журнал учета прав доступа к испдн образец заполнения

Приложение 1. Шаблоны документов и инструкции по их заполнению

Шаблоны документов и инструкции по их заполнению

Учреждениям Минздравсоцразвития России в обязательном порядке необходимо самостоятельно или с привлечением лицензиатов ФСТЭК России разработать и утвердить следующие внутренние нормативные документы по защите персональных данных:

1) Положение о защите персональных данных.

2) Положение о подразделении по защите информации.

3) Приказ о назначении ответственных лиц за обработку ПДн.

4) Перечень персональных данных, подлежащих защите.

5) Приказ о проведении внутренней проверки.

6) Отчет о результатах проведения внутренней проверки.

7) Акт классификации информационной системы персональных данных угроз для конкретной ИСПДн.

8) Положение о разграничении прав доступа к обрабатываемым персональным данным.

9) Модель угроз безопасности персональных данных угроз для конкретной ИСПДн.

10) План мероприятий по обеспечению защиты ПДн.

11) Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.

12) Должностные инструкции сотрудников, обрабатывающих ПДн:

— Должностная инструкция администратора безопасности ИСПДн.

— Инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.

13) План внутренних проверок.

14) Журнал по учету мероприятий по контролю состояния защиты ПДн.

15) Журнал учета обращений субъектов ПДн о выполнении их законных прав.

16) Положение об Электронном журнале обращений пользователей информационной системы к ПДн.

17) Копия уведомления Роскомнадзора с исходящим номером и датой подписания

Для правильного выполнения технических мероприятий желательно иметь следующие документы:

1) Концепция информационной безопасности ИСПДн учреждения.

2) Политика информационной безопасности ИСПДн учреждения.

3) Техническое задание на разработку системы обеспечения безопасности ИСПДн.

4) Эскизный проект на создание системы обеспечения безопасности ИСПДн.

Настоящие методические рекомендации содержат шаблоны перечисленных выше основных требуемых внутренних нормативных документов по защите персональных данных. После учета специфики учреждения эти документы необходимо ввести в действие приказом по учреждению.

Директор Департамента информатизации
Министерства здравоохранения и
социального развития
Российской Федерации

Начальник 2 управления ФСТЭК России

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник

Руководство по заполнению уведомления оператора персональных данных

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.

Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.

С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.

Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.

В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.

Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Приведем один пример, как делать не нужно.

Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.

Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.

Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».

Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]».

Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации).
В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».

В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]».

В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.

В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.

Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.

И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.

Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД…

Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Источник

Документы по персональным данным необходимые в 2021 году

Как еще может называться данный документ:

Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

Как еще может называться данный документ:

Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.

Как еще может называться данный документ:

Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

Как еще может называться данный документ:

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Зачем нужен документ:

Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

Зачем нужен документ:

Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

Зачем нужен документ:

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Как еще может называться данный документ:

Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

Зачем нужен документ:

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Как еще может называться данный документ:

Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:

— Постановление Правительства РФ от 01.10.2012 г. №1119
— Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
— Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Как еще может называться данный документ:

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Зачем нужен документ:

Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Зачем нужен документ:

Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

Зачем нужен документ:

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Зачем нужен документ:

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Как еще может называться данный документ:

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Как еще может называться данный документ:

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Источник

Журнал учета прав доступа к испдн образец заполнения

Обзор документа

Приказ Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. № П/31 «Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Федеральной службе государственной регистрации, кадастра и картографии»

В целях обеспечения безопасности персональных данных при обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии, а также выполнения требований Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных» приказываю:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Федерального закона следует читать как «27.07.2006»

2. Начальникам структурных подразделений центрального аппарата Росреестра, руководителям территориальных органов Росреестра обеспечить реализацию Положения.

3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя С.А. Сапельникова.

Положение
по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии
(утв. приказом Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. № П/31)

Термины и определения

Перечень сокращений

1. Общие положения

Настоящее Положение регламентирует вопросы обеспечения безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) в Росреестре и его территориальных органах и определяет порядок организации работ по созданию и эксплуатации системы защиты персональных данных (СЗПДн).

Настоящее Положение разработано на основании следующих основных нормативных правовых актов и документов в области обеспечения безопасности ПДн:

— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции от 25.07.2011 № 261-ФЗ);

— постановление Правительства Российской Федераций от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствий с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

— Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 5.02.2010 № 58;

— Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 № 282.

Действие настоящего Положения не распространяется на вопросы, связанные с обработкой ПДн, осуществляемой без использования средств автоматизации. Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Росреестра, определяются в отдельном документе с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15.09.2008 № 687.

2. Порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн

Под организацией работ по обеспечению безопасности ПДн при их обработке в ИСПДн понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла ИСПДн, согласованных по цели, задачам, месту и времени, направленных на предотвращение (нейтрализацию) и парирование угроз безопасности ПДн в ИСПДн, восстановление нормального функционирования ИСПДн после нейтрализации угрозы с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.

Организация работ по защите ПДн предусматривает формирование:

— перечня ПДн, обрабатываемых в информационных системах (ИС) Росреестра;

— порядка классификации ИС Росреестра как ИСПДн;

— порядка разработки, ввода в действие и эксплуатации ИСПДн в части реализации мероприятий по обеспечению безопасности ПДн;

— порядка взаимодействия между ответственными за обеспечение безопасности ПДн и эксплуатирующими подразделениями (администраторами) по вопросам обеспечения безопасности ПДн;

— порядка привлечения структурных подразделений Росреестра и специализированных сторонних организаций к разработке и эксплуатации СЗПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн в соответствии с требованиями Руководящих документов по безопасности с учетом механизмов, предусмотренных Федеральным законом от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд»;

— ответственности должностных лиц за обеспечение безопасности ПДн, своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн;

— порядка контроля обеспечения требуемого уровня защищенности ПДн.

Согласование подключений сторонних организаций к сети Росреестра осуществляется после согласования схемы подключения центральным аппаратом Росреестра, подписания лицензионного договора на использование ПК ПВД между Росреестром и сторонней организацией и соглашения о взаимодействии между такой сторонней организацией, территориальным органом Росреестра и филиалом федерального государственного бюджетного учреждения «Федеральная кадастровая палата Федеральной службы государственной регистрации, кадастра и картографии» по субъекту Российской Федерации.

Непосредственно исполнение работ по защите информации (ПДн) в ИСПДн с использованием средств автоматизации возлагается на начальников соответствующих структурных подразделений центрального аппарата Росреестра и территориальных органов Росреестра, ответственных за развитие и использование (эксплуатацию) ИСПДн Росреестра.

Для придания необходимого статуса рабочей группе могут издаваться соответствующие распоряжения руководителя Росреестра/территориального органа Росреестра, в которых, в частности, даются указания всем начальникам структурных подразделений центрального аппарата Росреестра/территориального органа Росреестра об оказании содействия и необходимой помощи в работе комиссии (рабочей группе) при проведении работ. Для оказания помощи на время работы группы в подразделениях начальниками этих структурных подразделений выделяются работники, владеющие детальной информацией по вопросам обработки ПДн в данных подразделениях.

Проведение предпроектного обследования ИСПДн, разработка и реализация СЗПДн могут осуществляться как работниками центрального аппарата/территориального органа Росреестра (специалистами по информационной безопасности и информационным технологиям центрального аппарата/территориального органа Росреестра), так и на договорной основе с другими специализированными организациями, имеющими соответствующие лицензии на деятельность по технической защите конфиденциальной информации, по согласованию с Росреестром результатов работ данными организациями в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд». Научно-техническое и методическое руководство, непосредственная организация работ по созданию (модернизации) СЗПДн и контроль за эффективностью использования предусмотренных мер возлагается на специалиста по информационной безопасности (подразделение ИБ) в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

В случае разработки СЗПДн или ее отдельных компонентов специализированными организациями подразделение ИБ отвечает за организацию и проведение мероприятий по защите информации. Разработка, внедрение и эксплуатация СЗПДн осуществляются во взаимодействии разработчика с подразделением ИБ.

Контроль за реализацией проектных решений возлагается на заместителя руководителя Росреестра и заместителей руководителя территориального органа Росреестра, отвечающих за ИТ.

2.1. Порядок определения защищаемой информации и классификации ИСПДн

Внутренней комиссией (рабочей группой)*(1), образованной приказом Росреестра (территориального органа Росреестра), для каждой ИСПДн определяется перечень ПДн, уточняются цели и основание обработки ПДн, а также срок хранения и условия прекращения обработки.

Целью классификации ИС Росреестра как ИСПДн является определение по её результатам перечня обоснованных организационных и технических мероприятий, позволяющих выполнить требования по обеспечению безопасности ПДн с учётом особенностей конкретной ИСПДн. Классификация может проводиться на этапе создания ИС или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИС).

Классификация ИСПДн проводится внутренней комиссией (рабочей группой) и включает в себя следующие этапы:

— сбор и анализ исходных данных по ИС;

— присвоение ИС соответствующего класса и его документальное оформление.

При проведении классификации ИСПДн внутренней комиссией (рабочей группой) определяется:

— заданные оператором (Росреестр) характеристики безопасности ПДн, обрабатываемых в ИС;

— наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена;

— режим обработки ПДн;

— режим разграничения прав доступа пользователей ИС;

— местонахождение технических средств ИС.

В случае выделения в составе ИС подсистем, каждая из которых является ИС, ИС в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем, если данные ИС не разделены между собой МЭ.

Предложения комиссии (рабочей группы) по отнесению ИС к определенному классу согласовываются с оператором информационных ресурсов (ИР) ИСПДн.

Результаты классификации ИСПДн Росреестра оформляются актом, утверждаемым руководителем Росреестра/территориального органа Росреестра, в соответствии с Приложением № 1 к Специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К), утвержденным приказом Гостехкомиссии России от 30.08.2002 № 282. Сформированные по результатам классификации материалы являются неотъемлемой частью организационно-распорядительной документации ИСПДн и относятся к информации конфиденциального характера. Оригиналы организационно-распорядительной документации ИСПДн хранятся у лица, ответственного за организацию работ по защите ПДн.

— на основе результатов проведенного анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИС;

— по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в ИС.

2.2. Порядок разработки, ввода в действие и эксплуатации СЗПДн

Предусматриваются следующие стадии разработки и сопровождения СЗПДн:

— стадия проектирования (разработки проектов) и реализации ИСПДн;

— стадия ввода в действие СЗПДн.

2.2.1. Предпроектная стадия

На предпроектной стадии проводится предпроектное обследование ИСПДн и разработка технического (частного технического) задания на создание СЗПДн.

Выполнение данных работ может осуществляться на договорной основе специализированной сторонней организацией в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд», имеющей соответствующую лицензию на деятельность по технической защите конфиденциальной информации.

Условия соблюдения конфиденциальности специалистами привлекаемой специализированной сторонней организации при проведении работ оформляются в рамках государственного контракта в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд».

Нумерация подразделов приводится в соответствии с источником

2.2.1. Стадия проектирования и реализации СЗПДн

Проектирование (разработка проектов) и реализация СЗПДн проводится на основании требований, изложенных в техническом (частном техническом) задании на разработку СЗПДн, а также в соответствии с требованиями приказа Росреестра от 14.06.2011 № П/217 «Об утверждении порядка организации процессов жизненного-цикла программных средств информационных систем и информационных технологий Федеральной службы государственной регистрации, кадастра и картографии». Выбор исполнителя для разработки проекта (или раздела проекта) на создание СЗПДн в составе ИСПДн осуществляется руководителем подразделения ИБ и утверждается руководителем Росреестра/территориального органа Росреестра.

При разработке СЗПДн в составе ИСПДн проводятся следующие мероприятия:

— разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;

— разработка раздела технического проекта на ИСПДн в части защиты информации;

— проведение строительно-монтажных работ в соответствии с проектной документацией;

— использование серийно выпускаемых технических средств обработки, передачи и хранения информации;

— разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

— использование сертифицированных технических, программных и программно-технических СЗИ и их установка;

— сертификация по требованиям безопасности информации программных СЗИ в случае, если на рынке отсутствуют требуемые сертифицированные СЗИ;

— разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;

— определение подразделений и назначение лиц, ответственных за эксплуатацию СЗИ, с их обучением по направлению безопасности ПДн;

— разработка рабочей, эксплуатационной документации на СЗПДн, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

— выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.

Проектная документация подлежит согласованию с начальником Отдела ИБ Росреестра/территориального органа Росреестра.

2.2.2. Стадия ввода в действие СЗПДн

На стадии ввода в действие СЗПДн выполняются следующие мероприятия:

— опытная эксплуатация средств защиты в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки технологического процесса обработки (передачи) информации;

— приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;

— организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;

— оценка соответствия ИСПДн требованиям безопасности ПДн.

Ввод в эксплуатацию СЗПДн осуществляется на основании приказа руководителя Росреестра/территориального органа Росреестра, который издается на основании положительных результатов оценки соответствия ИСПДн Росреестра/территориального органа Росреестра требованиям безопасности ПДн.

Эксплуатация СЗПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требований и положений, изложенных в настоящем документе.

При определении порядка проведения технического обслуживания и ремонтных работ в СЗПДн учитывается требование исполнения данных работ только уполномоченными работниками Росреестра/территориального органа Росреестра (или в их присутствии), назначенными ответственными за обслуживание (сопровождение) СЗПДн.

Все процедуры, связанные с изменением конфигурации СЗПДн, проведением технического обслуживания и ремонтных работ на технических средствах СЗПДн предусматривают документирование объемов и сроков выполненных работ, а также лиц (организаций), проводивших эти работы.

2.3. Порядок привлечения структурных подразделений Росреестра и специализированных сторонних организаций к разработке и эксплуатации ИСПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн

Для организации и обеспечения безопасности ПДн при их обработке в ИСПДн ответственным структурным подразделением за обеспечение безопасности ПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается подразделение ИБ Росреестра. В территориальных органах Росреестра ответственными за обеспечение безопасности ПДн назначаются подразделения ИБ.

Подразделение ИБ обеспечивает методическое руководство, разработку требований к мерам защиты ИСПДн Росреестра/территориального органа Росреестра и контроль за эффективностью использования предусмотренных мер защиты информации.

Подразделение ИБ обеспечивает подготовку предложений по совершенствованию и реализации положений Политики безопасности информации и контролирует выполнение установленных требований в структурных подразделениях Росреестра и территориальных органов Росреестра.

Подразделение ИБ осуществляет следующие основные функции:

— разрабатывает предложения по определению класса защищенности объектов ИСПДн и автоматизированной системы (АС);

— участвует в организации работ по выявлению актуальных угроз безопасности ПДн;

— осуществляет методическое руководство и участвует в разработке (согласовании) конкретных требований по защите ПДн и разработке технического (частного технического) задания на создание СЗПДн;

— согласовывает выбор конкретных средств обработки ПДн, технических и программных средств защиты;

— осуществляет контроль реализации проектных решений на создание СЗПДн;

— участвует в организации работ по оценке соответствия ИСПДн предъявляемым требованиям по обеспечению безопасности ПДн;

— участвует в организации разработки организационно-распорядительной документации по защите информации в ИСПДн;

— проводит контроль требуемого уровня обеспечения защищенности ПДн при эксплуатации СЗПДн, в том числе контроль соблюдения условий использования СЗИ;

— участвует в организации обучения должностных лиц Росреестра и территориальных органов Росреестра, ответственных за эксплуатацию СЗИ, по направлению обеспечения безопасности ПДн;

— участвует в организации охраны и физической защиты помещений Росреестра и территориальных органов Росреестра, в которых размещаются средства обработки ПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;

— оказывает методическую помощь должностным лицам территориально удаленных подразделений территориальных органов Росреестра, назначенным ответственными за обеспечение безопасности ПДн.

Подразделение ИТ разрабатывает правила работы с информацией, техническими средствами и правила использования ПДн в соответствии с возможностями, функциями, предназначением и степени защищенности этих средств, ресурсов и требованиям к защите и доступности ПДн, осуществляет предоставление ИТ-сервисов всем структурным подразделениям Росреестра и его территориальных органов, отвечает за их целостность и доступность, обеспечивает разграничение доступа к ПДн в процессе их использования, контроль над ходом информационных процессов.

В случае привлечения для обеспечения безопасности ПДн сторонних специализированных организаций в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» рекомендуется выполнение следующих условий:

— наличие у организации лицензии на право проведения работ по технической защите конфиденциальной информации;

— оформление соглашения о неразглашении конфиденциальных сведений;

— проведение инструктажа исполнителей работ по вопросам ИБ;

— другие условия, устанавливаемые соответствующими нормативными и организационно-распорядительными документами.

При привлечении сторонних специализированных организаций работникам следует учитывать следующие функции в техническом задании:

а) на предпроектной стадии:

— уточнение перечня ПДн, подлежащих защите;

— определение условий расположения ИСПДн относительно границ контролируемой зоны;

— определение конфигурации и топологии ИСПДн в целом, и ее отдельных компонент, физические, функциональные и технологические связи как внутри ИСПДн, так и с другими системами различного назначения;

— определение технических средств и систем, включаемых в состав ИСПДн, условий их расположения, общесистемных и прикладных программных средств;

— определение режимов обработки ПДн в ИСПДн;

— разработка предложений по уточнению класса защищенности ИСПДн;

— уточнение степени участия работников в обработке ПДн, характера их взаимодействия между собой;

— определение (уточнение) угроз безопасности ПДн с учётом конкретных условий функционирования ИСПДн, разработка проекта частной модели угроз;

— участие в разработке (согласовании) конкретных требований по защите ПДн и разработке технического (частного технического) задания на создание СЗПДн.

б) на стадии проектирования:

— монтажные работы в соответствии с проектной документацией;

— использование сертифицированных технических, программных и программно-технических СЗИ и их установка;

— организация сертификации по требованиям безопасности информации программных СЗИ в случае, когда на рынке отсутствуют требуемые сертифицированные СЗИ;

— разработка разрешительной системы доступа пользователей к ПДн, обрабатываемым в ИСПДн;

— разработка (в согласованном объеме) эксплуатационной документации на СЗПДн.

в) на стадии ввода СЗПДн в эксплуатацию:

— предварительные испытания и опытная эксплуатация СЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

— приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;

— оценка соответствия ИСПДн требованиям безопасности ПДн.

3. Основные требования и правила по обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра

Обеспечение безопасности ПДн при их обработке в ИСПДн Росреестра достигается применением организационных и технических мер, причем в интересах обеспечения безопасности в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации.

Основными направлениями защиты информации (ПДн) являются:

— обеспечение защиты информации (ПДн) от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет несанкционированного доступа (НСД) и специальных воздействий;

— обеспечение защиты информации (ПДн) от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

Основными мерами защиты информации (ПДн) являются:

— реализация разрешительной системы допуска пользователей (обслуживающего персонала) к ИР, ИС и связанным с ее использованием работам, документам;

— ограничение доступа пользователей в помещения, где размещены технические средства (ТС), позволяющие осуществлять обработку ПДн, а также хранятся носители информации;

— разграничение доступа пользователей и обслуживающего персонала к ИР, программным средствам обработки (передачи) и защиты информации;

— регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа (НСД) и действий пользователей, обслуживающего персонала и посторонних лиц;

— учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

— резервирование ТС, дублирование массивов и носителей информации;

— использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия требованиям безопасности информации;

— использование защищенных каналов связи;

— размещение ТС, позволяющих осуществлять обработку ПДн в пределах охраняемой территории;

— использование ТС, удовлетворяющих требованиям стандартов по электромагнитной совместимости, безопасности, санитарным нормам, предъявляемым к видеодисплейным терминалам;

— размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах охраняемой территории;

— обеспечение развязки цепей электропитания ТС с помощью защитных фильтров, блокирующих (подавляющих) информационный сигнал;

— обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных ТС и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация;

— размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;

— организация физической защиты помещений и собственно ТС, позволяющих осуществлять обработку ПДн;

— предотвращение внедрения в ИС вредоносных программ (программ-вирусов) и программных закладок.

Для обеспечения безопасности ПДн от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД в зависимости от класса ИСПДн, заданных характеристик безопасности обрабатываемых ПДн, угроз безопасности ПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режимов обработки ПДн в рамках СЗИ от НСД реализуются функции управления доступом, регистрации и учёта, обеспечения целостности, анализа защищённости, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

Перечень мер по защите информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи применяются по решению руководителя Росреестра/территориального органа Росреестра.

3.1. Требования по организации разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации

Данный раздел Положения регламентирует порядок взаимодействия подразделений Росреестра и его территориальных органов по обеспечению безопасности ПДн при организации разрешительной системы доступа к сервисам и ресурсам ИСПДн Росреестра.

Разрешительная система доступа к обрабатываемой в ИСПДн информации предусматривает установление единого порядка обращения со сведениями, содержащими ПДн клиентов и работников Росреестра и его территориальных органов, и их носителями, определяет степень ограничения на доступ к данной информации и степень ответственности за сохранность предоставленной информации.

Организация разрешительной системы доступа относится к основным вопросам управления обеспечением безопасности ПДн и включает:

— распределение функций управления доступом к данным и их обработкой между должностными лицами;

— определение порядка изменения правил доступа к защищаемой информации;

— определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;

— контроль функционирования разрешительной системы доступа и расследование фактов неправомерного доступа лиц к защищаемой информации, в случае выявления таковых;

— оценку эффективности проводимых мер по исключению утечки информации;

— организацию деятельности должностных лиц, ответственных за подготовку предложений о внесении изменений в должностные обязанности и иные документы, определяющие задачи и функции работников ИСПДн Росреестра;

— разработку внутренних организационно-распорядительных документов, определяющих порядок реализации и функционирования разрешительной системы доступа.

Основные условия правомерного доступа работников Росреестра и его территориальных органов к обрабатываемой в ИСПДн Росреестра информации включают в себя:

— подписание работником Росреестра и его территориальных органов обязательства о неразглашении конфиденциальной информации*(3);

— наличие у работника Росреестра и его территориальных органа «оформленного в установленном порядке права допуска к ПДн, обрабатываемым в ИСПДн Росреестра»;

— наличие утвержденных в соответствии с трудовым законодательством Российской Федерации, законодательством о государственной гражданской службе Российской Федерации должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации.

Лица, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании списка, утвержденного руководителем Росреестра (руководителем территориального органа Росреестра). Форма списка лиц, допущенных к ПДн, обрабатываемым в ИСПДн, приведена в Приложении (см. Приложение Б). Права доступа работников к защищаемой информации определяются в Матрице доступа (см. Приложение В).

Для обеспечения персональной ответственности за свои действия каждому пользователю ИСПДн, допущенному к работе с защищаемой информацией в ИСПДн, присваивается уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя («группового имени») запрещается.

При регистрации и назначении прав доступа пользователей ИСПДн Росреестра выполняются следующие требования:

— каждому пользователю присваивается уникальный идентификатор пользователя, по которому его можно однозначно идентифицировать;

— учетные записи всех пользователей привязываются к конкретным автоматизированным рабочим местам (АРМ), за исключением учетных записей технического персонала, обслуживающего компоненты ИСПДн Росреестра;

— при регистрации пользователей проводится проверка соответствия уровня доступа возложенным на пользователя задачам (вмененным обязанностям);

— назначенные пользователю права доступа документируются;

— пользователь знакомится под роспись с предоставленными ему правами доступа и порядком его осуществления;

— в ИСПДн предусматривается разрешение доступа к сервисам только аутентифицированным пользователям;

— при внесении нового пользователя разрабатывается и обновляется формальный список всех пользователей, зарегистрированных для работы в ИСПДн;

— при изменении должностных обязанностей (увольнении) пользователя проводится немедленное исправление (аннулирование) прав его доступа;

— администраторами ИСПДн проводится удаление всех неиспользуемых учетных записей. Предусмотренные в системе запасные идентификаторы недоступны другим пользователям.

Контроль выполнения требований разрешительной системы доступа к ПДн возлагается на администратора безопасности информации (администратора безопасности). Подробное описание обязанностей администратора безопасности приведены в Приложении (см. Приложение Г).

Допуск к ИР ИСПДн сторонних организаций (правоохранительных органов, судебных органов, органов статистики, органов исполнительной и законодательной власти субъектов Российской Федерации) регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение информации, а также настоящим Положением.

Порядок допуска к ИР ИСПДн сторонних организаций, выполняющих работы на договорной основе, определяется в договоре на выполнение работ (оказание услуг) в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд». Обязательным условием договора является заключение соглашения о конфиденциальности.

Подробное описание порядка организации разрешительной системы доступа приведено в Приложении (см. Приложение А).

3.2. Требования к проведению мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где размещены средства ИСПДн

Данный раздел Положения содержит общие требования к проведению мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где размещены ИСПДн Росреестра:

1. Организуется контроль доступа работников и посетителей в помещения Росреестра, его территориальных органов, в которых установлены ТС ИСПДн и осуществляется обработка ПДн, а также хранятся носители ПДн.

2. Доступ работников структурных подразделений центрального аппарата Росреестра, его территориальных органов в помещения, в которых осуществляется обработка ПДн, организовывается на основании списков, утверждаемых руководителем Росреестра/территориального органа Росреестра. Доступ других работников центрального аппарата Росреестра, его территориальных органов и посетителей в эти помещения осуществляется в сопровождении ответственных должностных лиц. При этом время и дата их посещения и выхода протоколируются подразделением по охране объекта в специальном журнале учета посетителей или с применением ТС контроля физического доступа.

3. Посетители получают доступ только в соответствии с необходимостью и ознакамливаются с инструкциями по безопасности и по действиям в аварийных ситуациях.

4. Для защиты помещений, в которых расположены ТС ИСПДн, принимаются меры для минимизации воздействий огня, дыма, воды, пыли, взрыва, химических веществ, а также кражи.

5. ТС ИСПДн и размещенное совместно с ними вспомогательное оборудование подвергаются регулярным осмотрам с целью выявлений изменения конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.).

6. Обеспечивается размещение устройств вывода информации средств вычислительной техники, дисплеев АРМ ИСПДн таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПДн.

7. Работникам Росреестра запрещается подключать к сети неучтенные информационно-телекоммуникационные средства.

3.3. Правила обеспечения безопасности ПДн при использовании съемных носителей ПДн

3.3.1. Правила обращения со съемными носителями ПДн

При обращении со съемными носителями ПДн выполняются следующие основные правила:

— носители ПДн учитываются и выдаются пользователям под роспись и защищены;

— носители ПДн, срок эксплуатации которых истек, уничтожаются в установленном порядке;

— для выноса носителей ПДн за пределы объектов Росреестра и территориальных органов Росреестра*(4) дается специальное разрешение, а факт выноса фиксируется в специальной базе данных;

— все носители ПДн хранятся в безопасном месте в соответствии с требованиями по их эксплуатации.

Ответственным за хранение, учет и выдачу съемных носителей ПДн является ответственный работник Отдела ИБ Росреестра, его территориального органа.

3.3.2. Порядок учета носителей информации

Все находящиеся на хранении и в обращении съемные носители ПДн учитываются в Журнале учета носителей ПДн. Форма Журнала приведена в приложении (см. Приложение З).

Каждый носитель, с записанными на нем ПДн, имеет этикетку, на которой указывается метка съемного носителя и гриф.

Пользователи ИСПДн для выполнения работ получают учтенный съемный носитель от ответственного работника Отдела ИБ Росреестра. При получении делаются соответствующие записи в Журнале учета.

После окончания работ пользователь ИСПДн сдает съемный носитель в помещение для хранения, о чем делается соответствующая запись в Журнале учета. При наличии личного сейфа у пользователя ИСПДн допускается хранение учтенных съемных носителей в личных сейфах, опечатанных печатью пользователя ИСПДн.

3.3.3. Порядок уничтожения носителей ПДн

Носители ПДн, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.

Уничтожение носителей ПДн осуществляется комиссией по уничтожению, назначенной руководителем Росреестра/территориального органа Росреестра по представлению руководителя Отдела ИБ (подразделения, отвечающее за безопасность информации).

Уничтожение магнитных, оптических, магнитооптических и электронных носителей информации производится путем их физического разрушения. Перед уничтожением носителя информация с него стирается (уничтожается), если это позволяют физические принципы работы носителя.

Бумажные носители данных уничтожаются на специальных бумагорезательных устройствах (шредерах).

Перед утилизацией оборудования, участвующего в обработке ПДн, работником подразделения ИТ осуществляется проверка всех его компонентов, включая носители информации (жесткие диски) на отсутствие ПДн и лицензированного программного обеспечения (ПО).

По результатам уничтожения комиссией составляется Акт уничтожения носителей ПДн, который хранится в помещении для хранения носителей ПДн, уничтоженные носители ПДн (утилизированное оборудование) снимается с материального учета.

3.4. Порядок и правила использования паролей пользователей

Организационное и техническое обеспечение смены, прекращения действия паролей в ИСПДн Росреестра, процессов генерации и использования возлагается в пределах своих полномочий на работников подразделения ИТ и администратора безопасности, сопровождающего механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

При использовании паролей в ИСПДн Росреестра выполняются следующие правила:

— пароли обязаны меняться с установленной периодичностью в соответствии с требованиями организационно-распорядительного документа Росреестра;

— пароль имеет не менее 6 символов и содержать буквенные и цифровые символы;

— обязательно применение индивидуальных паролей;

— применение групповых паролей не допускается;

— при создании пароля пользователя администратором предусмотривается его автоматическое изменение самим пользователем после первого же его входа в ИСПДн Росреестра;

— для предотвращения повторного использования паролей ведется их учет (запись) за предыдущие 12 месяцев;

— при вводе пароль не выдается на монитор компьютера в явном виде;

— пароли могут храниться только на АРМ владельца пароля в зашифрованном виде с использованием стойких алгоритмов шифрования. Файл с паролями хранится отдельно от системных приложений;

— рекомендуется использование возможностей операционной системы (ОС) по контролю за периодичностью смены (не реже 1 раза в 3 месяц), составу символов и недопущению повторений паролей.

Контроль за действиями пользователей ИСПДн Росреестра при работе с паролями возлагается на администратора безопасности в пределах своих полномочий.

При использовании паролей запрещается:

— использовать в качестве пароля свои имя, фамилию, дату рождения, имена родственников, кличку собаки и т. п., равно как и обычные слова;

— использовать в качестве пароля русское слово, введенное при нахождении клавиатуры в латинском регистре;

— использовать в качестве пароля легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ), а также общепринятые сокращения;

— использовать в качестве пароля «пустой» пароль, имя входа в систему, а также выбирать пароли, которые уже использовались ранее;

— использовать один и тот же пароль при загрузке АРМ и при работе в ИСПДн Росреестра;

— записывать пароль на неучтённых бумажных носителях информации;

— разглашать кому бы то ни было свои персональные пароли доступа.

Владельцы паролей ознакомливаются с перечисленными требованиями организации парольной защиты в Росреестре с проставлением собственноручно подписи в листе ознакомления с соответствующей документированной процедурой и предупреждаются об ответственности за использование паролей, не соответствующих установленным требованиям, а также за разглашение парольной информации.

3.5. Обязанности работников Росреестра, его территориальных органов при возникновении инцидентов ИБ

Настоящий раздел регламентирует взаимодействие подразделений Росреестра, его территориальных органов при возникновении нештатных ситуаций.

При возникновении инцидентов ИБ работник, обнаруживший инцидент, немедленно ставит в известность своего непосредственного руководителя и уполномоченного работника подразделения ИБ и в установленном порядке оформляет отчёт.

Руководитель подразделения ИБ проводит предварительный анализ ситуации.

По факту возникновения инцидента ИБ по решению руководителя подразделения ИБ Группой реагирования на инциденты ИБ*(5) проводится выяснение причин его возникновения. Результаты расследования фиксируются в акте. К акту прилагаются (при наличии) поясняющие материалы (копии экрана, распечатка журнала событий и др.) и при выявлении виновных докладывается руководителю Росреестра/территориального органа.

Рекомендуемый состав Группы реагирования на инциденты ИБ и общие обязанности членов Группы реагирования на инциденты ИБ:

— работники подразделения ИБ- обеспечение координационной, административной, экспертной деятельности (в рамках своей компетенции);

Инструкция о действиях лиц, допущенных к информации, содержащей ПДн, в случае нештатных ситуаций приведена в Приложении (см. Приложение И).

3.6. Требования к резервированию ИР

Резервное копирование защищаемой информации (ПДн) применяется для оперативного восстановления данных в случае утери или по другим причинам.

В состав ИР, подлежащих резервному копированию, в обязательном порядке включаются ИР, являющиеся объектом защиты в Росреестре и его территориальных органах.

При организации резервирования ИР обеспечивается выполнение следующих требований:

— резервные копии ИР и инструкции по их восстановлению хранятся в специально выделенном месте, территориально отдаленном от места хранения основной копии информации;

— к резервным копиям применяется комплекс физических и организационных мер защиты;

— носители, на которые осуществляется резервное копирование, регулярно проверяются на отсутствие сбоев;

— применяемая система резервного копирования обеспечивает производительность, достаточную для сохранения информации, в установленные сроки и с заданной периодичностью;

— предусмотрены регулярная проверка процедур восстановления и практический тренинг работников по восстановлению данных.

Резервное копирование информации осуществляется работниками подразделения ИТ в пределах своих полномочий в соответствии с графиком резервного копирования. Допускается осуществление резервного копирования в автоматизированном режиме.

График резервного копирования составляется для каждого вида информации, подлежащей периодическому резервному копированию, утверждается руководителем подразделения ИТ и согласовывается с руководителем подразделения ИБ. Периодичность проведения резервного копирования устанавливается Графиком резервного копирования не реже одного раза в неделю и может осуществляться ежедневно (в автоматизированном режиме).

Резервное копирование информации производится в соответствии с документацией на используемое ПО.

Программно-аппаратные средства, обеспечивающие проведение резервного копирования и носители, на которые осуществляется резервное копирование, не реже одного раза в месяц проверяются на отсутствие сбоев работниками подразделения ИТ в соответствии с документацией на программно-аппаратные средства с отметкой в Журнале проверки работоспособности системы резервного копирования.

Резервные копии данных хранятся вместе с инструкцией по восстановлению данных из резервных копий в отдельном помещении от используемых данных.

Восстановление данных из резервных копий осуществляется в соответствии с документацией на используемое ПО в максимально сжатые сроки, ограниченные техническими возможностями системы, но не более одного рабочего дня.

Инструкция по организации резервного копирования приведена в Приложении (см. Приложение К).

3.7. Правила защиты ИСПДн от вредоносных программ

При использовании в ИСПДн средств антивирусной защиты и защиты от вредоносных программ выполняются следующие организационные меры:

— использование съемных носителей ПДн пользователя ИСПДн на других компьютерах только с механической защитой от записи;

— запрет на использование посторонних съемных носителей ПДн при работе в ИСПДн;

— запрет на передачу съемных носителей ПДн посторонним лицам

— запрет на запуск программ с внешних съемных носителей информации при работе в ИСПДн;

— запрет на несанкционированное использование отчуждаемых носителей информации (оптических дисков, флэш-карт и т. п.);

— использование в ИСПДн только дистрибутивов программных продуктов, приобретенных у официальных дилеров фирм-разработчиков этих продуктов;

— обязательная проверка всех программных продуктов;

— проверка всех программных файлов и файлов документов, полученных по электронной почте, специальными антивирусными средствами;

— систематическая проверка содержимого дисков файловых хранилищ обновленными версиями антивирусных программ;

— контроль и обновление списка разрешенных ссылок на веб-ресурсы сети Интернет.

Ответственность за эксплуатацию средств антивирусной защиты и защиты от вредоносных программ возлагается:

— на работников подразделения ИТ в части наличия антивирусного ПО на клиентских рабочих станциях и использования данного ПО пользователями;

— на работников подразделения ИБ в части централизованного управления СЗИ.

Инструкция по проведению антивирусного контроля приведена в Приложении (см. Приложение Л).

3.8. Требования по обеспечению безопасности при работе в сети Интернет

Доступ в сеть Интернет и другие глобальные сети пользователям предоставляется исключительно в целях повышения эффективности выполнения ими свои служебных обязанностей.

Организация доступа пользователей ИСПДн к сети Интернет осуществляется работником подразделения ИТ на основании мотивированного запроса руководителя подразделения Росреестра и/или его территориального органа, согласованного с подразделением ИБ. Установка дополнительного оборудования и ПО для осуществления доступа пользователей ИСПДн Росреестра осуществляется в порядке, установленным настоящим Положением для внесения изменений в ПО и аппаратные средства Росреестра. Запрещается использование подключений к сети Интернет и каналов связи, использование которых не согласовано с подразделением ИТ. Подразделениям по защите государственной тайны доступ к ресурсам сети Интернет запрещен.

Пользователи ИСПДн Росреестра могут использовать сети Интернет в качестве:

— транспортной среды при обмене информацией между несколькими территориально разнесенными элементами ИСПДн или другими ИС (транспортная задача);

— средства предоставления открытой общедоступной информации, содержащейся в ИР Росреестра, внешнему абоненту (портальная задача);

— средства получения необходимой пользователям ИСПДн Росреестра информации, содержащейся в ИР сети Интернет или других корпоративных сетей (информационная задача).

При работе с ресурсами сети Интернет запрещается:

— разглашение конфиденциальной информации, ставшей известной работнику Росреестра, его территориального органа по служебной необходимости либо иным путем;

— распространение защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны;

— публикация, загрузка и распространение материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления НСД, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения НСД к платным ресурсам в сети Интернет, а также размещение ссылок на вышеуказанную информацию;

— загрузка и запуск исполняемых либо иных файлов без предварительной проверки на наличие вирусов установленным антивирусным пакетом;

— использование анонимных прокси-серверов;

— доступ к ресурсам сети Интернет, содержащим развлекательную (в том числе музыкальные, видео, графические и другие файлы, не связанные с производственной деятельностью), эротическую или порнографическую информацию.

Вся информация о ресурсах, посещаемых работниками Росреестра, его территориальных органов, протоколируется.

Уполномоченный работник подразделения ИБ обязан проводить анализ использования ресурсов сети Интернет и в случае необходимости представлять отчет об использовании Интернет-ресурсов работниками Росреестра и/или территориальных органов Росреестра руководителю подразделения ИБ.

В случае обнаружения значительных отклонений в параметрах работы средств обеспечения доступа к ресурсам сети Интернет от среднестатистических значений немедленно сообщается руководителю подразделения ИБ для принятия последующих решений.

Руководители подразделений вправе запросить от подразделения ИБ отчет об использовании ресурсов сети Интернет работниками своего подразделения.

При нарушении работником Росреестра, его территориальных органов Правил работы в сети Интернет либо возникновении нештатных ситуаций доступ к ресурсам сети Интернет блокируется уполномоченным работником подразделения ИТ с последующим уведомлением руководителя подразделения ИТ.

Электронная почта в Росреестре и территориальных органах Росреестра является средством коммуникации, распределения информации и управления процессами в производственных целях: повышения эффективности труда работников Росреестра и территориальных органов Росреестра и экономии ее ресурсов. Корпоративная (внутренняя) электронная почта Росреестра и территориальных органов Росреестра предназначена исключительно для использования в служебных целях. Использование личной почты в служебных целях запрещено.

Организацией и обеспечением порядка работы электронной почты в Росреестре и территориальных органов Росреестра занимается подразделение ИТ. Ответственность за использование электронной почты возлагается на работников подразделения ИТ в рамках их должностных обязанностей.

При работе с корпоративной электронной почтой Росреестра пользователь учитывает следующие принципиальные положения:

— электронная почта не является средством гарантированной доставки отправленного сообщения до адресата;

— внутренняя электронная почта, организованная с применением средств криптографической защиты, является средством передачи информации, обеспечивающим конфиденциальность передаваемой информации. Передача информации ограниченного доступа осуществляется только в зашифрованном виде.

3.9. Правила использования ПО и аппаратных средств ИСПДн

Настоящий раздел регламентирует взаимодействие подразделений Росреестра и территориальных органов Росреестра по обеспечению безопасности информации при проведении модификаций ПО, технического обслуживания и ремонта средств вычислительной техники (СВТ) ИСПДн Росреестра. На АРМ и сервера ИСПДн без дополнительного согласования устанавливается ПО, необходимое для оказания государственных услуг заявителю, в частности ПК ЕГРП, ПК ПВД и другое.

3.9.1. Права на внесение изменений в ПО и аппаратные средства ИСПДн Росреестра

Все изменения конфигурации ТС и программных средств рабочих станций (АРМ) и серверов ИСПДн, обрабатывающих ПДн, производятся только на основании заявок начальников структурных подразделений, согласованных с подразделением ИБ и подразделением ИТ.

Право внесения изменений в конфигурацию программно-аппаратных средств информационных узлов (рабочих станций, серверов) и телекоммуникационного оборудования, обрабатывающего ПДн, предоставляется:

Изменение конфигурации аппаратно-программных средств защищенных рабочих станций (АРМ) и серверов кем-либо, кроме уполномоченных работников перечисленных подразделений, запрещено.

Право внесения изменений в конфигурацию программно-аппаратных средств рабочих станций (серверов) локальной вычислительной сети, не обрабатывающих ПДн, предоставляется работникам подразделения ИТ (на основании служебных записок начальников структурных подразделений на имя руководителя подразделения ИТ).

3.9.2. Порядок внесения изменений в ПО и аппаратные средства ИСПДн Росреестра

Для внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций ИСПДн начальник структурного подразделения, в котором вносятся изменения, подается заявка на имя руководителя подразделения ИТ, которая им рассматривается и утверждается по согласованию с руководителем подразделения ИБ.

При необходимости планового проведения изменений (обновлений версий) ПО, заявка выпускается руководителем подразделения ИТ и, после согласования с подразделением ИБ, направляется уполномоченному работнику подразделения ИТ.

В заявках могут быть указаны следующие виды необходимых изменений в составе программных и аппаратных средств рабочих станций и серверов подразделения:

— установка в подразделении новой рабочей станции (АРМ) или сервера;

— замена рабочей станции (АРМ) или сервера подразделения;

— изъятие рабочей станции (АРМ) или сервера подразделения;

— добавление устройства (узла, блока) в состав конкретной рабочей станции (АРМ) или сервера подразделения;

— замена устройства (узла, блока) в составе конкретной рабочей станции (АРМ) или сервера подразделения;

— изъятие устройства (узла, блока) из состава конкретной рабочей станции (АРМ) или сервера;

— установка (развертывание) на конкретной рабочей станции (АРМ) или сервере программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной рабочей станции или сервере);

— обновление (замена) на конкретной рабочей станции (АРМ) или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);

— удаление с конкретной рабочей станции (АРМ) или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной рабочей станции).

В заявке указываются условные наименования развернутых рабочих станций (АРМ) и серверов в соответствии с их паспортами. Программные средства указываются в соответствии с перечнем программных средств фонда алгоритмов и программ, которые используются в ИСПДн.

Подразделение ИБ при согласовании заявки учитывает возможность совмещения решения новых задач (обработки информации) на указанных в заявке рабочих станциях (АРМ) или серверах в соответствии с требованиями по безопасности.

Руководитель подразделения ИТ подписывает заявку после согласования с подразделением ИБ и получения (в устной форме) заключения о технической возможности осуществления затребованных изменений от уполномоченных работников подразделения ИТ.

После этого заявка передается уполномоченному работнику подразделения ИТ для непосредственного исполнения работ по внесению изменений в конфигурацию рабочих станций (АРМ) или серверов ИСПДн.

Начальник структурного подразделения, в котором установлены аппаратно-программные средства, подлежащие модернизации, допускает уполномоченных исполнителей подразделения ИТ и подразделения ИБ (администратора безопасности) к внесению изменений в состав аппаратных средств и ПО только по предъявлении последними подписанного задания (в заявке) на осуществление данных изменений.

Установка, изменение (обновление) и удаление системных и прикладных программных средств производится уполномоченными работниками подразделения ИТ.

Если рабочая станция (АРМ) или сервер обрабатывают ПДн, то установка, снятие, и внесение необходимых изменений в настройки СЗИ от НСД и средств контроля целостности файлов на рабочих станциях осуществляется уполномоченным работником подразделения ИТ под контролем администратора безопасности. Работы производятся в присутствии пользователя данной рабочей станции.

Подготовка модификаций ПО защищенных серверов и рабочих станций, тестирование, стендовые испытания и передача исходных текстов, документации и дистрибутивных носителей программ в фонд алгоритмов и программ и другие необходимые действия производится уполномоченным работником подразделения ИТ.

Установка или обновление подсистем ИСПДн проводится в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.

Модификация ПО на сервере осуществляется уполномоченными работниками подразделения ИТ по согласованию с администратором безопасности.

После установки модифицированных модулей на сервер администратор безопасности в присутствии уполномоченных работников подразделения ИТ устанавливает защиту целостности модулей на сервере (производит пересчет контрольных сумм эталонов модулей на файл-сервере с помощью специальных программных средств, прошедших оценку соответствия).

После проведения модификации ПО на рабочих станциях уполномоченный работник подразделения ИТ проводит антивирусный контроль.

Все добавляемые программные и аппаратные компоненты предварительно проверяются на работоспособность, контроль наличия проверок работоспособности осуществляет подразделение ИБ.

После завершения работ по внесению изменений в состав аппаратных средств рабочей станции (АРМ), обрабатывающей ПДн, ее системный блок закрывается уполномоченным работником подразделения ИТ на ключ (при наличии штатных механических замков) и опечатывается (пломбируется, защищается специальной наклейкой) с возможностью постоянного визуального контроля за ее целостностью уполномоченным работником подразделения ИБ.

Уполномоченные исполнители работ производят соответствующую запись в «Журнале фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов) структурного подразделения».

Уполномоченный работник подразделения ИБ (администратор безопасности) проводит периодический контроль за опечатыванием узлов и блоков ИСПДн.

На обратной стороне заявки делается отметка о выполнении и исполненная заявка передается в подразделение ИТ для хранения вместе с паспортом данной рабочей станции (сервера).

При изъятии рабочей станции (сервера), обрабатывающей ПДн, из состава рабочих станций (серверов) структурного подразделения ее передача на склад, в ремонт или в другое структурное подразделение для решения иных задач осуществляется только после того, как уполномоченный работник подразделения ИБ снимет с данной рабочей станции (сервера) СЗИ и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется Актом о затирании остаточной информации, хранившейся на диске компьютера.

Оригиналы заявок (документов), на основании которых производились изменения в составе ТС или программных средств рабочих станций с отметками о внесении изменений в состав программно-аппаратных средств хранятся вместе с оригиналами паспортов рабочих станций (серверов) и «Журналом фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов)» в подразделении ИТ. Копии заявок и актов хранятся в подразделении ИБ. Они используются:

— для восстановления конфигурации рабочих станций (серверов) после аварий;

— для контроля правомерности установки на конкретной рабочей станции (сервере) средств для решения соответствующих задач при разборе конфликтных ситуаций;

— для проверки правильности установки и настройки СЗИ рабочих станций (серверов).

3.10. Требования по обеспечению безопасности при применении средств криптографической защиты информации

Для защиты информации, не содержащей сведений, составляющих государственную тайну, при применении средств криптографической защиты информации (СКЗИ) соблюдаются нормативные требования*(6). Криптографическая защита в ИСПДн Росреестра создаётся на основе сертифицированных СКЗИ, встраивание которых в ИСПДн происходит с выполнением интерфейсных и криптографических протоколов, определенных технической документацией на СКЗИ.

В Росреестре и территориальных органах Росреестра выделяются должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности СКЗИ. Вопросы обеспечения функционирования и безопасности СКЗИ отражаются в специально разработанных документах в соответствии с требованиями регуляторов в области защиты информации, утвержденных руководителем Росреестра и руководителями территориальных органов Росреестра, с учетом эксплуатационной документации на СКЗИ.

К работе с СКЗИ решением руководства Росреестра и территориальных органов Росреестра допускаются работники, обладающие знаниями о правилах его эксплуатации, правилах пользования, об эксплуатационной документации и прошедшие обучение работе с СКЗИ.

Ответственное должностное лицо, уполномоченное на руководство заявленными видами деятельности со средствами СКЗИ, имеет представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и СЗИ.

Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее помещения), обеспечивают безопасность информации, СКЗИ и криптоключей, сводят к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами.

Порядок допуска в помещения определяется на основании инструкции «Об организации пропускного и внутриобъектового режимов на объектах Росреестра и его территориальных органов».

При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими НСД в помещения. Эти помещения имеют прочные входные двери, на которые устанавливаются надежные замки.

Для хранения криптоключей, нормативной и эксплуатационной документации, инсталлирующих криптосредство носителей, помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей хранятся в сейфе ответственного лица, назначаемого руководством Росреестра и территориальных органов Росреестра. Порядок охраны помещений предусматривает периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.

Размещение и установка СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ. Системные блоки АРМ с СКЗИ оборудуются средствами контроля их вскрытия.

Более подробно требования по обеспечению безопасности при применении СКЗИ отражены в документированной процедуре «Порядок организации работы со средствами криптографической защиты информации в «ЮТК»*(7).

4. Порядок организации внутреннего обучения работников правилам и мерам защиты ПДн

Решение основных вопросов обеспечения защиты ПДн предусматривает соответствующую подготовку работников. Проведение обучения работников Росреестра и территориальных органов Росреестра позволит организовать обработку информации в соответствии с требованиями законодательства и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн и реализовать установленный комплекс организационных и технических мер по защите ПДн.

Систему внутреннего обучения работников в области защиты ПДн составляет:

— проведение инструктажа пользователей ИСПДн;

— самостоятельное изучение работниками Росреестра и территориальных органов Росреестра необходимых для работы документов, средств и продуктов;

— проведение курсов повышения квалификации государственных гражданских служащих Росреестра в области защиты персональных данных.

В результате прохождения обучения работники Росреестра и территориальных органов Росреестра получат необходимые знания и навыки в отношении:

— правил использования СЗИ;

— содержания основных нормативных правовых актов, руководящих и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн;

— основных мероприятий по организации и техническому обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра;

— планирования, организации и контроля выполнения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн.

4.1. Проведение инструктажа пользователей ИСПДн

Пользователи ИСПДн, допущенные к работе с ПДн, обязаны пройти инструктаж по вопросам обеспечения безопасности ПДн с целью подтверждения своих знаний и уяснения своих обязанностей по поддержанию установленного режима защиты ПДн.

Инструктаж представляет собой ознакомление работников Росреестра и территориальных органов Росреестра, допущенных к работе в ИСПДн, с положениями настоящего Положения и действующих нормативных документов по обеспечению безопасности информации при ее обработке в ИСПДн, в том числе и с Инструкцией пользователя ИСПДн Росреестра (см. Приложение Д).

Ознакомление с положениями нормативной документации работник Росреестра и территориальных органов Росреестра подтверждает своей личной подписью в журнале инструктажа, что свидетельствует о прохождении инструктажа.

Контроль проведения инструктажа и периодическая проверка знания пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн возлагается на администратора безопасности совместно с начальниками структурных подразделений Росреестра и территориальных органов Росреестра, использующих ИСПДн. Ответственность за непосредственное проведение инструктажа возлагается на начальников структурных подразделений Росреестра и территориальных органов Росреестра.

Работники Росреестра и территориальных органов Росреестра, не прошедшие инструктаж, к работе в ИСПДн не допускаются. Инструктаж проводится перед началом работы в ИСПДн вновь принятых на государственную гражданскую службу работников Росреестра и территориальных органов Росреестра, а также не реже одного раза в год для всех пользователей ИСПДн.

Проверка знаний пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн проводится администратором безопасности не реже одного раза в год в ходе периодического контроля соблюдения режима безопасности информации.

4.2. Самостоятельное изучение

При данном виде подготовки работниками Росреестра и территориальных органов Росреестра, осуществляющими обработку ПДн, а также работниками подразделения ИТ и подразделения ИБ самостоятельно изучаются (в части касающейся):

— руководящие и нормативно-методические документы в области обеспечения безопасности ПДн;

— правила (инструкции) по использованию программных и аппаратных СЗИ.

— внутренние положения (локальные акты) Росреестра, устанавливающие порядок обращения с ПДн и их защиты.

Время для самостоятельного изучения определяется начальниками соответствующих структурных подразделений Росреестра и территориальных органов Росреестра.

5. Ответственность должностных лиц за обеспечение безопасности ПДн, своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн

Ответственность за обеспечение безопасности ПДн распределяется между должностными лицами Росреестра и территориальных органов Росреестра на основании настоящего Положения.

Ответственность за организацию режима обеспечения безопасности ПДн возлагается на руководителя Росреестра, руководителей территориальных органов Росреестра и начальников структурных подразделений центрального аппарата Росреестра и территориальных органов Росреестра.

Ответственность за своевременность и качество формирования требований по защите ПДн, за качество и научно-технический уровень разработки СЗПДн, а также контроль исполнения правил и требований, направленных на обеспечение безопасности ПДн, возлагается на работников подразделения ИБ.

Ответственность за выполнение обязанностей по обеспечению режима безопасности ПДн, возложенных на структурные подразделения центрального аппарата Росреестра и территориальных органов Росреестра, эксплуатирующие ИСПДн, несут начальники соответствующих структурных подразделений.

Средства информатизации, входящие в состав ИСПДн, закрепляются за ответственными должностными лицами (владельцами). Владельцем средств информатизации может быть начальник структурного подразделения или специально назначаемое должностное лицо Росреестра и территориальных органов Росреестра. На владельца средств информатизации возлагается ответственность за выполнение установленных мероприятий по защите закрепленных средств информатизации и обрабатываемых ими ПДн.

Руководители и работники Росреестра и территориальных органов Росреестра, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную и уголовную ответственность, предусмотренную законодательством Российской Федерации.

6. Порядок контроля за обеспечением уровня защищенности ПДн и оценки соответствия ИСПДн

Контроль обеспечения требуемого уровня защищенности ПДн заключается в проверке выполнения требований нормативных документов по защите ПДн*(8), а также в оценке обоснованности и эффективности принятых мер. Мероприятия по контролю защищенности ПДн могут проводиться как уполномоченными работниками подразделения ИБ, так и на договорной основе сторонней организацией, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Мероприятия по контролю защищенности ПДн и оценке соответствия ИСПДн включают:

— внутренний контроль режима безопасности ПДн (оперативный и периодический);

— обследование защищенности ПДн с привлечением сторонней организации;

— оценку соответствия ИСПДн требованиям безопасности ПДн.

6.1. Внутренний контроль режима безопасности ПДн и оценки соответствия ИСПДн требованиям безопасности ПДн

Внутренний оперативный контроль соблюдения режима безопасности ПДн проводится специалистом по информационной безопасности (администратором безопасности) ежедневно в режиме «реального времени». Внутренний контроль заключается в анализе защищенности ПДн посредством используемых в составе ИСПДн программных и программно-аппаратных средств (систем) анализа защищенности.

В ходе проведения контроля соблюдения режима безопасности ПДн специалист по информационной безопасности (администратор безопасности):

— осуществляет анализ лог-файлов, производимых средствами защиты и другими элементами ИСПДн (ОС, прикладные программы);

— просматривает оповещения средств защиты ИСПДн;

— принимает меры по результатам анализа полученных оповещений и лог-файлов.

Внутренний периодический контроль заключается в оценке выполнения требований нормативных документов по обеспечению безопасности ПДн, обрабатываемых в ИСПДн.

В ходе проведения внутреннего периодического контроля проверяются следующие вопросы:

— соответствие состава и структуры программно-технических средств, обрабатывающих защищаемую информацию (ПДн), документированному составу и структуре средств, разрешенных для обработки такой информации;

— знание персоналом руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях;

— проверка наличия документов, подтверждающих возможность применения технических и программных средств вычислительной техники для обработки ПДн и применения СЗИ (сертификатов соответствия и других документов);

— проверка правильности применения СЗИ;

— проверка выполнения требований по условиям размещения АРМ в рабочих помещениях;

— соответствие реального уровня полномочий по доступу к защищаемой информации (ПДн) различных пользователей установленному в списке лиц, допущенных к обработке ПДн, уровню полномочий;

— знание инструкций по обеспечению безопасности информации пользователями ИСПДн;

— организация хранения носителей ПДн и допуска в помещения, где размещены средства обработки и осуществляется обработка ПДн;

— прохождение инструктажа пользователей по вопросам обеспечения безопасности ПДн и выполнение ими установленных требований.

По фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, составляется соответствующее заключение, на основе которого впоследствии осуществляется разработка и реализация мер по предотвращению возможных опасных последствий подобных нарушений.

Результаты контроля оформляются Актом, в котором делаются выводы о состоянии обеспечения безопасности ПДн на проверяемом объекте информатизации и приводятся рекомендации по его совершенствованию.

6.2. Обследование защищенности ПДн внешней специализированной организацией

Обследование защищенности ПДн внешней специализированной организацией проводится при создании ИСПДн (предпроектное обследование) или при доработке (модернизации) СЗПДн в случае, если:

— изменился состав или структура ИСПДн или технические особенности его построения (состав или структура ПО, ТС обработки ПДн, топологии и т.п.);

— изменился состав угроз безопасности ПДн;

— изменился класс защищённости ИСПДн.

Обследование защищенности ПДн внешней специализированной организацией проводится по решению руководителя Росреестра (руководителя территориального органа Росреестра). Привлекаемая для проведения обследования внешняя специализированная организация обязана иметь лицензию на деятельность по технической защите конфиденциальной информации.

6.3. Порядок оценки соответствия ИСПДн требованиям безопасности ПДн

Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в форме проверки готовности СЗИ к использованию.

Проверка готовности СЗИ к использованию осуществляется в ходе приемо-сдаточных испытаний СЗПДн с составлением протоколов проверки и заключений о возможности их эксплуатации.

В качестве организации, проводящей проверку готовности СЗИ к использованию или добровольную аттестацию ИСПДн, привлекается организация, имеющая лицензию ФСТЭК России на право деятельности по технической защите конфиденциальной информации в соответствии с постановлением Правительства Российской Федерации от 03.02.2012 № 79.

Проверка готовности СЗИ к использованию проводится в соответствии с разрабатываемой программой и методикой испытаний соответствующих СЗИ, определяющих порядок проверки выполнения СЗИ заявленных функций защиты.

Аттестация проводится в соответствии с действующими нормативными и методическими документами ФСТЭК России.

Порядок подготовки и проведения аттестации ИСПДн определяется в приказах руководителя Росреестра (руководителя территориального органа Росреестра).

*(2) Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282.

*(3) Либо включить обязательства о неразглашении конфиденциальной информации в трудовой договор, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обстоятельства.

*(4) Под объектами понимаются здания Росреестра, его территориальных органов и удаленные подразделения территориальных органов Росреестра.

*(5) ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности». Введ. 01.07.2008.

*(6) Требования к Заявителю на право установки (инсталляции), эксплуатации сертифицированных средств и предоставления услуг по шифрованию информации по уровню «С»;

«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», № 149/6/6-622, 2008 г.

*(7) Введенной Приказом Генерального директора от 16.07.2009 г. № 00307-П (ЮТК-ДП-1.54-09.2).

«Положение (инструкция) о разрешительной системе допуска к

обрабатываемой в ИСПДн информации»

территориального органа Росреестра

«___» ____________ 2013 г.

о разрешительной системе допуска к информационным ресурсам

информационных систем персональных данных территориального органа

1. Общие положения

1.3. Действие настоящего Положения распространяется на структурные подразделения территориального органа Росреестра.

1.4. Объектами доступа являются:

— ИР, обрабатываемые в ИСПДн Росреестра (в том числе содержащие персональные данные), в виде баз данных, библиотек, архивов и на отдельных съемных носителях;

— технологическая информация системы защиты информации ИСПДн Росреестра.

— уполномоченные органы государственной власти и юридические лица;

— уполномоченные представители субъектов ПДн.

1.6. Субъекты доступа несут персональную ответственность за соблюдение ими установленного порядка обеспечения защиты ИР ИСПДн Росреестра.

1.7. Ответственными лицами, осуществляющими реализацию процедур оформления и прав субъектов на доступ к ИР, являются:

— руководители отделов территориальных органов Росреестра, управлений и отделов Росреестра;

— администраторы ИСПДн Росреестра;

— администратор безопасности информации.

2. Порядок формирования информационных ресурсов ИСПДн Росреестра

2.1. Порядок формирования и использования информационных ресурсов ИСПДн Росреестра в соответствии с Федеральным законом от 07.07.2003 № 126-ФЗ «О связи», постановлением Правительства Российской Федерации от 18.05.2005 № 310 «Об утверждении правил оказания услуг местной, внутризоновой, междугородной и международной телефонной связи», постановлением Правительства Российской Федерации от 10.09.2007 № 575 «Об утверждении правил оказания телематических услуг связи», главой 14 Трудового кодекса Российской Федерации (Федеральный закон от 30.12.2001 № 197-ФЗ) определяется Росреестром, который является собственником информационных ресурсов ИСПДн Росреестра.

2.2. Подлежащие защите информационные ресурсы ИСПДн включаются в «Перечень информационных ресурсов, подлежащих защите в ИСПДн территориального органа Росреестра» (Приложение № 1).

3. Допуск к информационным ресурсам ИСПДн Росреестра

3.1. Наделение пользователей полномочиями доступа к информационным ресурсам ИСПДн Росреестра

3.1.1. Лица, доступ которых к персональным данным, обрабатываемым в ИСПДн Росреестра, необходим для выполнения служебных (трудовых) обязанностей, допускаются к ним на основании списков*, утверждаемых руководителем Росреестра (руководителем/заместителем руководителя территориального органа Росреестра).

3.1.2. Необходимость доступа работника к ИР ИСПДн Росреестра определяет начальник структурного подразделения Росреестра, территориального органа Росреестра на основании должностных (трудовых) обязанностей работника. Допуск работников к информации, содержащей персональные данные, осуществляется в объеме, необходимом для выполнения ими должностных обязанностей. Права доступа работников к защищаемой информации определяются в Матрице доступа.

3.1.4. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в сети администратором ИСПДн.

Оформленная заявка поступает к администратору безопасности информации, который её визирует и направляет администратору ИСПДн, осуществляющему администрирование указанных в заявке ИСПДн Росреестра.

После получения заявки администратор ИСПДн в соответствии с документацией на средства защиты производит необходимые действия по созданию (изменению, удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам ИСПДн Росреестра, включению его в соответствующие группы пользователей и другие необходимые действия. Для всех пользователей ИСПДн Росреестра устанавливается режим принудительного запроса смены пароля не реже одного раза в квартал.

Уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе, присваивается каждому пользователю ИСПДн для обеспечения персональной ответственности за свои действия. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя («группового имени») запрещается.

3.1.5. При изменении должностных обязанностей работника, связанных с переводом в другое подразделение, переводом на другую должность и т.п., учетная запись пользователя на основании заявки начальника соответствующего структурного подразделения подлежит изменению (корректировке), при этом старые полномочия аннулируются.

3.1.6. При необходимости уполномоченный работник (администратор) в соответствии с назначаемыми правами доступа осуществляют настройку телекоммуникационных средств ИСПДн Росреестра в части контроля доступа пользователей.

3.1.7. Администратор ИСПДн проводит регистрацию прав доступа к ресурсам указанных в заявке рабочих станций (автоматизированных рабочих мест) с отметкой изменений в Матрице доступа и другие необходимые операции.

3.1.8. После внесения изменений в Матрицу доступа администратор безопасности информации производит настройку (при их наличии) специализированных средств защиты рабочих станций (автоматизированных рабочих мест).

3.1.9. По результатам изменений в правах доступа администратор безопасности информации и администратор ИСПДн делают отметку об исполнении задания на бланке Заявки.

3.1.10. Все изменения в правах доступа выполняются администраторами не позднее трех суток с момента получения заявки на внесение изменений.

3.1.11. Работнику, зарегистрированному в качестве нового пользователя системы, под роспись (подпись) доводится имя соответствующего ему пользователя и начальное значение пароля, которое он обязан сменить при первом же входе в систему (при первом подключении к ИСПДн).

3.1.12. Оригиналы исполненных заявок хранятся в подразделении ИБ (администратора безопасности информации) и могут впоследствии использоваться в следующих случаях:

— для восстановления полномочий пользователей после сбоев в ИСПДн;

— для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;

— для проверки правильности настройки средств разграничения доступа к ресурсам ИСПДн.

3.1.13. Блокирование учётных записей на время отпуска пользователей ИСПДн Росреестра осуществляется администратором ИСПДн по заявке начальника соответствующего структурного подразделения. Учётная запись пользователя ИСПДн Росреестра может быть временно разблокирована, либо изменены права доступа по заявке начальника структурного подразделения, в котором работает пользователь.

3.2. Отзыв прав доступа

3.2.2. После визирования Заявка на бумажном носителе или в электронном виде поступает к соответствующему администратору ИСПДн и администратору безопасности информации.

3.2.3. Администратор ИСПДн удаляет учетные записи из всех указанных в заявке списков доступа.

Администратор безопасности информации:

— проводит смену (удаление) действующих настроек прав доступа на соответствующих средствах защиты в соответствии с изменившимися полномочиями;

— производит необходимые отметки в Матрице доступа;

— совместно с непосредственным руководителем работника анализирует целостность данных, к которым имел доступ работник.

Удаление или сохранение содержимого почтового ящика, личных локальных и сетевых папок согласовывается с начальником структурного подразделения и администратором безопасности информации.

Администратор безопасности информации вместе с администратором ИСПДн анализирует автоматизированное рабочее место уволенного работника на наличие закладок, вирусов, после чего все данные на жестком диске работника уничтожаются и операционная система (ОС) на рабочем месте переинсталлируется.

По результатам изменений в правах доступа администратор безопасности информации и администратор ИСПДн делают отметку об исполнении задания на бланке Заявки.

Все изменения в правах доступа, связанные с увольнением пользователя ИСПДн Росреестра, выполняются администраторами не позднее трех суток с момента получения заявки на внесение изменений.

3.3. Порядок и периодичность проверки прав пользователей

Проверка прав пользователей проводится администратором безопасности информации с периодичностью не реже одного раза в три месяца путем сравнения прав согласно утвержденной Матрицы доступа с правами пользователей по доступу к информационным ресурсам, указанным в Матрице доступа к информационным ресурсам ИСПДн Росреестра.

4. Допуск к информационным ресурсам ИСПДн Росреестра сторонних организаций

4.1. К организациям, деятельность которых не связана с выполнением функций ИСПДн Росреестра, относятся в том числе:

— органы исполнительной и законодательной власти субъектов Российской Федерации;

— средства массовой информации и др.

4.2. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций ИСПДн Росреестра, регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение такой информации, а также настоящим Положением.

4.3. Доступ к информационным ресурсам ИСПДн Росреестра сторонних организаций осуществляется на основании письменных запросов.

В письменном запросе указывается:

— основание (с приведением ссылки на нормативный акт), в соответствии с которым предоставляется информация;

— для каких целей необходима информация;

— конкретное наименование предоставляемой информации и её объём;

— способ доступа (предоставления).

4.4. Основанием для доступа (предоставления) информации служит резолюция уполномоченного руководителя (Росреестра или территориального органа Росреестра) на соответствующем документе (запросе).

5. Допуск к информационным ресурсам ИСПДн Росреестра сторонних организаций, выполняющих работы на договорной основе

5.1. К организациям, выполняющим работы на договорной основе, могут относиться:

— организации, оказывающие услуги связи от имени Росреестра на основании договора по поручению услуг связи третьему лицу;

— организации, осуществляющие монтаж и настройку ИСПДн Росреестра, сопровождение программно-прикладного обеспечения и технических средств;

— организации, оказывающие услуги в области защиты информации (проведение обследований, монтаж и настройка средств защиты информации, контроль эффективности системы защиты информации, аттестация объектов информатизации и т.п.);

— другие организации, оказывающие услуги по информационно-техническому обеспечению и т.п.

5.3. Решением о допуске является подписанный в установленном порядке «Договор на выполнение работ или оказание услуг».

5.4. Доступ к информационным ресурсам ИСПДн Росреестра сторонних организаций осуществляется на основании:

— письменных соглашений (договоров) сторон об обмене информацией.

5.5. В письменном запросе (договоре) указывается:

— основание (ссылка на нормативный акт, договор), в соответствии с которым предоставляется информация;

— для каких целей необходима информация;

— конкретное наименование предоставляемой информации и её объем;

— способ доступа (предоставления).

5.6. Основанием для доступа (предоставления) информации служит резолюция руководителя Росреестра / руководителя территориального органа Росреестра на соответствующем документе (запросе).

5.7. При наличии официального соглашения со сторонней организацией о допуске (предоставлении) к информации доступ к ней осуществляется в порядке, указанном в подписанном соглашении (договоре).

5.8. Запрещается передача электронных копий баз данных любым сторонним организациям, за исключением санкционированных случаев передачи электронных файлов, выгружаемых из баз данных в рамках осуществления уставной деятельности Росреестра.

5.9. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, а также иной защищаемой информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.

6. Контроль функционирования разрешительной системы допуска к информационным ресурсам ИСПДн Росреестра

6.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам организуется в соответствии с:

— планом основных мероприятий по защите информации на текущий год;

— функциональными обязанностями должностных лиц;

— приказами руководителей Росреестра и территориальных органов Росреестра.

6.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам осуществляется ответственными должностными лицами Росреестра и территориальных органов Росреестра.

Организация контроля возлагается на руководителей подразделений ИБ, а также на начальников структурных подразделений, назначенных ответственными за защиту информации (ПДн).

* Списки пользователей оформляются в виде отдельного документа.

Перечень
информационных ресурсов, подлежащих защите в ИСПДн

* В данном случае, сведения о наличии инвалидности являются дополнительными сведениями о субъекте ПДн и используются Компанией для соблюдения трудового законодательства и выплат социальных пособий (ст. 23, 27 Федерального закона от 24.11.1995 г. № 181-ФЗ (ред. от 9.12.2010 г.) «О социальной защите инвалидов в РФ» (принят ГД ФС РФ 20.07.1995 г.)).

«Форма списка лиц, допущенных к ПДн,

обрабатываемым в ИСПДн Росреестра»

территориального органа Росреестра

«___» ____________ 2013 г.

лиц, допущенных к персональным данным, обрабатываемым в ________________

«___» ______________ 2013 г.

(личная подпись) (инициалы, фамилия)

«___» ______________ 2013 г.

«Матрица доступа к информационным ресурсам ИСПДн Росреестра»

Руководитель подразделения информационной безопасности Администратор безопасности

территориального органа Росреестра

____________________ ____________ ____________________ ____________

(личная подпись) (личная подпись)

«___» ____________ 20__ г. «___» ____________ 20__ г.

«Инструкция администратора безопасности информации

территориального органа Росреестра

«___» ____________ 2013 г.

администратора безопасности информации

территориального органа Росреестра

1. Общие положения

1.2. Действие настоящей Инструкции распространяется на структурные подразделения территориального органа Росреестра.

1.3. Администратор безопасности назначается приказом руководителя территориального органа Росреестра из числа подготовленных работников подразделения информационной безопасности (ИБ).

1.4. Администратор безопасности по вопросам обеспечения безопасности информации подчиняется руководителю подразделения ИБ, являющемуся структурным подразделением, назначаемым ответственным за обеспечение безопасности информации в Росреестре и территориальных органах Росреестра.

1.5. Администратор безопасности отвечает за поддержание установленного уровня безопасности защищаемой информации, в том числе ПДн, при их обработке в ИСПДн Росреестра.

1.6. Администратор безопасности осуществляет методическое руководство деятельностью пользователей ИСПДн Росреестра в вопросах обеспечения безопасности информации.

1.7. Требования администратора безопасности, связанные с выполнением им своих обязанностей, обязательны для исполнения всеми пользователями ИСПДн Росреестра.

1.8. Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ИСПДн Росреестра, состояние и поддержание установленного уровня защиты информации, обрабатываемой в ИСПДн Росреестра.

2. Задачи администратора безопасности

2.1. Основными задачами администратора безопасности являются:

— поддержание необходимого уровня защиты ИСПДн Росреестра от несанкционированного доступа (НСД) к информации;

— обеспечение конфиденциальности обрабатываемой, хранимой и передаваемой по каналам связи информации;

— установка средств защиты информации и контроль выполнения правил их эксплуатации;

— сопровождение средств защиты информации (СЗИ) от НСД и основных технических средств и систем (ОТСС) ИСПДн Росреестра;

— периодическое обновление СЗИ и комплекса мероприятий по предотвращению инцидентов ИБ;

— оперативное реагирование на нарушения требований по ИБ в ИСПДн Росреестра и участие в их прекращении.

2.2. В рамках выполнения основных задач администратор безопасности осуществляет:

— текущий контроль работоспособности и эффективности функционирования эксплуатируемых программных и технических СЗИ;

— текущий контроль технологического процесса автоматизированной обработки ПДн;

— участие в проведении служебных расследований фактов нарушений или угрозы нарушений безопасности ПДн;

— контроль соблюдения нормативных требований по защите информации, обеспечения комплексного использования технических средств, методов и организационных мероприятий по безопасности информации в структурных подразделениях Росреестра и территориальных органах Росреестра;

— методическую помощь всем работникам Росреестра и территориальных органов Росреестра по вопросам обеспечения безопасности ПДн.

3. Обязанности администратора безопасности информации

Администратор безопасности обязан:

3.1. Знать и выполнять требования нормативных документов по защите информации, регламентирующих порядок защиты информации, обрабатываемой в ИСПДн Росреестра.

3.2. Участвовать в установке, настройке и сопровождении программных средств защиты информации.

3.3. Участвовать в приемке новых программных средств обработки информации.

3.4. Обеспечить доступ к защищаемой информации пользователям ИСПДн Росреестра согласно их правам доступа при получении оформленного соответствующим образом разрешения (заявки).

3.5. Уточнять в установленном порядке обязанности пользователей ИСПДн Росреестра при обработке ПДн.

3.6. Вести контроль осуществления резервного копирования информации.

3.7. Анализировать состояние защиты ИСПДн Росреестра.

3.8. Контролировать правильность функционирования средств защиты информации и неизменность их настроек.

3.9. Контролировать физическую сохранность технических средств обработки информации.

3.10. Контролировать исполнение пользователями ИСПДн Росреестра введенного режима безопасности, а также правильность работы с элементами ИСПДн и средствами защиты информации.

3.11. Контролировать исполнение пользователями правил парольной политики.

3.12. Периодически анализировать журнал учета событий, регистрируемых средствами защиты, с целью контроля действий пользователей и выявления возможных нарушений.

3.13. Не допускать установку, использование, хранение и размножение в ИСПДн Росреестра программных средств, не связанных с выполнением функциональных задач.

3.14. Осуществлять периодические контрольные проверки автоматизированных рабочих мест (АРМ) ИСПДн Росреестра.

3.15. Оказывать помощь пользователям ИСПДн Росреестра в части применения средств защиты и консультировать по вопросам введенного режима зашиты.

3.16. Периодически представлять руководству отчёт о состоянии защиты ИСПДн Росреестра и о нештатных ситуациях и допущенных пользователями нарушениях установленных требований по защите информации.

3.17. В случае отказа работоспособности технических средств и программного обеспечения ИСПДн Росреестра, в том числе средств защиты, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

3.18. В случае выявления нарушений режима безопасности информации (ПДн), а также возникновения внештатных и аварийных ситуаций принимать необходимые меры с целью ликвидации их последствий.

3.19. Принимать участие в проведении работ по оценке соответствия ИСПДн Росреестра требованиям безопасности информации*.

4. Права администратора безопасности

Администратор безопасности имеет право:

4.1. Отключать от ресурсов ИСПДн Росреестра работников, осуществивших НСД к защищаемым ресурсам ИСПДн или нарушивших другие требования по ИБ.

4.2. Давать работникам обязательные для исполнения указания и рекомендации по вопросам ИБ.

4.3. Инициировать проведение служебных расследований по фактам нарушений установленных требований обеспечения ИБ, НСД, утраты, порчи защищаемой информации и технических средств ИСПДн Росреестра.

4.4. Организовывать и участвовать в любых проверках по использованию пользователями Росреестра и территориальных органов Росреестра телекоммуникационных ресурсов.

4.5. Осуществлять контроль информационных потоков, генерируемых пользователями ИСПДн Росреестра при работе с корпоративной электронной почтой, съемными носителями информации, подсистемой удаленного доступа.

4.6. Осуществлять взаимодействие с руководством и персоналом Росреестра и территориальных органов Росреестра по вопросам обеспечения ИБ.

4.7. Запрещать устанавливать на серверах и автоматизированных рабочих местах нештатное программное и аппаратное обеспечение.

4.8. Запрашивать и получать от начальников и специалистов структурных подразделений Росреестра и территориальных органов Росреестра информацию и материалы, необходимые для организации своей работы.

4.9. Вносить на рассмотрение руководства предложения по улучшению состояния ИБ ПДн, обрабатываемых в Росреестре и территориальных органах Росреестра.

5. Ответственность администратора безопасности

Администратор безопасности несет ответственность**:

5.1. За организацию защиты информационных ресурсов и технических средств ИСПДн Росреестра.

5.2. За качество проводимых работ по контролю действий пользователей и администраторов ИСПДн, состояние и поддержание необходимого уровня защиты информационных и технических ресурсов ИСПДн Росреестра.

5.3. За разглашение сведений ограниченного доступа (коммерческая тайна, персональные данные и иная защищаемая информация), ставших известными ему по роду работы.

6. Действия администратора безопасности при обнаружении попыток НСД

6.1. К попыткам НСД относятся:

— сеансы работы с телекоммуникационными ресурсами Росреестра и территориальных органов Росреестра незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, либо срок действия полномочий которых истек, либо в состав полномочий которых не входят операции доступа к определенным данным или манипулирования ими;

— действия третьего лица, пытающегося получить доступ (или получившего доступ) к информационным ресурсам ИСПДн Росреестра с использованием учетной записи администратора или другого пользователя ИСПДн, в целях получения коммерческой или другой личной выгоды, методом подбора пароля или другого метода (случайного разглашения пароля и т.п.) без ведома владельца учетной записи.

6.2. При выявлении факта/попытки НСД администратор безопасности обязан:

— прекратить доступ к информационным ресурсам со стороны выявленного участка НСД:

— доложить руководству подразделения ИБ о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;

— известить начальника структурного подразделения Росреестра и/или территориальных органов Росреестра, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка НСД, о факте НСД;

— проанализировать характер НСД;

— по решению руководства подразделения ИБ осуществить действия по выяснению причин, приведших к НСД;

— предпринять меры по предотвращению подобных инцидентов в дальнейшем.

** Работники организации и территориальных органов, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.

«Инструкция пользователя ИСПДн Росреестра по

обеспечению безопасности информации»

территориального органа Росреестра

«___» ____________ 2013 г.

пользователя информационных систем персональных данных

территориального органа Росреестра

по обеспечению безопасности

1. Общие требования по обеспечению безопасности обработки информации в ИСПДн

1.2. Действие настоящей Инструкции распространяется на структурные подразделения территориального органа Росреестра.

1.3. Обработка защищаемой информации в ИСПДн Росреестра разрешается на основании приказа руководителя территориального органа Росреестра.

1.4. Ответственность за организацию защиты информации в ИСПДн Росреестра и выполнение установленных условий её функционирования возлагается на администратора безопасности информации территориального органа Росреестра. Ответственность за выполнение мероприятий по обеспечению безопасности информации возлагается на лицо, производящее её обработку (пользователя ИСПДн Росреестра).

1.5. Допуск пользователей к работе в ИСПДн Росреестра осуществляется в соответствии со «Списком лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей», утверждаемом руководителем Росреестра/территориального органа Росреестра.

1.6. К самостоятельной работе на автоматизированных рабочих местах (АРМ), входящих в состав ИСПДн Росреестра, допускаются лица, изучившие требования настоящей Инструкции и освоившие правила эксплуатации АРМ и технических средств защиты. Допуск производится после проверки знания настоящей Инструкции и практических навыков в работе.

1.7. Помещения, в которых размещены технические средства ИСПДн Росреестра, отвечают режимным требованиям и в нерабочее время сдаваться под охрану установленным порядком.

1.8. Вход в помещение, в котором производится автоматизированная обработка защищаемой информации, разрешается постоянно работающим в нем работникам, а также лицам, привлекаемым к проведению ремонтных, наладочных и других работ и посетителей в сопровождении работников Росреестра и территориальных органов Росреестра.

1.9. Техническое обслуживание АРМ, уборка помещения и т.п. проводятся только под контролем уполномоченного лица Росреестра и территориальных органов Росреестра. При проведении этих работ обработка защищаемой информации (ПДн) запрещается.

1.10. По фактам и попыткам несанкционированного доступа к защищаемой информации, а также в случаях её утечки и (или) модификации (уничтожения) проводятся служебные расследования.

2. Обязанности пользователя

2.2. Каждый работник Росреестра и территориальных органов Росреестра, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн Росреестра, несет персональную ответственность* за свои действия и ОБЯЗАН:

2.2.1. Строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн Росреестра.

2.2.2. Знать и строго выполнять правила работы со средствами защиты информации, установленными в ИСПДн Росреестра.

2.2.3. Хранить в тайне свой пароль.

2.2.4. Передавать для хранения установленным порядком при необходимости свои реквизиты разграничения доступа только администратору безопасности Росреестра и территориальных органов Росреестра.

2.2.5. Выполнять требования по антивирусной защите в части, касающейся действий пользователей.

2.2.6. Немедленно ставить в известность администратора безопасности в следующих случаях:

— при подозрении компрометации личного пароля;

— обнаружения нарушения целостности пломб (наклеек) на аппаратных средствах АРМ или иных фактов совершения в отсутствие пользователя попыток несанкционированного доступа (НСД) к ресурсам ИСПДн Росреестра;

— несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн Росреестра;

— отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ИСПДн Росреестра, выхода из строя или неустойчивого функционирования узлов или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;

— некорректного функционирования установленных средств защиты;

— обнаружения непредусмотренных отводов кабелей и подключенных устройств;

— обнаружения фактов и попыток НСД и случаев нарушения установленного порядка обработки защищаемой информации.

2.3. Пользователю категорически ЗАПРЕЩАЕТСЯ:

2.3.1. Использовать компоненты программного и аппаратного обеспечения ИСПДн Росреестра в неслужебных целях.

2.3.2. Самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн Росреестра или устанавливать дополнительно любые программные и аппаратные средства.

2.3.3. Осуществлять обработку защищаемой информации в присутствии посторонних (недопущенных к данной информации) лиц.

2.3.4. Записывать и хранить защищаемую информацию на неучтенных носителях информации (гибких магнитных дисках и т.п.).

2.3.5. Оставлять включенным без присмотра АРМ, не активизировав средства защиты от НСД.

2.3.6. Оставлять без личного присмотра на АРМ или где бы то ни было свои персональные реквизиты доступа, машинные носители и распечатки, содержащие защищаемую информацию.

2.3.8. Производить перемещения технических средств АРМ без согласования с администратором безопасности.

2.3.9. Вскрывать корпуса технических средств АРМ и вносить изменения в схему и конструкцию устройств, производить техническое обслуживание (ремонт) средств вычислительной техники без согласования с администратором безопасности и без оформления соответствующего Акта.

2.3.10. Подключать к АРМ нештатные устройства и самостоятельно вносить изменения в состав и конфигурацию.

2.3.11. Осуществлять ввод пароля в присутствии посторонних лиц.

2.3.12. Оставлять без контроля АРМ в процессе обработки конфиденциальной информации.

2.3.13. Привлекать посторонних лиц для производства ремонта (технического обслуживания) технических средств АРМ.

* Работники территориальных органов Росреестра, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.

«ПЛАН КОНТРОЛЯ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН»

территориального органа Росреестра

«___» ____________ 2013 г.

контроля выполнения требований по обеспечению безопасности персональных данных при их обработке в

информационных системах персональных данных территориального органа Росреестра

«ЖУРНАЛ УЧЕТА СЗИ, ИСПОЛЬЗУЕМЫХ В

ИСПДН РОСРЕЕСТРА» (ФОРМА)

Журнал начат «___» ________________ 20__ г. Журнал завершен»___» ________________ 20__ г.

(должность ответственного лица) (должность ответственного лица)

_____________________________ (ФИО) _____________________________ (ФИО)

На _________ листах

«ЖУРНАЛ УЧЕТА НОСИТЕЛЕЙ ИНФОРМАЦИИ, ИСПОЛЬЗУЕМЫХ В

ИСПДН РОСРЕЕСТРА» (ФОРМА)

Журнал начат «___» ________________ 20__ г. Журнал завершен»___» ________________ 20__ г.

(должность ответственного лица) (должность ответственного лица)

_____________________________ (ФИО) _____________________________ (ФИО)

На _________ листах

«Инструкция о действиях лиц, допущенных к

информации, содержащей ПДн, в случае нештатных

Источник