток и других документов по обеспечению безопасности информации при использовании конкретных технических средств обработки и передачи информации, на автоматизированных рабочих местах, в ЗП; аттестация вводимых в эксплуатацию ОТСС и ЗП, а также периодическая переаттестация находящихся в эксплуатации ОТСС и ЗП на соответствие требованиям по технической защите конфиденциальной информации; проведение периодического контроля состояния технической защиты информации; мероприятия по устранению нарушений и выявленных недостатков по результатам контроля; мероприятия по совершенствованию технической защиты информации на объектах органа исполнительной власти. 7.3. Контроль выполнения планов и отчетность по ним возлагается на структурное подразделение по технической защите конфиденциальной информации или ответственного сотрудника. 8. Контроль состояния технической защиты конфиденциальной информации. 8.1. Основными задачами контроля состояния технической защиты конфиденциальной информации являются оценка уровня органа исполнительной власти и эффективности, принятых мер защиты, своевременное выявление и предотвращение утечки по техническим каналам информации, составляющей конфиденциальную или служебную тайну, НСД к информации, преднамеренных программно-технических воздействий на информацию с целью ее уничтожения, искажения, блокирования, нарушения правового режима использования информации. 8.2. Контроль осуществляется: ФСТЭК России (силами Центрального аппарата и Управления по соответствующему федеральному округу); Управлением Федеральной службы безопасности; Проверочной комиссией Правительства Москвы – не реже 1 раза в 2 года; Внутренней комиссией органа исполнительной власти – не реже 1 раза в год; Структурным подразделением по технической защите конфиденциальной информации или ответственным сотрудником и пользователем – непрерывно. 8.3. Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты конфиденциальной информации, решений ФСТЭК России, постановлений и распоряжений Мэра Москвы, Правительства Москвы, руководителя органа исполнительной власти, наличия соответствующих документов по технической защите конфиденциальной информации, в инструментальной и визуальной проверке ОТСС и ЗП на наличие каналов утечки информации, на соответствие требованиям и нормам технической защиты информации. 9. Аттестация рабочих мест 9.1. Аттестации на соответствие требованиям по технической защите конфиденциальной информации в реальных условиях эксплуатации подлежат системы и средства информатизации и связи, предназначенные для обработки и передачи конфиденциальной информации, а также помещения, предназначенные для ведения конфиденциальных переговоров. Указанная аттестация проводится в соответствии с "Положением по аттестации объектов информатизации по требованиям безопасности информации", утвержденным Председателем Гостехкомиссии России 25 ноября 1994 г. Аттестация систем правительственной и иной закрытой шифрованием связи проводится в соответствии с нормативными документами ФАПСИ. 9.2. По результатам аттестации выдается "Аттестат соответствия", получение которого дает право использования аттестованных систем и средств для обработки и передачи информации, составляющей конфиденциальную или служебную тайну, и ведения конфиденциальных переговоров в аттестованных помещениях. Переаттестация систем и средств информатизации, связи и помещений проводится по истечении срока действия "Аттестата соответствия", при изменении мер технической защиты информации, условий технической защиты или применяемых технологий обработки и передачи информации. 10. Взаимодействие с предприятиями, учреждениями и организациями 10.1. При проведении совместных работ органа исполнительной власти с предприятиями, учреждениями и организациями должна быть обеспечена техническая защита информации, составляющей конфиденциальную или служебную тайну, независимо от места проведения работ. 10.2. В технических заданиях на выполнение совместных работ с использованием конфиденциальной информации, должны быть предусмотрены требования (или меры) по ее технической защите, которые должны выполняться каждой из сторон. Технические задания на выполнение совместных работ согласовываются с подразделениями по технической защите конфиденциальной информации органа исполнительной власти или ответственным сотрудником и взаимодействующих предприятий (учреждений, организаций). 10.3. Организация технической защиты информации возлагается на руководителей совместных работ, а ответственность за обеспечение технической защиты информации - на исполнителей работ (пользователей) при использовании ими технических средств для обработки и передачи информации, подлежащей защите. 12. Положение о порядке обработки и обеспечении безопасности персональных данных в органах исполнительной власти и их подведомственных учреждениях __________________________________________________________ (наименование органа исполнительной власти) УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 2010 г. Типовая форма положения о порядке обработки и обеспечении безопасности персональных данных в органах исполнительной власти и их подведомственных учреждениях Москва 2010 1. Общие положения Настоящее Положение разработано в соответствии с Федеральным законом «О персональных данных» (далее – Федеральный закон), постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и устанавливает единый порядок обработки персональных данных в органе исполнительной власти города Москвы и их подведомственных учреждениях. В целях настоящего Положения используются следующие термины и понятия: - персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; - обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; - информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств; - обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. 2. Основные условия проведения обработки персональных данных Обработка персональных данных осуществляется: - после получения согласия субъекта персональных данных, составленного по форме согласно приложению №1 к настоящему Положению, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона; - после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по городу Москва, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона; - после принятия необходимых мер по защите персональных данных. В органе исполнительной власти и подведомственных им учреждениях приказом руководителя назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашение информации, содержащей персональные данные, по форме согласно приложению №2 к настоящему Положению. Запрещается: - обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке; - осуществлять ввод персональных данных под диктовку. 3. Порядок определения защищаемой информации Орган исполнительной власти создает в пределах своих полномочий, установленных в соответствии с федеральными законами, городские ИСПДн, в целях обеспечения реализации прав объектов персональных данных. В органе исполнительной власти на основании «Перечня сведений конфиденциального характера», утвержденного Указом Президента Российской Федерации 6 марта 1997 года № 188, определяется и утверждается перечень сведений ограниченного доступа, не относящихся к государственной тайне (далее - конфиденциальной информации) и перечень информационных систем персональных данных. На стадии проектирования каждой ИСПДн определяются цели и содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти. Оператором осуществляется классификация информационных систем персональных данных в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" в зависимости от категории обрабатываемых данных и их количества. Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК Росси от 05.02.2010 №58 «О методах и способах защиты информации в информационных системах персональных данных». Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии: - утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, и других нормативных и методических документов; - настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации; - охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных; Порядок обработки персональных данных без использования средств автоматизации Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных. При неавтоматизированной обработке персональных данных на бумажных носителях: - не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы; - персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков); - документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных; - дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия: а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных; в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных, составленном по форме согласно приложению №3 к настоящему Положению. К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 6. Ответственность должностных лиц Гражданские государственные служащие, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации. Приложение №1 к Положению о порядке обработки персональных данных в органе исполнительной власти города Москвы и его подведомственных учреждениях Форма СОГЛАСИЕ на обработку персональных данных г. Москва «___» _________ ____г. Я, _____________________________________________________________________________, (Ф.И.О) ________________________________ серия _______ № _______ выдан ___________________ (вид документа, удостоверяющего личность) _______________________________________________________________________________, (когда и кем) проживающий (ая) по адресу :______________________________________________________ _______________________________________________________________________________, настоящим даю свое согласие на обработку __________________________________________ ________________________________________________________________________________ (наименование и адрес оператора (органа исполнительной власти города Москвы) моих персональных данных и подтверждаю, что, давая такое согласие, я действую своей волей и в своих интересах. Согласие дается мною для целей ________________________________________________________________________________ (цель обработки персональных данных) и распространяется на следующую информацию: _____________________________________ ________________________________________________________________________________ _______________________________________________________________________________. (перечень персональных данных) Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с моими персональными данными с учетом федерального законодательства. В случае неправомерного использования предоставленных мною персональных данных согласие отзывается моим письменным заявлением. Данное согласие действует с «__» ________ ____ г. по «__» ________ ____ г. ______________________________ (Ф.И.О., подпись лица, давшего согласие) Приложение №2 к Положению о порядке обработки персональных данных в органе исполнительной власти города Москвы и его подведомственных учреждениях Форма ОБЯЗАТЕЛЬСТВО о неразглашении информации, содержащей персональные данные Я,________________________________________________________________________, (Ф.И.О. государственного гражданского служащего города Москвы) исполняющий (ая) должностные обязанности по замещаемой должности ________________________________________________________________________________ _________________________________________________________________________ , (должность, наименование структурного подразделения ) предупрежден (а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства: 1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей. 2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику. 3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды. 4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных. 5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные. Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации. _________________________________ ____________ (фамилия, инициалы) (подпись) «_________»______________ ____г. Приложение №3 к Положению о порядке обработки персональных данных в органе исполнительной власти города Москвы и его подведомственных учреждениях Форма __________________________________________________________________________________________________ (наименование органа исполнительной власти города Москвы ) Начат «___» _________ ____ г. Окончен «___» _________ ____ г. На _______________ листах ЖУРНАЛ учета электронных носителей персональных данных Учетный номер Дата постановки на учет Вид электронного носителя, место его хранения (размещения) Ответственный за использование и хранение Ф.И.О. подпись дата 1 2 3 4 5 6 13. Инструкции о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации информационных систем персональных данных в органах исполнительной власти и их подведомственных учреждениях __________________________________________________________ (наименование органа исполнительной власти) УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 2010 г. Типовая форма инструкции о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации информационных систем персональных данных в органах исполнительной власти и их подведомственных учреждениях Москва 2010 СОДЕРЖАНИЕ Назначение и область действия Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ определяет действия (далее – Инструкция), связанные с функционированием ИСПДн органа исполнительной власти _________, меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн. Целью настоящего документа является превентивная защита элементов ИСПДн от предотвращения потери . Задачей данной Инструкции является: определение мер защиты от потери информации; определение действий восстановления в случае потери информации. Действие настоящей Инструкции распространяется на всех пользователей органа исполнительной власти, имеющих доступ к ресурсам ИСПДн, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе: системы жизнеобеспечения; системы обеспечения отказоустойчивости; системы резервного копирования и хранения данных; системы контроля физического доступа. Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного раза в два года. Ответственным сотрудником за реагирование на инциденты безопасности, приводящие к потере защищаемой информации, назначается Администратор ИСПДн ____________ (указать наименование ИСПДн). Ответственным сотрудником за контроль обеспечения мероприятий по предотвращению инцидентов безопасности, приводящих к потере защищаемой информации, назначается Администратор безопасности ____________ (указать наименование ИСПДн). Порядок реагирования на инцидент В настоящем документе под Инцидентом понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн, а так же потерей защищаемой информации. Происшествие, вызывающее инцидент, может произойти: В результате непреднамеренных действий пользователей. В результате преднамеренных действий пользователей и третьих лиц. В результате нарушения правил эксплуатации технических средств ИСПДн. . Все действия в процессе реагирования на Инцидент должны документироваться ответственным за реагирование сотрудником в «». В кратчайшие сроки, не превышающие одного рабочего дня, ответственные за реагирование сотрудники органа исполнительной власти (, и ), предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с вышестоящим руководством. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении инцидентов Технические меры К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения Инцидентов, такие как: системы жизнеобеспечения; системы обеспечения отказоустойчивости; системы резервного копирования и хранения данных; системы контроля физического доступа. Системы жизнеобеспечения ИСПДн включают: пожарные сигнализации и системы пожаротушения; системы вентиляции и кондиционирования; системы резервного питания. Все критичные помещения органа исполнительной власти (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожаротушения. Для выполнения требований по эксплуатации (температура, относительная влажность воздуха) программно-аппаратных средств ИСПДн в помещениях, где они установлены, должны применяться системы вентиляции и кондиционирования воздуха. Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИСПДн, сетевое и коммуникационное оборудование, а также наиболее критичные рабочие станции должны подключаться к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания: локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных компьютеров; источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения; дублированные системы электропитания в устройствах (серверы, концентраторы, мосты и т. д.); резервные линии электропитания в пределах комплекса зданий; аварийные электрогенераторы. Системы обеспечения отказоустойчивости: кластеризация; технология RAID. Для обеспечения отказоустойчивости критичных компонентов ИСПДн при сбое в работе оборудования и их автоматической замены без простоев должны использоваться методы кластеризации. Могут использоваться следующие методы кластеризации: для наиболее критичных компонентов ИСПДн должны использоваться территориально удаленные системы кластеров. Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, которые (кроме RAID-0) применяют дублирование данных, хранимых на дисках. Система резервного копирования и хранения данных, должна обеспечивать хранение на твердый носитель (ленту, жесткий диск и т.п.). Организационные меры Резервное копирование и хранение данных должно осуществлять на периодической основе: для обрабатываемых персональных данных – не реже раза в неделю; для технологической информации – не реже раза в месяц; эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы ИСПДн – не реже раза в месяц, и каждый раз при внесении изменений в эталонные копии (выход новых версий). Данные о проведение процедуры резервного копирования, должны отражаться в специально созданном журнале учета. Носители, на которые произведено резервное копирование, должны быть пронумерованы: номером носителя, датой проведения резервного копирования. Носители должны храниться в несгораемом шкафу или помещении оборудованном системой пожаротушения. Носители должны храниться не менее года, для возможности восстановления данных. Ответственность Ответственность за поддержание установленного в настоящей Инструкции порядка проведения резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных возлагается на администратора безопасности информации в органе исполнительной власти. 14. Руководство пользователя по обеспечению безопасности ИСПДн в органах исполнительной власти и их подведомственных учреждениях __________________________________________________________ (наименование органа исполнительной власти) УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 2010 г. Типовая форма руководства пользователя по обеспечению безопасности ИСПДн в органах исполнительной власти и их подведомственных учреждениях Москва 2010 СОДЕРЖАНИЕ Общие положения 1.1. Пользователь ИСПДн (далее – Пользователь) осуществляет обработку персональных данных в информационной системе персональных данных. 1.2. Пользователем является каждый сотрудник органа исполнительной власти, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты. 1.3. Пользователь несет персональную ответственность за свои действия. 1.4. Пользователь в своей работе руководствуется настоящей инструкцией, органа исполнительной власти, руководящими и нормативными документами ФСТЭК России и регламентирующими документами органа исполнительной власти ________ (наименование). 1.5. Методическое руководство работой пользователя осуществляется ответственным за обеспечение защиты персональных данных. Должностные обязанности Пользователь обязан: 2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации. 2.2. Выполнять на автоматизированном рабочем месте (АРМ) только те процедуры, которые определены для него в . 2.3. Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а также руководящих и организационно-распорядительных документов. 2.4. Соблюдать требования парольной политики (раздел 3). 2.5. Соблюдать правила при работе в сетях общего доступа и (или) международного обмена – Интернет и других (раздел 4). 2.6. Экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты). 2.7. Обо всех выявленных нарушениях, связанных с информационной безопасностью органа исполнительной власти, а так же для получений консультаций по вопросам информационной безопасности, необходимо обратиться в _____________ по внутреннему телефону _______. 2.8. Для получения консультаций по вопросам работы и настройке элементов ИСПДн необходимо обращаться к Администратору ИСПДн по внутреннему телефону __________. 2.9. Пользователям запрещается: Разглашать третьим лицам. Копировать защищаемую информацию на внешние носители без разрешения своего руководителя. Самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств. Несанкционированно открывать общий доступ к папкам на своей рабочей станции. Запрещено подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства. Отключать (блокировать) средства защиты информации. Обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн. Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн. Привлекать посторонних лиц для производства ремонта или настройки АРМ, без согласования с ответственным за обеспечение защиты персональных данных. 2.10. При отсутствии визуального контроля за рабочей станцией: доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш <Ctrl><Alt><Del> и выбрать опцию <Блокировка>. 2.11. Принимать меры по реагированию, в случае возникновения , с целью ликвидации их последствий, в рамках возложенных, в пределах возложенных на него функций. Организация парольной защиты 3.1. Личные пароли доступа к элементам ИСПДн выдаются пользователям Администратором информационной безопасности или Администратором ИСПДн. 3.2. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в 3 месяца. 3.3. Правила формирования пароля: Пароль не может содержать имя учетной записи пользователя или какую-либо его часть. Пароль должен состоять не менее чем из 8 символов. В пароле должны присутствовать символы трех категорий из числа следующих четырех: прописные буквы английского алфавита от A до Z; строчные буквы английского алфавита от a до z; десятичные цифры (от 0 до 9); символы, не принадлежащие алфавитно-цифровому набору (например, !, $, #, %). Запрещается использовать в качестве пароля имя входа в систему, простые пароли типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения своей личности и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе. Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов; Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.); Запрещается выбирать пароли, которые уже использовались ранее. 3.4. Правила ввода пароля: Ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан. Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.). 3.5. Правила хранение пароля: Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах. Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем. 3.6. Лица, использующие паролирование, обязаны: четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию. своевременно сообщать Администратору информационной безопасности об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей. Правила работы в сетях общего доступа и (или) международного обмена 4.1. Работа в сетях общего доступа и (или) международного обмена (сети Интернет и других) (далее – Сеть) на элементах ИСПДн, должна проводиться при служебной необходимости. 4.2. При работе в Сети запрещается: Осуществлять работу при отключенных средствах защиты (антивирус и других). Передавать по Сети без использования средств защиты каналов связи. Запрещается скачивать из Сети программное обеспечение и другие файлы. Запрещается посещение сайтов сомнительной репутации (порно-сайты, сайты содержащие нелегально распространяемое ПО и другие). Запрещается нецелевое использование подключения к сети. 15. Руководство администратора по обеспечению безопасности ИСПДн в органах исполнительной власти и их подведомственных учреждениях __________________________________________________________ (наименование органа исполнительной власти) УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 2010 г. Типовая форма руководства администратора по обеспечению безопасности ИСПДн в органах исполнительной власти и их подведомственных учреждениях Москва 2010 СОДЕРЖАНИЕ Общие положения 1.1. Администратор ИСПДн (далее – Администратор) назначается приказом руководителя органа исполнительной власти. 1.2. Администратор подчиняется ___________________. 1.3. Администратор в своей работе руководствуется настоящей инструкцией, Правительства Москвы и органа исполнительной власти, руководящими и нормативными документами ФСТЭК России и регламентирующими документами органа исполнительной власти ________ (наименование). 1.4. Администратор отвечает за обеспечение устойчивой работоспособности элементов ИСПДн и средств защиты, при обработке персональных данных. 1.5. Методическое руководство работой Администратора осуществляется ответственным за обеспечение защиты персональных данных. Должностные обязанности Администратор обязан: 2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации. 2.2. Обеспечивать установку, настройку и своевременное обновление элементов ИСПДн: программного обеспечения АРМ и серверов (операционные системы, прикладное и специальное ПО); аппаратных средств; аппаратных и программных средств защиты. 2.3. Обеспечивать работоспособность элементов ИСПДн и локальной вычислительной сети. 2.4. Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов. 2.5. Обеспечивать функционирование и поддерживать работоспособность средств защиты в рамках возложенных на него функций. 2.6. В случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе средств защиты информации, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности. 2.7. Проводить периодический контроль принятых мер по защиты, в пределах возложенных на него функций. 2.8. Хранить, осуществлять прием и выдачу персональных паролей пользователей, осуществлять контроль за правильностью использования персонального пароля Оператором ИСПДн. 2.9. Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации. 2.10. Информировать ответственного за обеспечение защиты персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн. 2.11. Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн или средств защиты. 2.12. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки персональных данных, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации. Вышедшие из строя элементы и блоки средств вычислительной техники заменяются на элементы и блоки, прошедшие специальные исследования и специальную проверку. 2.13. Присутствовать при выполнении технического обслуживания элементов ИСПДн, сторонними физическими людьми и организациями. 2.14. Принимать меры по реагированию, в случае возникновения , с целью ликвидации их последствий. 2.15. Не допускать к работе на рабочих станциях и серверах структурного подразделения посторонних лиц; 2.16. Осуществлять контроль монтажа оборудования структурного подразделения специалистами сторонних организаций; 2.17. Участвовать в приемке для нужд структурного подразделения новых программных средств; 2.18. Обобщать результаты своей деятельности и готовить предложения по ее совершенствованию; 2.19. При изменении конфигурации автоматизированной системы вносить соответствующие изменения в паспорт АС, обрабатывающей информацию ограниченного доступа; 16. Журнал учета съемных носителей конфиденциальной информации (персональных данных) Типовая форма журнала учета съемных носителей конфиденциальной информации (персональных данных) № п/п Регистрационный номер/дата Тип/ёмкость машинного носителя персональных данных Номер экземпляра/ количество экземпляров Место установки (использования)/дата установки Ответственное должностное лицо (ФИО) Расписка в получении (ФИО, подпись, дата) Расписка в обратном приеме (ФИО, подпись, дата) Место хранения машинного носителя персональных данных Сведения об уничтожении машинных носителей персональных данных, стирании информации (подпись, дата) 1 2 3 … N 17.
Вывод из строя узлов ПЭВМ, каналов связи Угрозы, возникающие при использовании съемных носителей персональных данных Утрата съемных носителей ПДн. Должностная инструкция пользователя ИСПДн;. Разрешение ( запрет) действий пользователей, разрешенных до идентификации и.
Сводный перечень ОРД
![](https://stat002.fosite.ru/counters/4308334.gif?ui=4308334&ci=202&dn=mybyte128.fosite.ru&un=mybyte128.fosite.ru&lg=ru&visitorid=-1&stid=4&stdb=1&color1=D9A2A2&color2=891825&color3=320309&color4=B72435&color5=FFFFFF&turn_on=on&img=0&"+mlp_r+"&)