Блог

Приказ о контролируемой зоне это

Приказ о контролируемой зоне это

Спасибо за внимание к теме.

1841 приказ пригодится, благодарю

Практик . Т.е. размер зоны для работы без применения дополнительной меры защиты вычисляется индивидуально для каждого ОТСС?
Тогда фактический размер может быть любым (исходя из возможностей) и описывается приказом? Правильно поняла ваши слова? Т.е. то что напишу в приказ, то и будет верным?

«вычисляется индивидуально для каждого ОТСС»
Для каждого режима работы ТС в качестве ОТСС.

«фактический размер определяется доступными режимными мерами по ограничению и контролю доступа посторонних лиц/транспорта/расстоянию до иностранной территории»

Все сложнее. Писать долго и часть информации закрыта.
Вообщем читайте СТР и общайтесь с теми кто вам планируется в аттестаторы.

«Контрольная зона для конкретного объекта будет определяться заключением по СИ»

Во-первых, не контрольная, а контролируемая. И определяется она не заключением по СИ, а определением, данным в СТР

Для начала, нужно прочитать определение. Возьмем с той же википедии «Контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.» ключевая фраза «на которой исключено неконтролируемое пребывание лиц». Теперь разберем пару простых примеров.
Пример 1:
Имеется некая организация, у которой есть собственное здание, в котором никто кроме этой организации не работает. Есть некоторый объект защиты, расположенный в данном здании. В здании организован пропускной режим и приняты все возможные меры по предотвращению проникновения посторонних лиц в данное здание. Так вот, в данном случае контролируемой зоной будет все здание, границами контролируемой зоны будут ограждающие конструкции этого здания.

Пример 2:
Имеется некая организация, у которой есть собственное помещение в каком-то здании, где работают еще n-организаций. В этом помещении расположен объект защиты. Вход в это здание никем не контролируется. Соответственно контролируется только само помещение, следовательно контролируемой зоной в данном случае будет помещение, а границами контролируемой зоны будут ограждающие конструкции данного помещения.

Подытожим, контролируемой зоной будет, то пространство в котором вы можете исключить неконтролируемой нахождение посторонних лиц. Это и будет вашей контролируемой зоной.

Теперь, в соответствии с НМД по защите информации для определенных объектов защиты устанавливаются требования по минимальному расстоянию от объекта защиты до границы контролируемой зоны. И здесь вы уже всеми возможными и невозможными способами должны выполнить эти требования.

Вернемся к нашим примерам, 1 пример. Допустим минимальное расстояние до границы контролируемой зоны 10 метров, допустим в соответствии с НМД по защите информации минимальное расстояние должно быть не менее 30 метров (цифры взяты с потолка), так вот во время обработки защищаемой информации объектом защиты мы должны обеспечить это расстояние. Как? Например выставить оцепление вокруг здания и не пропускать посторонних лиц за это оцепление.

Касаемо минимальных расстояний от объекта защиты обрабатывающего гос. тайну до границы контролируемой зоны, они имеют гриф секретности, поэтому в открытых источниках не найти.

Об определении границ контролируемой зоны и требований к ее безопасности

________________________________________________________________________________________________________

ПРИКАЗ

«___» __________ 201_ г.

Об определении границ контролируемой зоны и требований к ее безопасности

В целях исполнения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и в соответствии с «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11 февраля 2013г. № 17, и «Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных ФСБ России 21 февраля 2008 г. № 149/6/6-622.

п р и к а з ы в а ю:

  1. Утвердить границы контролируемой зоны информационных систем персональных данных (далее – ИСПДн) в __________________ в соответствии с Приложением.
  2. Обеспечить доступ на территорию контролируемой зоны лицам, ответственным за обработку персональных данных в ИСПДн, в соответствии с «Порядком доступа сотрудников _____________________ в помещения, в которых ведется обработка персональных данных».
  3. Подписать «Обязательство о неразглашении информации, содержащей персональные данные», с сотрудниками, осуществляющими системно-техническое обслуживание программного обеспечения и оборудования ИСПДн.
  4. Контроль за выполнением настоящего приказа оставляю за собой.

Директор

фамилия и инициалы

Приложение к приказу ___________________ от «__» _________ 2013 г.

ГРАНИЦЫ КОНТРОЛИРУЕМОЙ ЗОНЫ

информационных систем персональных данных в __________________________________________________________________________________

Границы контролируемой зоны.

Границы контролируемой зоны проходят по периметру ___________, в пределах которого исключено присутствие посторонних лиц без допуска.

«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСБ РФ 21.02.2008 N 149/6/6-622)

Документ ФАКТИЧЕСКИ УТРАТИЛ СИЛУ в связи с изданием Постановления Правительства РФ от 01.11.2012 N 1119, признавшего Постановление Правительства РФ от 17.11.2007 N 781 утратившим силу и утвердившего новые Требования к защите персональных данных при их обработке в информационных системах персональных данных. Документ утратил актуальность (Информация ФСБ России от 21.06.2016).

Спасибо за внимание проявленное к информации размещенной на нашем сайте.

Данный приказ предложен как вариант и естественно требует дополнений по тексту ну или как в данном случае в преамбуле.

Наличие подобного рода шаблонов упрощает работу ответственного за защиту но не в коем случае не исключает ее.

В любом случае мне кажется что ваш отзыв будет полезен. Не всегда удается обратить внимание на какие то нюансы.

В принципе для этого в конце каждой статьи мы оставили место для комментариев.

В контексте этого приказа мне кажется уместно сослаться на 152 приказ ФАПСИ.

Действительно в соответствии с Информацией ФСБ России от 21 июня 2016 г. «О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных»

В связи с выводом из действия постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» и «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» утратили актуальность.

В настоящее время в области обеспечения безопасности персональных данных действуют следующие нормативно-методические документы ФСБ России:

1) Приказ ФСБ от 10 июля 2014 года N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;

2) Приказ ФСБ России от 9 февраля 2005 года N 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;

3) «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года N 152;

4) «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (N 149/7/2/6-432 от 31.03.2015).

Департамент общественных и внешних связей Ханты-Мансийского автономного округа – Югры

Об установлении границ контролируемой зоны информационной системы персональных данных «Сотрудники»

28 мая 2015 г. № 169

Во исполнение требований Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановления Правительства Российской федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Приказа ФСТЭК России от 11 февраля 2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

1. Установить границы контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию и средства защиты информации, а также средства обеспечения функционирования информационной системы персональных данных «Сотрудники» по внешним ограждающим конструкциям помещений № 303, № 307, 312 согласно приложению 1 к настоящему приказу.

2. Нахождение сотрудников Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югры и посетителей в пределах контролируемой зоны, установленной данным приказом, определяется «Инструкцией по обеспечению безопасности бюджетного учреждения ХМАО-Югры «Дирекция по эксплуатации служебных зданий».

3. Контроль за исполнением «Инструкции по обеспечению безопасности бюджетного учреждения ХМАО-Югры «Дирекция по эксплуатации служебных зданий» возлагается на ответственного за обеспечение мер по защите сведений, обрабатываемых в информационной системе персональных данных «Сотрудники» (администратора информационной безопасности) инженера организационного отдела Административного управления Шевцова Юрия Владимировича.

4. Организационному отделу Административного управления ознакомить под роспись заинтересованных сотрудников Департамента общественных и внешних связей Ханты-Мансийского автономного округа-Югры согласно приложению 2 к настоящему приказу.

5. Контроль исполнения настоящего приказа оставляю за собой.

Приказ Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. № П/31 «Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Федеральной службе государственной регистрации, кадастра и картографии»

В целях обеспечения безопасности персональных данных при обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии, а также выполнения требований Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных» приказываю:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Федерального закона следует читать как «27.07.2006»

1. Утвердить прилагаемое Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии (далее — Положение).

2. Начальникам структурных подразделений центрального аппарата Росреестра, руководителям территориальных органов Росреестра обеспечить реализацию Положения.

3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя С.А. Сапельникова.

Положение
по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии
(утв. приказом Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. № П/31)

Термины и определения

Перечень сокращений

1. Общие положения

Настоящее Положение регламентирует вопросы обеспечения безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) в Росреестре и его территориальных органах и определяет порядок организации работ по созданию и эксплуатации системы защиты персональных данных (СЗПДн).

Настоящее Положение разработано на основании следующих основных нормативных правовых актов и документов в области обеспечения безопасности ПДн:

— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции от 25.07.2011 № 261-ФЗ);

— постановление Правительства Российской Федераций от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствий с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

— Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 5.02.2010 № 58;

— Порядок проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 (зарегистрирован в Минюсте России 3.04.2008, регистрационный № 11462);

— Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 № 282.

Действие настоящего Положения не распространяется на вопросы, связанные с обработкой ПДн, осуществляемой без использования средств автоматизации. Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Росреестра, определяются в отдельном документе с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15.09.2008 № 687.

2. Порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн

Под организацией работ по обеспечению безопасности ПДн при их обработке в ИСПДн понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла ИСПДн, согласованных по цели, задачам, месту и времени, направленных на предотвращение (нейтрализацию) и парирование угроз безопасности ПДн в ИСПДн, восстановление нормального функционирования ИСПДн после нейтрализации угрозы с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.

Организация работ по защите ПДн предусматривает формирование:

— перечня ПДн, обрабатываемых в информационных системах (ИС) Росреестра;

— порядка классификации ИС Росреестра как ИСПДн;

— порядка разработки, ввода в действие и эксплуатации ИСПДн в части реализации мероприятий по обеспечению безопасности ПДн;

— порядка взаимодействия между ответственными за обеспечение безопасности ПДн и эксплуатирующими подразделениями (администраторами) по вопросам обеспечения безопасности ПДн;

— порядка привлечения структурных подразделений Росреестра и специализированных сторонних организаций к разработке и эксплуатации СЗПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн в соответствии с требованиями Руководящих документов по безопасности с учетом механизмов, предусмотренных Федеральным законом от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд»;

— ответственности должностных лиц за обеспечение безопасности ПДн, своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн;

— порядка контроля обеспечения требуемого уровня защищенности ПДн.

Согласование подключений сторонних организаций к сети Росреестра осуществляется после согласования схемы подключения центральным аппаратом Росреестра, подписания лицензионного договора на использование ПК ПВД между Росреестром и сторонней организацией и соглашения о взаимодействии между такой сторонней организацией, территориальным органом Росреестра и филиалом федерального государственного бюджетного учреждения «Федеральная кадастровая палата Федеральной службы государственной регистрации, кадастра и картографии» по субъекту Российской Федерации.

Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн ответственным за обеспечение безопасности ПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается специалист по информационной безопасности (отдел) (далее -подразделение информационной безопасности (ИБ).

Непосредственно исполнение работ по защите информации (ПДн) в ИСПДн с использованием средств автоматизации возлагается на начальников соответствующих структурных подразделений центрального аппарата Росреестра и территориальных органов Росреестра, ответственных за развитие и использование (эксплуатацию) ИСПДн Росреестра.

Для проведения классификации ИСПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается специальная внутренняя комиссия (рабочая группа). В состав этой комиссии (группы) включаются представители подразделения ИБ, правового обеспечения, должностные лица — обладатели информационных ресурсов ИСПДн.

Для придания необходимого статуса рабочей группе могут издаваться соответствующие распоряжения руководителя Росреестра/территориального органа Росреестра, в которых, в частности, даются указания всем начальникам структурных подразделений центрального аппарата Росреестра/территориального органа Росреестра об оказании содействия и необходимой помощи в работе комиссии (рабочей группе) при проведении работ. Для оказания помощи на время работы группы в подразделениях начальниками этих структурных подразделений выделяются работники, владеющие детальной информацией по вопросам обработки ПДн в данных подразделениях.

Проведение предпроектного обследования ИСПДн, разработка и реализация СЗПДн могут осуществляться как работниками центрального аппарата/территориального органа Росреестра (специалистами по информационной безопасности и информационным технологиям центрального аппарата/территориального органа Росреестра), так и на договорной основе с другими специализированными организациями, имеющими соответствующие лицензии на деятельность по технической защите конфиденциальной информации, по согласованию с Росреестром результатов работ данными организациями в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд». Научно-техническое и методическое руководство, непосредственная организация работ по созданию (модернизации) СЗПДн и контроль за эффективностью использования предусмотренных мер возлагается на специалиста по информационной безопасности (подразделение ИБ) в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

В случае разработки СЗПДн или ее отдельных компонентов специализированными организациями подразделение ИБ отвечает за организацию и проведение мероприятий по защите информации. Разработка, внедрение и эксплуатация СЗПДн осуществляются во взаимодействии разработчика с подразделением ИБ.

Контроль за реализацией проектных решений возлагается на заместителя руководителя Росреестра и заместителей руководителя территориального органа Росреестра, отвечающих за ИТ.

2.1. Порядок определения защищаемой информации и классификации ИСПДн

Внутренней комиссией (рабочей группой)*(1), образованной приказом Росреестра (территориального органа Росреестра), для каждой ИСПДн определяется перечень ПДн, уточняются цели и основание обработки ПДн, а также срок хранения и условия прекращения обработки.

Целью классификации ИС Росреестра как ИСПДн является определение по её результатам перечня обоснованных организационных и технических мероприятий, позволяющих выполнить требования по обеспечению безопасности ПДн с учётом особенностей конкретной ИСПДн. Классификация может проводиться на этапе создания ИС или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИС).

Классификация ИСПДн осуществляется в соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Классификация ИСПДн проводится внутренней комиссией (рабочей группой) и включает в себя следующие этапы:

— сбор и анализ исходных данных по ИС;

— присвоение ИС соответствующего класса и его документальное оформление.

При проведении классификации ИСПДн внутренней комиссией (рабочей группой) определяется:

— заданные оператором (Росреестр) характеристики безопасности ПДн, обрабатываемых в ИС;

— наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена;

— режим обработки ПДн;

— режим разграничения прав доступа пользователей ИС;

— местонахождение технических средств ИС.

В случае выделения в составе ИС подсистем, каждая из которых является ИС, ИС в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем, если данные ИС не разделены между собой МЭ.

Предложения комиссии (рабочей группы) по отнесению ИС к определенному классу согласовываются с оператором информационных ресурсов (ИР) ИСПДн.

Результаты классификации ИСПДн Росреестра оформляются актом, утверждаемым руководителем Росреестра/территориального органа Росреестра, в соответствии с Приложением № 1 к Специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К), утвержденным приказом Гостехкомиссии России от 30.08.2002 № 282. Сформированные по результатам классификации материалы являются неотъемлемой частью организационно-распорядительной документации ИСПДн и относятся к информации конфиденциального характера. Оригиналы организационно-распорядительной документации ИСПДн хранятся у лица, ответственного за организацию работ по защите ПДн.

Класс ИСПДн может быть пересмотрен комиссией (рабочей группой) в установленном порядке в соответствии с требованиями приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» в следующих случаях:

— на основе результатов проведенного анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИС;

— по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в ИС.

2.2. Порядок разработки, ввода в действие и эксплуатации СЗПДн

Предусматриваются следующие стадии разработки и сопровождения СЗПДн:

— стадия проектирования (разработки проектов) и реализации ИСПДн;

— стадия ввода в действие СЗПДн.

2.2.1. Предпроектная стадия

На предпроектной стадии проводится предпроектное обследование ИСПДн и разработка технического (частного технического) задания на создание СЗПДн.

Выполнение данных работ может осуществляться на договорной основе специализированной сторонней организацией в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд», имеющей соответствующую лицензию на деятельность по технической защите конфиденциальной информации.

Условия соблюдения конфиденциальности специалистами привлекаемой специализированной сторонней организации при проведении работ оформляются в рамках государственного контракта в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд».

Нумерация подразделов приводится в соответствии с источником

2.2.1. Стадия проектирования и реализации СЗПДн

Проектирование (разработка проектов) и реализация СЗПДн проводится на основании требований, изложенных в техническом (частном техническом) задании на разработку СЗПДн, а также в соответствии с требованиями приказа Росреестра от 14.06.2011 № П/217 «Об утверждении порядка организации процессов жизненного-цикла программных средств информационных систем и информационных технологий Федеральной службы государственной регистрации, кадастра и картографии». Выбор исполнителя для разработки проекта (или раздела проекта) на создание СЗПДн в составе ИСПДн осуществляется руководителем подразделения ИБ и утверждается руководителем Росреестра/территориального органа Росреестра.

При разработке СЗПДн в составе ИСПДн проводятся следующие мероприятия:

— разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;

— разработка раздела технического проекта на ИСПДн в части защиты информации;

— проведение строительно-монтажных работ в соответствии с проектной документацией;

— использование серийно выпускаемых технических средств обработки, передачи и хранения информации;

— разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

Другие публикации:  Развод в сша брак заключен в россии

— использование сертифицированных технических, программных и программно-технических СЗИ и их установка;

— сертификация по требованиям безопасности информации программных СЗИ в случае, если на рынке отсутствуют требуемые сертифицированные СЗИ;

— разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;

— определение подразделений и назначение лиц, ответственных за эксплуатацию СЗИ, с их обучением по направлению безопасности ПДн;

— разработка рабочей, эксплуатационной документации на СЗПДн, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

— выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.

Проектная документация подлежит согласованию с начальником Отдела ИБ Росреестра/территориального органа Росреестра.

2.2.2. Стадия ввода в действие СЗПДн

На стадии ввода в действие СЗПДн выполняются следующие мероприятия:

— опытная эксплуатация средств защиты в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки технологического процесса обработки (передачи) информации;

— приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;

— организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;

— оценка соответствия ИСПДн требованиям безопасности ПДн.

Ввод в эксплуатацию СЗПДн осуществляется на основании приказа руководителя Росреестра/территориального органа Росреестра, который издается на основании положительных результатов оценки соответствия ИСПДн Росреестра/территориального органа Росреестра требованиям безопасности ПДн.

Эксплуатация СЗПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требований и положений, изложенных в настоящем документе.

При определении порядка проведения технического обслуживания и ремонтных работ в СЗПДн учитывается требование исполнения данных работ только уполномоченными работниками Росреестра/территориального органа Росреестра (или в их присутствии), назначенными ответственными за обслуживание (сопровождение) СЗПДн.

Все процедуры, связанные с изменением конфигурации СЗПДн, проведением технического обслуживания и ремонтных работ на технических средствах СЗПДн предусматривают документирование объемов и сроков выполненных работ, а также лиц (организаций), проводивших эти работы.

2.3. Порядок привлечения структурных подразделений Росреестра и специализированных сторонних организаций к разработке и эксплуатации ИСПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн

Для организации и обеспечения безопасности ПДн при их обработке в ИСПДн ответственным структурным подразделением за обеспечение безопасности ПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается подразделение ИБ Росреестра. В территориальных органах Росреестра ответственными за обеспечение безопасности ПДн назначаются подразделения ИБ.

Подразделение ИБ обеспечивает методическое руководство, разработку требований к мерам защиты ИСПДн Росреестра/территориального органа Росреестра и контроль за эффективностью использования предусмотренных мер защиты информации.

Подразделение ИБ обеспечивает подготовку предложений по совершенствованию и реализации положений Политики безопасности информации и контролирует выполнение установленных требований в структурных подразделениях Росреестра и территориальных органов Росреестра.

Подразделение ИБ осуществляет следующие основные функции:

— разрабатывает предложения по определению класса защищенности объектов ИСПДн и автоматизированной системы (АС);

— участвует в организации работ по выявлению актуальных угроз безопасности ПДн;

— осуществляет методическое руководство и участвует в разработке (согласовании) конкретных требований по защите ПДн и разработке технического (частного технического) задания на создание СЗПДн;

— согласовывает выбор конкретных средств обработки ПДн, технических и программных средств защиты;

— осуществляет контроль реализации проектных решений на создание СЗПДн;

— участвует в организации работ по оценке соответствия ИСПДн предъявляемым требованиям по обеспечению безопасности ПДн;

— участвует в организации разработки организационно-распорядительной документации по защите информации в ИСПДн;

— проводит контроль требуемого уровня обеспечения защищенности ПДн при эксплуатации СЗПДн, в том числе контроль соблюдения условий использования СЗИ;

— участвует в организации обучения должностных лиц Росреестра и территориальных органов Росреестра, ответственных за эксплуатацию СЗИ, по направлению обеспечения безопасности ПДн;

— участвует в организации охраны и физической защиты помещений Росреестра и территориальных органов Росреестра, в которых размещаются средства обработки ПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;

— оказывает методическую помощь должностным лицам территориально удаленных подразделений территориальных органов Росреестра, назначенным ответственными за обеспечение безопасности ПДн.

Подразделение ИТ разрабатывает правила работы с информацией, техническими средствами и правила использования ПДн в соответствии с возможностями, функциями, предназначением и степени защищенности этих средств, ресурсов и требованиям к защите и доступности ПДн, осуществляет предоставление ИТ-сервисов всем структурным подразделениям Росреестра и его территориальных органов, отвечает за их целостность и доступность, обеспечивает разграничение доступа к ПДн в процессе их использования, контроль над ходом информационных процессов.

Привлечение для разработки СЗПДн или ее отдельных компонентов сторонних специализированных организаций осуществляется в соответствии с порядком, устанавливаемым нормативными и организационно-распорядительными документами ФСТЭК и ФСБ России.

В случае привлечения для обеспечения безопасности ПДн сторонних специализированных организаций в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» рекомендуется выполнение следующих условий:

— наличие у организации лицензии на право проведения работ по технической защите конфиденциальной информации;

— оформление соглашения о неразглашении конфиденциальных сведений;

— проведение инструктажа исполнителей работ по вопросам ИБ;

— другие условия, устанавливаемые соответствующими нормативными и организационно-распорядительными документами.

При привлечении сторонних специализированных организаций работникам следует учитывать следующие функции в техническом задании:

а) на предпроектной стадии:

— уточнение перечня ПДн, подлежащих защите;

— определение условий расположения ИСПДн относительно границ контролируемой зоны;

— определение конфигурации и топологии ИСПДн в целом, и ее отдельных компонент, физические, функциональные и технологические связи как внутри ИСПДн, так и с другими системами различного назначения;

— определение технических средств и систем, включаемых в состав ИСПДн, условий их расположения, общесистемных и прикладных программных средств;

— определение режимов обработки ПДн в ИСПДн;

— разработка предложений по уточнению класса защищенности ИСПДн;

— уточнение степени участия работников в обработке ПДн, характера их взаимодействия между собой;

— определение (уточнение) угроз безопасности ПДн с учётом конкретных условий функционирования ИСПДн, разработка проекта частной модели угроз;

— участие в разработке (согласовании) конкретных требований по защите ПДн и разработке технического (частного технического) задания на создание СЗПДн.

б) на стадии проектирования:

— разработка технического проекта на создание СЗПДн в соответствии с требованиями Руководящих документов ФСТЭК России и ФСБ России;

— монтажные работы в соответствии с проектной документацией;

— использование сертифицированных технических, программных и программно-технических СЗИ и их установка;

— организация сертификации по требованиям безопасности информации программных СЗИ в случае, когда на рынке отсутствуют требуемые сертифицированные СЗИ;

— разработка разрешительной системы доступа пользователей к ПДн, обрабатываемым в ИСПДн;

— разработка (в согласованном объеме) эксплуатационной документации на СЗПДн.

в) на стадии ввода СЗПДн в эксплуатацию:

— предварительные испытания и опытная эксплуатация СЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

— приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;

— оценка соответствия ИСПДн требованиям безопасности ПДн.

3. Основные требования и правила по обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра

Обеспечение безопасности ПДн при их обработке в ИСПДн Росреестра достигается применением организационных и технических мер, причем в интересах обеспечения безопасности в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации.

Основными направлениями защиты информации (ПДн) являются:

— обеспечение защиты информации (ПДн) от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет несанкционированного доступа (НСД) и специальных воздействий;

— обеспечение защиты информации (ПДн) от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

Основными мерами защиты информации (ПДн) являются:

— реализация разрешительной системы допуска пользователей (обслуживающего персонала) к ИР, ИС и связанным с ее использованием работам, документам;

— ограничение доступа пользователей в помещения, где размещены технические средства (ТС), позволяющие осуществлять обработку ПДн, а также хранятся носители информации;

— разграничение доступа пользователей и обслуживающего персонала к ИР, программным средствам обработки (передачи) и защиты информации;

— регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа (НСД) и действий пользователей, обслуживающего персонала и посторонних лиц;

— учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

— резервирование ТС, дублирование массивов и носителей информации;

— использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия требованиям безопасности информации;

— использование защищенных каналов связи;

— размещение ТС, позволяющих осуществлять обработку ПДн в пределах охраняемой территории;

— использование ТС, удовлетворяющих требованиям стандартов по электромагнитной совместимости, безопасности, санитарным нормам, предъявляемым к видеодисплейным терминалам;

— размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах охраняемой территории;

— обеспечение развязки цепей электропитания ТС с помощью защитных фильтров, блокирующих (подавляющих) информационный сигнал;

— обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных ТС и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация;

— размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;

— организация физической защиты помещений и собственно ТС, позволяющих осуществлять обработку ПДн;

— предотвращение внедрения в ИС вредоносных программ (программ-вирусов) и программных закладок.

Для обеспечения безопасности ПДн от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД в зависимости от класса ИСПДн, заданных характеристик безопасности обрабатываемых ПДн, угроз безопасности ПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режимов обработки ПДн в рамках СЗИ от НСД реализуются функции управления доступом, регистрации и учёта, обеспечения целостности, анализа защищённости, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

Перечень мер по защите информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи применяются по решению руководителя Росреестра/территориального органа Росреестра.

Применяемые СЗИ учитываются в Журнале учета СЗИ. Форма Журнала приведена в Приложении (см. Приложение Ж). В случае проведения аттестации ИСПДн учет применяемых технических СЗИ ведется в документе «Технический паспорт ИСПДн» в соответствии с требованиями СТР-К*(2).

3.1. Требования по организации разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации

Данный раздел Положения регламентирует порядок взаимодействия подразделений Росреестра и его территориальных органов по обеспечению безопасности ПДн при организации разрешительной системы доступа к сервисам и ресурсам ИСПДн Росреестра.

Разрешительная система доступа к обрабатываемой в ИСПДн информации предусматривает установление единого порядка обращения со сведениями, содержащими ПДн клиентов и работников Росреестра и его территориальных органов, и их носителями, определяет степень ограничения на доступ к данной информации и степень ответственности за сохранность предоставленной информации.

Организация разрешительной системы доступа относится к основным вопросам управления обеспечением безопасности ПДн и включает:

— распределение функций управления доступом к данным и их обработкой между должностными лицами;

— определение порядка изменения правил доступа к защищаемой информации;

— определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;

— контроль функционирования разрешительной системы доступа и расследование фактов неправомерного доступа лиц к защищаемой информации, в случае выявления таковых;

— оценку эффективности проводимых мер по исключению утечки информации;

— организацию деятельности должностных лиц, ответственных за подготовку предложений о внесении изменений в должностные обязанности и иные документы, определяющие задачи и функции работников ИСПДн Росреестра;

— разработку внутренних организационно-распорядительных документов, определяющих порядок реализации и функционирования разрешительной системы доступа.

Основные условия правомерного доступа работников Росреестра и его территориальных органов к обрабатываемой в ИСПДн Росреестра информации включают в себя:

— подписание работником Росреестра и его территориальных органов обязательства о неразглашении конфиденциальной информации*(3);

— наличие у работника Росреестра и его территориальных органа «оформленного в установленном порядке права допуска к ПДн, обрабатываемым в ИСПДн Росреестра»;

— наличие утвержденных в соответствии с трудовым законодательством Российской Федерации, законодательством о государственной гражданской службе Российской Федерации должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации.

Лица, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании списка, утвержденного руководителем Росреестра (руководителем территориального органа Росреестра). Форма списка лиц, допущенных к ПДн, обрабатываемым в ИСПДн, приведена в Приложении (см. Приложение Б). Права доступа работников к защищаемой информации определяются в Матрице доступа (см. Приложение В).

Для обеспечения персональной ответственности за свои действия каждому пользователю ИСПДн, допущенному к работе с защищаемой информацией в ИСПДн, присваивается уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя («группового имени») запрещается.

При регистрации и назначении прав доступа пользователей ИСПДн Росреестра выполняются следующие требования:

— каждому пользователю присваивается уникальный идентификатор пользователя, по которому его можно однозначно идентифицировать;

— учетные записи всех пользователей привязываются к конкретным автоматизированным рабочим местам (АРМ), за исключением учетных записей технического персонала, обслуживающего компоненты ИСПДн Росреестра;

— при регистрации пользователей проводится проверка соответствия уровня доступа возложенным на пользователя задачам (вмененным обязанностям);

— назначенные пользователю права доступа документируются;

— пользователь знакомится под роспись с предоставленными ему правами доступа и порядком его осуществления;

— в ИСПДн предусматривается разрешение доступа к сервисам только аутентифицированным пользователям;

— при внесении нового пользователя разрабатывается и обновляется формальный список всех пользователей, зарегистрированных для работы в ИСПДн;

— при изменении должностных обязанностей (увольнении) пользователя проводится немедленное исправление (аннулирование) прав его доступа;

— администраторами ИСПДн проводится удаление всех неиспользуемых учетных записей. Предусмотренные в системе запасные идентификаторы недоступны другим пользователям.

Контроль выполнения требований разрешительной системы доступа к ПДн возлагается на администратора безопасности информации (администратора безопасности). Подробное описание обязанностей администратора безопасности приведены в Приложении (см. Приложение Г).

Допуск к ИР ИСПДн сторонних организаций (правоохранительных органов, судебных органов, органов статистики, органов исполнительной и законодательной власти субъектов Российской Федерации) регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение информации, а также настоящим Положением.

Порядок допуска к ИР ИСПДн сторонних организаций, выполняющих работы на договорной основе, определяется в договоре на выполнение работ (оказание услуг) в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд». Обязательным условием договора является заключение соглашения о конфиденциальности.

Подробное описание порядка организации разрешительной системы доступа приведено в Приложении (см. Приложение А).

3.2. Требования к проведению мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где размещены средства ИСПДн

Данный раздел Положения содержит общие требования к проведению мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где размещены ИСПДн Росреестра:

1. Организуется контроль доступа работников и посетителей в помещения Росреестра, его территориальных органов, в которых установлены ТС ИСПДн и осуществляется обработка ПДн, а также хранятся носители ПДн.

2. Доступ работников структурных подразделений центрального аппарата Росреестра, его территориальных органов в помещения, в которых осуществляется обработка ПДн, организовывается на основании списков, утверждаемых руководителем Росреестра/территориального органа Росреестра. Доступ других работников центрального аппарата Росреестра, его территориальных органов и посетителей в эти помещения осуществляется в сопровождении ответственных должностных лиц. При этом время и дата их посещения и выхода протоколируются подразделением по охране объекта в специальном журнале учета посетителей или с применением ТС контроля физического доступа.

3. Посетители получают доступ только в соответствии с необходимостью и ознакамливаются с инструкциями по безопасности и по действиям в аварийных ситуациях.

4. Для защиты помещений, в которых расположены ТС ИСПДн, принимаются меры для минимизации воздействий огня, дыма, воды, пыли, взрыва, химических веществ, а также кражи.

5. ТС ИСПДн и размещенное совместно с ними вспомогательное оборудование подвергаются регулярным осмотрам с целью выявлений изменения конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.).

6. Обеспечивается размещение устройств вывода информации средств вычислительной техники, дисплеев АРМ ИСПДн таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПДн.

7. Работникам Росреестра запрещается подключать к сети неучтенные информационно-телекоммуникационные средства.

3.3. Правила обеспечения безопасности ПДн при использовании съемных носителей ПДн

3.3.1. Правила обращения со съемными носителями ПДн

При обращении со съемными носителями ПДн выполняются следующие основные правила:

— носители ПДн учитываются и выдаются пользователям под роспись и защищены;

— носители ПДн, срок эксплуатации которых истек, уничтожаются в установленном порядке;

— для выноса носителей ПДн за пределы объектов Росреестра и территориальных органов Росреестра*(4) дается специальное разрешение, а факт выноса фиксируется в специальной базе данных;

— все носители ПДн хранятся в безопасном месте в соответствии с требованиями по их эксплуатации.

Ответственным за хранение, учет и выдачу съемных носителей ПДн является ответственный работник Отдела ИБ Росреестра, его территориального органа.

3.3.2. Порядок учета носителей информации

Все находящиеся на хранении и в обращении съемные носители ПДн учитываются в Журнале учета носителей ПДн. Форма Журнала приведена в приложении (см. Приложение З).

Каждый носитель, с записанными на нем ПДн, имеет этикетку, на которой указывается метка съемного носителя и гриф.

Пользователи ИСПДн для выполнения работ получают учтенный съемный носитель от ответственного работника Отдела ИБ Росреестра. При получении делаются соответствующие записи в Журнале учета.

После окончания работ пользователь ИСПДн сдает съемный носитель в помещение для хранения, о чем делается соответствующая запись в Журнале учета. При наличии личного сейфа у пользователя ИСПДн допускается хранение учтенных съемных носителей в личных сейфах, опечатанных печатью пользователя ИСПДн.

3.3.3. Порядок уничтожения носителей ПДн

Носители ПДн, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.

Уничтожение носителей ПДн осуществляется комиссией по уничтожению, назначенной руководителем Росреестра/территориального органа Росреестра по представлению руководителя Отдела ИБ (подразделения, отвечающее за безопасность информации).

Уничтожение магнитных, оптических, магнитооптических и электронных носителей информации производится путем их физического разрушения. Перед уничтожением носителя информация с него стирается (уничтожается), если это позволяют физические принципы работы носителя.

Бумажные носители данных уничтожаются на специальных бумагорезательных устройствах (шредерах).

Перед утилизацией оборудования, участвующего в обработке ПДн, работником подразделения ИТ осуществляется проверка всех его компонентов, включая носители информации (жесткие диски) на отсутствие ПДн и лицензированного программного обеспечения (ПО).

По результатам уничтожения комиссией составляется Акт уничтожения носителей ПДн, который хранится в помещении для хранения носителей ПДн, уничтоженные носители ПДн (утилизированное оборудование) снимается с материального учета.

3.4. Порядок и правила использования паролей пользователей

Организационное и техническое обеспечение смены, прекращения действия паролей в ИСПДн Росреестра, процессов генерации и использования возлагается в пределах своих полномочий на работников подразделения ИТ и администратора безопасности, сопровождающего механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

При использовании паролей в ИСПДн Росреестра выполняются следующие правила:

— пароли обязаны меняться с установленной периодичностью в соответствии с требованиями организационно-распорядительного документа Росреестра;

— пароль имеет не менее 6 символов и содержать буквенные и цифровые символы;

— обязательно применение индивидуальных паролей;

— применение групповых паролей не допускается;

— при создании пароля пользователя администратором предусмотривается его автоматическое изменение самим пользователем после первого же его входа в ИСПДн Росреестра;

— для предотвращения повторного использования паролей ведется их учет (запись) за предыдущие 12 месяцев;

— при вводе пароль не выдается на монитор компьютера в явном виде;

— пароли могут храниться только на АРМ владельца пароля в зашифрованном виде с использованием стойких алгоритмов шифрования. Файл с паролями хранится отдельно от системных приложений;

— рекомендуется использование возможностей операционной системы (ОС) по контролю за периодичностью смены (не реже 1 раза в 3 месяц), составу символов и недопущению повторений паролей.

Контроль за действиями пользователей ИСПДн Росреестра при работе с паролями возлагается на администратора безопасности в пределах своих полномочий.

При использовании паролей запрещается:

— использовать в качестве пароля свои имя, фамилию, дату рождения, имена родственников, кличку собаки и т. п., равно как и обычные слова;

— использовать в качестве пароля русское слово, введенное при нахождении клавиатуры в латинском регистре;

— использовать в качестве пароля легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ), а также общепринятые сокращения;

— использовать в качестве пароля «пустой» пароль, имя входа в систему, а также выбирать пароли, которые уже использовались ранее;

— использовать один и тот же пароль при загрузке АРМ и при работе в ИСПДн Росреестра;

— записывать пароль на неучтённых бумажных носителях информации;

— разглашать кому бы то ни было свои персональные пароли доступа.

Владельцы паролей ознакомливаются с перечисленными требованиями организации парольной защиты в Росреестре с проставлением собственноручно подписи в листе ознакомления с соответствующей документированной процедурой и предупреждаются об ответственности за использование паролей, не соответствующих установленным требованиям, а также за разглашение парольной информации.

3.5. Обязанности работников Росреестра, его территориальных органов при возникновении инцидентов ИБ

Настоящий раздел регламентирует взаимодействие подразделений Росреестра, его территориальных органов при возникновении нештатных ситуаций.

При возникновении инцидентов ИБ работник, обнаруживший инцидент, немедленно ставит в известность своего непосредственного руководителя и уполномоченного работника подразделения ИБ и в установленном порядке оформляет отчёт.

Руководитель подразделения ИБ проводит предварительный анализ ситуации.

По факту возникновения инцидента ИБ по решению руководителя подразделения ИБ Группой реагирования на инциденты ИБ*(5) проводится выяснение причин его возникновения. Результаты расследования фиксируются в акте. К акту прилагаются (при наличии) поясняющие материалы (копии экрана, распечатка журнала событий и др.) и при выявлении виновных докладывается руководителю Росреестра/территориального органа.

Рекомендуемый состав Группы реагирования на инциденты ИБ и общие обязанности членов Группы реагирования на инциденты ИБ:

— работники подразделения ИТ — обеспечение координационной, административной, экспертной и технологической деятельности;

Другие публикации:  Страховка осаго документы для оформления

— работники подразделения ИБ- обеспечение координационной, административной, экспертной деятельности (в рамках своей компетенции);

— работники правового обеспечения — обеспечение экспертной и нормативно-правовой деятельности;

— начальники профильных структурных подразделений — поддержка обеспечения административной, экспертной и технологической деятельности;

— внешние эксперты (при необходимости) — обеспечение консультативной, экспертной и технологической деятельности.

Инструкция о действиях лиц, допущенных к информации, содержащей ПДн, в случае нештатных ситуаций приведена в Приложении (см. Приложение И).

3.6. Требования к резервированию ИР

Резервное копирование защищаемой информации (ПДн) применяется для оперативного восстановления данных в случае утери или по другим причинам.

В состав ИР, подлежащих резервному копированию, в обязательном порядке включаются ИР, являющиеся объектом защиты в Росреестре и его территориальных органах.

При организации резервирования ИР обеспечивается выполнение следующих требований:

— резервные копии ИР и инструкции по их восстановлению хранятся в специально выделенном месте, территориально отдаленном от места хранения основной копии информации;

— к резервным копиям применяется комплекс физических и организационных мер защиты;

— носители, на которые осуществляется резервное копирование, регулярно проверяются на отсутствие сбоев;

— применяемая система резервного копирования обеспечивает производительность, достаточную для сохранения информации, в установленные сроки и с заданной периодичностью;

— предусмотрены регулярная проверка процедур восстановления и практический тренинг работников по восстановлению данных.

Резервное копирование информации осуществляется работниками подразделения ИТ в пределах своих полномочий в соответствии с графиком резервного копирования. Допускается осуществление резервного копирования в автоматизированном режиме.

График резервного копирования составляется для каждого вида информации, подлежащей периодическому резервному копированию, утверждается руководителем подразделения ИТ и согласовывается с руководителем подразделения ИБ. Периодичность проведения резервного копирования устанавливается Графиком резервного копирования не реже одного раза в неделю и может осуществляться ежедневно (в автоматизированном режиме).

Резервное копирование информации производится в соответствии с документацией на используемое ПО.

Программно-аппаратные средства, обеспечивающие проведение резервного копирования и носители, на которые осуществляется резервное копирование, не реже одного раза в месяц проверяются на отсутствие сбоев работниками подразделения ИТ в соответствии с документацией на программно-аппаратные средства с отметкой в Журнале проверки работоспособности системы резервного копирования.

Резервные копии данных хранятся вместе с инструкцией по восстановлению данных из резервных копий в отдельном помещении от используемых данных.

Восстановление данных из резервной копии производится работниками подразделения ИТ на основании Заявки начальника структурного подразделения — обладателя ИР, согласованной с руководителем подразделения ИБ. Заявка может предоставляться в электронной форме.

Восстановление данных из резервных копий осуществляется в соответствии с документацией на используемое ПО в максимально сжатые сроки, ограниченные техническими возможностями системы, но не более одного рабочего дня.

Инструкция по организации резервного копирования приведена в Приложении (см. Приложение К).

3.7. Правила защиты ИСПДн от вредоносных программ

При использовании в ИСПДн средств антивирусной защиты и защиты от вредоносных программ выполняются следующие организационные меры:

— использование съемных носителей ПДн пользователя ИСПДн на других компьютерах только с механической защитой от записи;

— запрет на использование посторонних съемных носителей ПДн при работе в ИСПДн;

— запрет на передачу съемных носителей ПДн посторонним лицам

— запрет на запуск программ с внешних съемных носителей информации при работе в ИСПДн;

— запрет на несанкционированное использование отчуждаемых носителей информации (оптических дисков, флэш-карт и т. п.);

— использование в ИСПДн только дистрибутивов программных продуктов, приобретенных у официальных дилеров фирм-разработчиков этих продуктов;

— обязательная проверка всех программных продуктов;

— проверка всех программных файлов и файлов документов, полученных по электронной почте, специальными антивирусными средствами;

— систематическая проверка содержимого дисков файловых хранилищ обновленными версиями антивирусных программ;

— контроль и обновление списка разрешенных ссылок на веб-ресурсы сети Интернет.

Ответственность за эксплуатацию средств антивирусной защиты и защиты от вредоносных программ возлагается:

— на работников подразделения ИТ в части наличия антивирусного ПО на клиентских рабочих станциях и использования данного ПО пользователями;

— на работников подразделения ИБ в части централизованного управления СЗИ.

Инструкция по проведению антивирусного контроля приведена в Приложении (см. Приложение Л).

3.8. Требования по обеспечению безопасности при работе в сети Интернет

Доступ в сеть Интернет и другие глобальные сети пользователям предоставляется исключительно в целях повышения эффективности выполнения ими свои служебных обязанностей.

Организация доступа пользователей ИСПДн к сети Интернет осуществляется работником подразделения ИТ на основании мотивированного запроса руководителя подразделения Росреестра и/или его территориального органа, согласованного с подразделением ИБ. Установка дополнительного оборудования и ПО для осуществления доступа пользователей ИСПДн Росреестра осуществляется в порядке, установленным настоящим Положением для внесения изменений в ПО и аппаратные средства Росреестра. Запрещается использование подключений к сети Интернет и каналов связи, использование которых не согласовано с подразделением ИТ. Подразделениям по защите государственной тайны доступ к ресурсам сети Интернет запрещен.

Пользователи ИСПДн Росреестра могут использовать сети Интернет в качестве:

— транспортной среды при обмене информацией между несколькими территориально разнесенными элементами ИСПДн или другими ИС (транспортная задача);

— средства предоставления открытой общедоступной информации, содержащейся в ИР Росреестра, внешнему абоненту (портальная задача);

— средства получения необходимой пользователям ИСПДн Росреестра информации, содержащейся в ИР сети Интернет или других корпоративных сетей (информационная задача).

Подразделение ИТ может ограничивать доступ к ресурсам сети Интернет, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены международным и российским законодательством, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.

При работе с ресурсами сети Интернет запрещается:

— разглашение конфиденциальной информации, ставшей известной работнику Росреестра, его территориального органа по служебной необходимости либо иным путем;

— распространение защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны;

— публикация, загрузка и распространение материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления НСД, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения НСД к платным ресурсам в сети Интернет, а также размещение ссылок на вышеуказанную информацию;

— загрузка и запуск исполняемых либо иных файлов без предварительной проверки на наличие вирусов установленным антивирусным пакетом;

— использование анонимных прокси-серверов;

— доступ к ресурсам сети Интернет, содержащим развлекательную (в том числе музыкальные, видео, графические и другие файлы, не связанные с производственной деятельностью), эротическую или порнографическую информацию.

Вся информация о ресурсах, посещаемых работниками Росреестра, его территориальных органов, протоколируется.

Уполномоченный работник подразделения ИБ обязан проводить анализ использования ресурсов сети Интернет и в случае необходимости представлять отчет об использовании Интернет-ресурсов работниками Росреестра и/или территориальных органов Росреестра руководителю подразделения ИБ.

В случае обнаружения значительных отклонений в параметрах работы средств обеспечения доступа к ресурсам сети Интернет от среднестатистических значений немедленно сообщается руководителю подразделения ИБ для принятия последующих решений.

Руководители подразделений вправе запросить от подразделения ИБ отчет об использовании ресурсов сети Интернет работниками своего подразделения.

При нарушении работником Росреестра, его территориальных органов Правил работы в сети Интернет либо возникновении нештатных ситуаций доступ к ресурсам сети Интернет блокируется уполномоченным работником подразделения ИТ с последующим уведомлением руководителя подразделения ИТ.

Электронная почта в Росреестре и территориальных органах Росреестра является средством коммуникации, распределения информации и управления процессами в производственных целях: повышения эффективности труда работников Росреестра и территориальных органов Росреестра и экономии ее ресурсов. Корпоративная (внутренняя) электронная почта Росреестра и территориальных органов Росреестра предназначена исключительно для использования в служебных целях. Использование личной почты в служебных целях запрещено.

Организацией и обеспечением порядка работы электронной почты в Росреестре и территориальных органов Росреестра занимается подразделение ИТ. Ответственность за использование электронной почты возлагается на работников подразделения ИТ в рамках их должностных обязанностей.

При работе с корпоративной электронной почтой Росреестра пользователь учитывает следующие принципиальные положения:

— электронная почта не является средством гарантированной доставки отправленного сообщения до адресата;

— внутренняя электронная почта, организованная с применением средств криптографической защиты, является средством передачи информации, обеспечивающим конфиденциальность передаваемой информации. Передача информации ограниченного доступа осуществляется только в зашифрованном виде.

3.9. Правила использования ПО и аппаратных средств ИСПДн

Настоящий раздел регламентирует взаимодействие подразделений Росреестра и территориальных органов Росреестра по обеспечению безопасности информации при проведении модификаций ПО, технического обслуживания и ремонта средств вычислительной техники (СВТ) ИСПДн Росреестра. На АРМ и сервера ИСПДн без дополнительного согласования устанавливается ПО, необходимое для оказания государственных услуг заявителю, в частности ПК ЕГРП, ПК ПВД и другое.

3.9.1. Права на внесение изменений в ПО и аппаратные средства ИСПДн Росреестра

Все изменения конфигурации ТС и программных средств рабочих станций (АРМ) и серверов ИСПДн, обрабатывающих ПДн, производятся только на основании заявок начальников структурных подразделений, согласованных с подразделением ИБ и подразделением ИТ.

Право внесения изменений в конфигурацию программно-аппаратных средств информационных узлов (рабочих станций, серверов) и телекоммуникационного оборудования, обрабатывающего ПДн, предоставляется:

— в отношении системных и прикладных программных средств, а также в отношении аппаратных средств — уполномоченным работникам подразделения ИТ;

— в отношении программно-аппаратных СЗИ — администратору безопасности и уполномоченным работникам подразделения ИБ;

— в отношении программно-аппаратных средств телекоммуникаций — уполномоченным работникам подразделения ИТ.

Изменение конфигурации аппаратно-программных средств защищенных рабочих станций (АРМ) и серверов кем-либо, кроме уполномоченных работников перечисленных подразделений, запрещено.

Право внесения изменений в конфигурацию программно-аппаратных средств рабочих станций (серверов) локальной вычислительной сети, не обрабатывающих ПДн, предоставляется работникам подразделения ИТ (на основании служебных записок начальников структурных подразделений на имя руководителя подразделения ИТ).

3.9.2. Порядок внесения изменений в ПО и аппаратные средства ИСПДн Росреестра

Для внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций ИСПДн начальник структурного подразделения, в котором вносятся изменения, подается заявка на имя руководителя подразделения ИТ, которая им рассматривается и утверждается по согласованию с руководителем подразделения ИБ.

При необходимости планового проведения изменений (обновлений версий) ПО, заявка выпускается руководителем подразделения ИТ и, после согласования с подразделением ИБ, направляется уполномоченному работнику подразделения ИТ.

В заявках могут быть указаны следующие виды необходимых изменений в составе программных и аппаратных средств рабочих станций и серверов подразделения:

— установка в подразделении новой рабочей станции (АРМ) или сервера;

— замена рабочей станции (АРМ) или сервера подразделения;

— изъятие рабочей станции (АРМ) или сервера подразделения;

— добавление устройства (узла, блока) в состав конкретной рабочей станции (АРМ) или сервера подразделения;

— замена устройства (узла, блока) в составе конкретной рабочей станции (АРМ) или сервера подразделения;

— изъятие устройства (узла, блока) из состава конкретной рабочей станции (АРМ) или сервера;

— установка (развертывание) на конкретной рабочей станции (АРМ) или сервере программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной рабочей станции или сервере);

— обновление (замена) на конкретной рабочей станции (АРМ) или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);

— удаление с конкретной рабочей станции (АРМ) или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной рабочей станции).

В заявке указываются условные наименования развернутых рабочих станций (АРМ) и серверов в соответствии с их паспортами. Программные средства указываются в соответствии с перечнем программных средств фонда алгоритмов и программ, которые используются в ИСПДн.

Подразделение ИБ при согласовании заявки учитывает возможность совмещения решения новых задач (обработки информации) на указанных в заявке рабочих станциях (АРМ) или серверах в соответствии с требованиями по безопасности.

Руководитель подразделения ИТ подписывает заявку после согласования с подразделением ИБ и получения (в устной форме) заключения о технической возможности осуществления затребованных изменений от уполномоченных работников подразделения ИТ.

После этого заявка передается уполномоченному работнику подразделения ИТ для непосредственного исполнения работ по внесению изменений в конфигурацию рабочих станций (АРМ) или серверов ИСПДн.

Начальник структурного подразделения, в котором установлены аппаратно-программные средства, подлежащие модернизации, допускает уполномоченных исполнителей подразделения ИТ и подразделения ИБ (администратора безопасности) к внесению изменений в состав аппаратных средств и ПО только по предъявлении последними подписанного задания (в заявке) на осуществление данных изменений.

Установка, изменение (обновление) и удаление системных и прикладных программных средств производится уполномоченными работниками подразделения ИТ.

Если рабочая станция (АРМ) или сервер обрабатывают ПДн, то установка, снятие, и внесение необходимых изменений в настройки СЗИ от НСД и средств контроля целостности файлов на рабочих станциях осуществляется уполномоченным работником подразделения ИТ под контролем администратора безопасности. Работы производятся в присутствии пользователя данной рабочей станции.

Подготовка модификаций ПО защищенных серверов и рабочих станций, тестирование, стендовые испытания и передача исходных текстов, документации и дистрибутивных носителей программ в фонд алгоритмов и программ и другие необходимые действия производится уполномоченным работником подразделения ИТ.

Установка или обновление подсистем ИСПДн проводится в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.

Модификация ПО на сервере осуществляется уполномоченными работниками подразделения ИТ по согласованию с администратором безопасности.

После установки модифицированных модулей на сервер администратор безопасности в присутствии уполномоченных работников подразделения ИТ устанавливает защиту целостности модулей на сервере (производит пересчет контрольных сумм эталонов модулей на файл-сервере с помощью специальных программных средств, прошедших оценку соответствия).

После проведения модификации ПО на рабочих станциях уполномоченный работник подразделения ИТ проводит антивирусный контроль.

Установка и обновление общего ПО (системного, тестового) на рабочие станции (АРМ) и серверы производится с оригинальных лицензионных дистрибутивных носителей (компакт дисков и др.), полученных установленным порядком, а прикладного ПО — с эталонных копий программных средств, полученных из фонда алгоритмов и программ.

Все добавляемые программные и аппаратные компоненты предварительно проверяются на работоспособность, контроль наличия проверок работоспособности осуществляет подразделение ИБ.

После установки (обновления) ПО уполномоченный работник подразделения ИТ (при использовании специализированных СЗИ от НСД — администратор безопасности) производит настройку средств управления доступом к данному программному средству и проверяет работоспособность ПО и правильность настройки СЗИ.

После завершения работ по внесению изменений в состав аппаратных средств рабочей станции (АРМ), обрабатывающей ПДн, ее системный блок закрывается уполномоченным работником подразделения ИТ на ключ (при наличии штатных механических замков) и опечатывается (пломбируется, защищается специальной наклейкой) с возможностью постоянного визуального контроля за ее целостностью уполномоченным работником подразделения ИБ.

Уполномоченные исполнители работ производят соответствующую запись в «Журнале фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов) структурного подразделения».

Уполномоченный работник подразделения ИБ (администратор безопасности) проводит периодический контроль за опечатыванием узлов и блоков ИСПДн.

На обратной стороне заявки делается отметка о выполнении и исполненная заявка передается в подразделение ИТ для хранения вместе с паспортом данной рабочей станции (сервера).

При изъятии рабочей станции (сервера), обрабатывающей ПДн, из состава рабочих станций (серверов) структурного подразделения ее передача на склад, в ремонт или в другое структурное подразделение для решения иных задач осуществляется только после того, как уполномоченный работник подразделения ИБ снимет с данной рабочей станции (сервера) СЗИ и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется Актом о затирании остаточной информации, хранившейся на диске компьютера.

Оригиналы заявок (документов), на основании которых производились изменения в составе ТС или программных средств рабочих станций с отметками о внесении изменений в состав программно-аппаратных средств хранятся вместе с оригиналами паспортов рабочих станций (серверов) и «Журналом фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов)» в подразделении ИТ. Копии заявок и актов хранятся в подразделении ИБ. Они используются:

— для восстановления конфигурации рабочих станций (серверов) после аварий;

— для контроля правомерности установки на конкретной рабочей станции (сервере) средств для решения соответствующих задач при разборе конфликтных ситуаций;

— для проверки правильности установки и настройки СЗИ рабочих станций (серверов).

3.10. Требования по обеспечению безопасности при применении средств криптографической защиты информации

Для защиты информации, не содержащей сведений, составляющих государственную тайну, при применении средств криптографической защиты информации (СКЗИ) соблюдаются нормативные требования*(6). Криптографическая защита в ИСПДн Росреестра создаётся на основе сертифицированных СКЗИ, встраивание которых в ИСПДн происходит с выполнением интерфейсных и криптографических протоколов, определенных технической документацией на СКЗИ.

В Росреестре и территориальных органах Росреестра выделяются должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности СКЗИ. Вопросы обеспечения функционирования и безопасности СКЗИ отражаются в специально разработанных документах в соответствии с требованиями регуляторов в области защиты информации, утвержденных руководителем Росреестра и руководителями территориальных органов Росреестра, с учетом эксплуатационной документации на СКЗИ.

К работе с СКЗИ решением руководства Росреестра и территориальных органов Росреестра допускаются работники, обладающие знаниями о правилах его эксплуатации, правилах пользования, об эксплуатационной документации и прошедшие обучение работе с СКЗИ.

Ответственное должностное лицо, уполномоченное на руководство заявленными видами деятельности со средствами СКЗИ, имеет представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и СЗИ.

Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее помещения), обеспечивают безопасность информации, СКЗИ и криптоключей, сводят к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами.

Порядок допуска в помещения определяется на основании инструкции «Об организации пропускного и внутриобъектового режимов на объектах Росреестра и его территориальных органов».

При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими НСД в помещения. Эти помещения имеют прочные входные двери, на которые устанавливаются надежные замки.

Для хранения криптоключей, нормативной и эксплуатационной документации, инсталлирующих криптосредство носителей, помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей хранятся в сейфе ответственного лица, назначаемого руководством Росреестра и территориальных органов Росреестра. Порядок охраны помещений предусматривает периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.

Размещение и установка СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ. Системные блоки АРМ с СКЗИ оборудуются средствами контроля их вскрытия.

Более подробно требования по обеспечению безопасности при применении СКЗИ отражены в документированной процедуре «Порядок организации работы со средствами криптографической защиты информации в «ЮТК»*(7).

4. Порядок организации внутреннего обучения работников правилам и мерам защиты ПДн

Решение основных вопросов обеспечения защиты ПДн предусматривает соответствующую подготовку работников. Проведение обучения работников Росреестра и территориальных органов Росреестра позволит организовать обработку информации в соответствии с требованиями законодательства и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн и реализовать установленный комплекс организационных и технических мер по защите ПДн.

Систему внутреннего обучения работников в области защиты ПДн составляет:

— проведение инструктажа пользователей ИСПДн;

— самостоятельное изучение работниками Росреестра и территориальных органов Росреестра необходимых для работы документов, средств и продуктов;

— проведение курсов повышения квалификации государственных гражданских служащих Росреестра в области защиты персональных данных.

В результате прохождения обучения работники Росреестра и территориальных органов Росреестра получат необходимые знания и навыки в отношении:

— правил использования СЗИ;

— содержания основных нормативных правовых актов, руководящих и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн;

— основных мероприятий по организации и техническому обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра;

— планирования, организации и контроля выполнения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн.

4.1. Проведение инструктажа пользователей ИСПДн

Пользователи ИСПДн, допущенные к работе с ПДн, обязаны пройти инструктаж по вопросам обеспечения безопасности ПДн с целью подтверждения своих знаний и уяснения своих обязанностей по поддержанию установленного режима защиты ПДн.

Инструктаж представляет собой ознакомление работников Росреестра и территориальных органов Росреестра, допущенных к работе в ИСПДн, с положениями настоящего Положения и действующих нормативных документов по обеспечению безопасности информации при ее обработке в ИСПДн, в том числе и с Инструкцией пользователя ИСПДн Росреестра (см. Приложение Д).

Ознакомление с положениями нормативной документации работник Росреестра и территориальных органов Росреестра подтверждает своей личной подписью в журнале инструктажа, что свидетельствует о прохождении инструктажа.

Контроль проведения инструктажа и периодическая проверка знания пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн возлагается на администратора безопасности совместно с начальниками структурных подразделений Росреестра и территориальных органов Росреестра, использующих ИСПДн. Ответственность за непосредственное проведение инструктажа возлагается на начальников структурных подразделений Росреестра и территориальных органов Росреестра.

Работники Росреестра и территориальных органов Росреестра, не прошедшие инструктаж, к работе в ИСПДн не допускаются. Инструктаж проводится перед началом работы в ИСПДн вновь принятых на государственную гражданскую службу работников Росреестра и территориальных органов Росреестра, а также не реже одного раза в год для всех пользователей ИСПДн.

Проверка знаний пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн проводится администратором безопасности не реже одного раза в год в ходе периодического контроля соблюдения режима безопасности информации.

4.2. Самостоятельное изучение

При данном виде подготовки работниками Росреестра и территориальных органов Росреестра, осуществляющими обработку ПДн, а также работниками подразделения ИТ и подразделения ИБ самостоятельно изучаются (в части касающейся):

— руководящие и нормативно-методические документы в области обеспечения безопасности ПДн;

— правила (инструкции) по использованию программных и аппаратных СЗИ.

Другие публикации:  Исковое заявление в сою

— внутренние положения (локальные акты) Росреестра, устанавливающие порядок обращения с ПДн и их защиты.

Время для самостоятельного изучения определяется начальниками соответствующих структурных подразделений Росреестра и территориальных органов Росреестра.

5. Ответственность должностных лиц за обеспечение безопасности ПДн, своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн

Ответственность за обеспечение безопасности ПДн распределяется между должностными лицами Росреестра и территориальных органов Росреестра на основании настоящего Положения.

Ответственность за организацию режима обеспечения безопасности ПДн возлагается на руководителя Росреестра, руководителей территориальных органов Росреестра и начальников структурных подразделений центрального аппарата Росреестра и территориальных органов Росреестра.

Ответственность за своевременность и качество формирования требований по защите ПДн, за качество и научно-технический уровень разработки СЗПДн, а также контроль исполнения правил и требований, направленных на обеспечение безопасности ПДн, возлагается на работников подразделения ИБ.

Ответственность за выполнение обязанностей по обеспечению режима безопасности ПДн, возложенных на структурные подразделения центрального аппарата Росреестра и территориальных органов Росреестра, эксплуатирующие ИСПДн, несут начальники соответствующих структурных подразделений.

Средства информатизации, входящие в состав ИСПДн, закрепляются за ответственными должностными лицами (владельцами). Владельцем средств информатизации может быть начальник структурного подразделения или специально назначаемое должностное лицо Росреестра и территориальных органов Росреестра. На владельца средств информатизации возлагается ответственность за выполнение установленных мероприятий по защите закрепленных средств информатизации и обрабатываемых ими ПДн.

Руководители и работники Росреестра и территориальных органов Росреестра, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную и уголовную ответственность, предусмотренную законодательством Российской Федерации.

6. Порядок контроля за обеспечением уровня защищенности ПДн и оценки соответствия ИСПДн

Контроль обеспечения требуемого уровня защищенности ПДн заключается в проверке выполнения требований нормативных документов по защите ПДн*(8), а также в оценке обоснованности и эффективности принятых мер. Мероприятия по контролю защищенности ПДн могут проводиться как уполномоченными работниками подразделения ИБ, так и на договорной основе сторонней организацией, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Мероприятия по контролю защищенности ПДн и оценке соответствия ИСПДн включают:

— внутренний контроль режима безопасности ПДн (оперативный и периодический);

— обследование защищенности ПДн с привлечением сторонней организации;

— оценку соответствия ИСПДн требованиям безопасности ПДн.

6.1. Внутренний контроль режима безопасности ПДн и оценки соответствия ИСПДн требованиям безопасности ПДн

Внутренний оперативный контроль соблюдения режима безопасности ПДн проводится специалистом по информационной безопасности (администратором безопасности) ежедневно в режиме «реального времени». Внутренний контроль заключается в анализе защищенности ПДн посредством используемых в составе ИСПДн программных и программно-аппаратных средств (систем) анализа защищенности.

В ходе проведения контроля соблюдения режима безопасности ПДн специалист по информационной безопасности (администратор безопасности):

— осуществляет анализ лог-файлов, производимых средствами защиты и другими элементами ИСПДн (ОС, прикладные программы);

— просматривает оповещения средств защиты ИСПДн;

— принимает меры по результатам анализа полученных оповещений и лог-файлов.

Внутренний периодический контроль соблюдения режима безопасности ПДн (контрольные обследования защищенности ИСПДн) организуется подразделением ИБ по планам, ежегодно утверждаемым — руководителем Росреестра (руководителем территориального органа Росреестра). Форма Плана контроля выполнения требований по обеспечению безопасности ПДн приведена в Приложении (см. Приложение Е). По решению руководителя Росреестра (руководителя территориального органа Росреестра) внутренний контроль может проводиться во внеочередном порядке в случаях выявления нарушений безопасности ПДн с целью определения причин произошедших нарушений и разработки мер по их устранению.

Внутренний периодический контроль заключается в оценке выполнения требований нормативных документов по обеспечению безопасности ПДн, обрабатываемых в ИСПДн.

В ходе проведения внутреннего периодического контроля проверяются следующие вопросы:

— соответствие состава и структуры программно-технических средств, обрабатывающих защищаемую информацию (ПДн), документированному составу и структуре средств, разрешенных для обработки такой информации;

— знание персоналом руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях;

— проверка наличия документов, подтверждающих возможность применения технических и программных средств вычислительной техники для обработки ПДн и применения СЗИ (сертификатов соответствия и других документов);

— проверка правильности применения СЗИ;

— проверка выполнения требований по условиям размещения АРМ в рабочих помещениях;

— соответствие реального уровня полномочий по доступу к защищаемой информации (ПДн) различных пользователей установленному в списке лиц, допущенных к обработке ПДн, уровню полномочий;

— знание инструкций по обеспечению безопасности информации пользователями ИСПДн;

— организация хранения носителей ПДн и допуска в помещения, где размещены средства обработки и осуществляется обработка ПДн;

— прохождение инструктажа пользователей по вопросам обеспечения безопасности ПДн и выполнение ими установленных требований.

По фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, составляется соответствующее заключение, на основе которого впоследствии осуществляется разработка и реализация мер по предотвращению возможных опасных последствий подобных нарушений.

Результаты контроля оформляются Актом, в котором делаются выводы о состоянии обеспечения безопасности ПДн на проверяемом объекте информатизации и приводятся рекомендации по его совершенствованию.

6.2. Обследование защищенности ПДн внешней специализированной организацией

Обследование защищенности ПДн внешней специализированной организацией проводится при создании ИСПДн (предпроектное обследование) или при доработке (модернизации) СЗПДн в случае, если:

— изменился состав или структура ИСПДн или технические особенности его построения (состав или структура ПО, ТС обработки ПДн, топологии и т.п.);

— изменился состав угроз безопасности ПДн;

— изменился класс защищённости ИСПДн.

Обследование защищенности ПДн внешней специализированной организацией проводится по решению руководителя Росреестра (руководителя территориального органа Росреестра). Привлекаемая для проведения обследования внешняя специализированная организация обязана иметь лицензию на деятельность по технической защите конфиденциальной информации.

6.3. Порядок оценки соответствия ИСПДн требованиям безопасности ПДн

Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в форме проверки готовности СЗИ к использованию.

Проверка готовности СЗИ к использованию осуществляется в ходе приемо-сдаточных испытаний СЗПДн с составлением протоколов проверки и заключений о возможности их эксплуатации.

В качестве организации, проводящей проверку готовности СЗИ к использованию или добровольную аттестацию ИСПДн, привлекается организация, имеющая лицензию ФСТЭК России на право деятельности по технической защите конфиденциальной информации в соответствии с постановлением Правительства Российской Федерации от 03.02.2012 № 79.

Проверка готовности СЗИ к использованию проводится в соответствии с разрабатываемой программой и методикой испытаний соответствующих СЗИ, определяющих порядок проверки выполнения СЗИ заявленных функций защиты.

Аттестация проводится в соответствии с действующими нормативными и методическими документами ФСТЭК России.

Порядок подготовки и проведения аттестации ИСПДн определяется в приказах руководителя Росреестра (руководителя территориального органа Росреестра).

*(1) В состав комиссии по классификации включаются представители Отдела ИБ, Управления информационных систем, Управления кадров, Правового управления и должностные лица — обладатели информационных ресурсов ИСПДн.

*(2) Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282.

*(3) Либо включить обязательства о неразглашении конфиденциальной информации в трудовой договор, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обстоятельства.

*(4) Под объектами понимаются здания Росреестра, его территориальных органов и удаленные подразделения территориальных органов Росреестра.

*(5) ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности». Введ. 01.07.2008.

*(6) Требования к Заявителю на право установки (инсталляции), эксплуатации сертифицированных средств и предоставления услуг по шифрованию информации по уровню «С»;

«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», № 149/6/6-622, 2008 г.

*(7) Введенной Приказом Генерального директора от 16.07.2009 г. № 00307-П (ЮТК-ДП-1.54-09.2).

*(8) Федеральный закон «О персональных данных», № 152-ФЗ, 2006 г., Постановление Правительства Российской Федерации oт 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативно-правовые акты и методические документы ФСТЭК России и ФСБ России по защите персональных данных при их обработке в информационных системах персональных данных.

«Положение (инструкция) о разрешительной системе допуска к

обрабатываемой в ИСПДн информации»

территориального органа Росреестра

«___» ____________ 2013 г.

о разрешительной системе допуска к информационным ресурсам

информационных систем персональных данных территориального органа

1. Общие положения

1.1. Настоящее «Положение о разрешительной системе допуска к информационным ресурсам информационных систем персональных данных территориального органа Росреестра» (далее — Положение) разработано в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и руководящими документами ФСТЭК России по вопросам обеспечения безопасности персональных данных, разработанными в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119.

1.2. Разрешительная система доступа к информационным ресурсам информационных систем персональных данных территориального органа Росреестра (далее — ИСПДн территориального органа Росреестра) представляет собой совокупность процедур оформления прав субъектов на доступ к информационным ресурсам (ИР) (объектам доступа) Росреестра и прав и обязанностей ответственных лиц, осуществляющих реализацию этих процедур.

1.3. Действие настоящего Положения распространяется на структурные подразделения территориального органа Росреестра.

1.4. Объектами доступа являются:

— ИР, обрабатываемые в ИСПДн Росреестра (в том числе содержащие персональные данные), в виде баз данных, библиотек, архивов и на отдельных съемных носителях;

— технологическая информация системы защиты информации ИСПДн Росреестра.

— уполномоченные работники Росреестра и территориальных органов Росреестра (далее — территориальные органы Росреестра);

— уполномоченные органы государственной власти и юридические лица;

— физические лица — субъекты персональных данных (ПДн);

— уполномоченные представители субъектов ПДн.

1.6. Субъекты доступа несут персональную ответственность за соблюдение ими установленного порядка обеспечения защиты ИР ИСПДн Росреестра.

1.7. Ответственными лицами, осуществляющими реализацию процедур оформления и прав субъектов на доступ к ИР, являются:

— назначенные работники информационной безопасности территориального органа Росреестра (далее — подразделение информационной безопасности (ИБ);

— руководители отделов территориальных органов Росреестра, управлений и отделов Росреестра;

— администраторы ИСПДн Росреестра;

— администратор безопасности информации.

2. Порядок формирования информационных ресурсов ИСПДн Росреестра

2.1. Порядок формирования и использования информационных ресурсов ИСПДн Росреестра в соответствии с Федеральным законом от 07.07.2003 № 126-ФЗ «О связи», постановлением Правительства Российской Федерации от 18.05.2005 № 310 «Об утверждении правил оказания услуг местной, внутризоновой, междугородной и международной телефонной связи», постановлением Правительства Российской Федерации от 10.09.2007 № 575 «Об утверждении правил оказания телематических услуг связи», главой 14 Трудового кодекса Российской Федерации (Федеральный закон от 30.12.2001 № 197-ФЗ) определяется Росреестром, который является собственником информационных ресурсов ИСПДн Росреестра.

2.2. Подлежащие защите информационные ресурсы ИСПДн включаются в «Перечень информационных ресурсов, подлежащих защите в ИСПДн территориального органа Росреестра» (Приложение № 1).

3. Допуск к информационным ресурсам ИСПДн Росреестра

3.1. Наделение пользователей полномочиями доступа к информационным ресурсам ИСПДн Росреестра

3.1.1. Лица, доступ которых к персональным данным, обрабатываемым в ИСПДн Росреестра, необходим для выполнения служебных (трудовых) обязанностей, допускаются к ним на основании списков*, утверждаемых руководителем Росреестра (руководителем/заместителем руководителя территориального органа Росреестра).

3.1.2. Необходимость доступа работника к ИР ИСПДн Росреестра определяет начальник структурного подразделения Росреестра, территориального органа Росреестра на основании должностных (трудовых) обязанностей работника. Допуск работников к информации, содержащей персональные данные, осуществляется в объеме, необходимом для выполнения ими должностных обязанностей. Права доступа работников к защищаемой информации определяются в Матрице доступа.

3.1.3. Основанием для предоставления (изменения, либо прекращения (отзыва) прав доступа пользователям ИСПДн Росреестра является заполненная в установленном порядке письменная Заявка, подписанная начальником структурного подразделения Росреестра, территориального органа Росреестра и согласованная с начальником соответствующего структурного подразделения — обладателя информационного ресурса, а также руководителем подразделения ИБ (уполномоченным лицом в удаленных подразделениях территориального органа Росреестра).

3.1.4. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в сети администратором ИСПДн.

Оформленная заявка поступает к администратору безопасности информации, который её визирует и направляет администратору ИСПДн, осуществляющему администрирование указанных в заявке ИСПДн Росреестра.

После получения заявки администратор ИСПДн в соответствии с документацией на средства защиты производит необходимые действия по созданию (изменению, удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам ИСПДн Росреестра, включению его в соответствующие группы пользователей и другие необходимые действия. Для всех пользователей ИСПДн Росреестра устанавливается режим принудительного запроса смены пароля не реже одного раза в квартал.

Уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе, присваивается каждому пользователю ИСПДн для обеспечения персональной ответственности за свои действия. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя («группового имени») запрещается.

3.1.5. При изменении должностных обязанностей работника, связанных с переводом в другое подразделение, переводом на другую должность и т.п., учетная запись пользователя на основании заявки начальника соответствующего структурного подразделения подлежит изменению (корректировке), при этом старые полномочия аннулируются.

3.1.6. При необходимости уполномоченный работник (администратор) в соответствии с назначаемыми правами доступа осуществляют настройку телекоммуникационных средств ИСПДн Росреестра в части контроля доступа пользователей.

3.1.7. Администратор ИСПДн проводит регистрацию прав доступа к ресурсам указанных в заявке рабочих станций (автоматизированных рабочих мест) с отметкой изменений в Матрице доступа и другие необходимые операции.

3.1.8. После внесения изменений в Матрицу доступа администратор безопасности информации производит настройку (при их наличии) специализированных средств защиты рабочих станций (автоматизированных рабочих мест).

3.1.9. По результатам изменений в правах доступа администратор безопасности информации и администратор ИСПДн делают отметку об исполнении задания на бланке Заявки.

3.1.10. Все изменения в правах доступа выполняются администраторами не позднее трех суток с момента получения заявки на внесение изменений.

3.1.11. Работнику, зарегистрированному в качестве нового пользователя системы, под роспись (подпись) доводится имя соответствующего ему пользователя и начальное значение пароля, которое он обязан сменить при первом же входе в систему (при первом подключении к ИСПДн).

3.1.12. Оригиналы исполненных заявок хранятся в подразделении ИБ (администратора безопасности информации) и могут впоследствии использоваться в следующих случаях:

— для восстановления полномочий пользователей после сбоев в ИСПДн;

— для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;

— для проверки правильности настройки средств разграничения доступа к ресурсам ИСПДн.

3.1.13. Блокирование учётных записей на время отпуска пользователей ИСПДн Росреестра осуществляется администратором ИСПДн по заявке начальника соответствующего структурного подразделения. Учётная запись пользователя ИСПДн Росреестра может быть временно разблокирована, либо изменены права доступа по заявке начальника структурного подразделения, в котором работает пользователь.

3.2. Отзыв прав доступа

3.2.1. При увольнении должностных лиц — пользователей ИСПДн Росреестра и/или лишения их прав доступа к ресурсам ИСПДн Росреестра начальник структурного подразделения, в котором работает увольняемый работник, подает заявку на имя заместителя руководителя, ответственного за ИТ территориального органа Росреестра / Управления информационных технологий и эксплуатации систем Росреестра (далее — подразделение ИТ). Руководитель подразделения ИТ визирует Заявку, утверждая тем самым лишение прав пользователя на доступ к информационным ресурсам ИСПДн Росреестра.

3.2.2. После визирования Заявка на бумажном носителе или в электронном виде поступает к соответствующему администратору ИСПДн и администратору безопасности информации.

3.2.3. Администратор ИСПДн удаляет учетные записи из всех указанных в заявке списков доступа.

Администратор безопасности информации:

— проводит смену (удаление) действующих настроек прав доступа на соответствующих средствах защиты в соответствии с изменившимися полномочиями;

— производит необходимые отметки в Матрице доступа;

— совместно с непосредственным руководителем работника анализирует целостность данных, к которым имел доступ работник.

Удаление или сохранение содержимого почтового ящика, личных локальных и сетевых папок согласовывается с начальником структурного подразделения и администратором безопасности информации.

Администратор безопасности информации вместе с администратором ИСПДн анализирует автоматизированное рабочее место уволенного работника на наличие закладок, вирусов, после чего все данные на жестком диске работника уничтожаются и операционная система (ОС) на рабочем месте переинсталлируется.

По результатам изменений в правах доступа администратор безопасности информации и администратор ИСПДн делают отметку об исполнении задания на бланке Заявки.

Все изменения в правах доступа, связанные с увольнением пользователя ИСПДн Росреестра, выполняются администраторами не позднее трех суток с момента получения заявки на внесение изменений.

3.3. Порядок и периодичность проверки прав пользователей

Проверка прав пользователей проводится администратором безопасности информации с периодичностью не реже одного раза в три месяца путем сравнения прав согласно утвержденной Матрицы доступа с правами пользователей по доступу к информационным ресурсам, указанным в Матрице доступа к информационным ресурсам ИСПДн Росреестра.

4. Допуск к информационным ресурсам ИСПДн Росреестра сторонних организаций

4.1. К организациям, деятельность которых не связана с выполнением функций ИСПДн Росреестра, относятся в том числе:

— органы исполнительной и законодательной власти субъектов Российской Федерации;

— средства массовой информации и др.

4.2. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций ИСПДн Росреестра, регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение такой информации, а также настоящим Положением.

4.3. Доступ к информационным ресурсам ИСПДн Росреестра сторонних организаций осуществляется на основании письменных запросов.

В письменном запросе указывается:

— основание (с приведением ссылки на нормативный акт), в соответствии с которым предоставляется информация;

— для каких целей необходима информация;

— конкретное наименование предоставляемой информации и её объём;

— способ доступа (предоставления).

4.4. Основанием для доступа (предоставления) информации служит резолюция уполномоченного руководителя (Росреестра или территориального органа Росреестра) на соответствующем документе (запросе).

5. Допуск к информационным ресурсам ИСПДн Росреестра сторонних организаций, выполняющих работы на договорной основе

5.1. К организациям, выполняющим работы на договорной основе, могут относиться:

— организации, оказывающие услуги связи от имени Росреестра на основании договора по поручению услуг связи третьему лицу;

— организации, осуществляющие монтаж и настройку ИСПДн Росреестра, сопровождение программно-прикладного обеспечения и технических средств;

— организации, оказывающие услуги в области защиты информации (проведение обследований, монтаж и настройка средств защиты информации, контроль эффективности системы защиты информации, аттестация объектов информатизации и т.п.);

— другие организации, оказывающие услуги по информационно-техническому обеспечению и т.п.

5.2. Порядок допуска определяется в договоре на выполнение работ (оказание услуг) в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» — Обязательным условием договора является заключение соглашения о конфиденциальности.

5.3. Решением о допуске является подписанный в установленном порядке «Договор на выполнение работ или оказание услуг».

5.4. Доступ к информационным ресурсам ИСПДн Росреестра сторонних организаций осуществляется на основании:

— письменных соглашений (договоров) сторон об обмене информацией.

5.5. В письменном запросе (договоре) указывается:

— основание (ссылка на нормативный акт, договор), в соответствии с которым предоставляется информация;

— для каких целей необходима информация;

— конкретное наименование предоставляемой информации и её объем;

— способ доступа (предоставления).

5.6. Основанием для доступа (предоставления) информации служит резолюция руководителя Росреестра / руководителя территориального органа Росреестра на соответствующем документе (запросе).

5.7. При наличии официального соглашения со сторонней организацией о допуске (предоставлении) к информации доступ к ней осуществляется в порядке, указанном в подписанном соглашении (договоре).

5.8. Запрещается передача электронных копий баз данных любым сторонним организациям, за исключением санкционированных случаев передачи электронных файлов, выгружаемых из баз данных в рамках осуществления уставной деятельности Росреестра.

5.9. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, а также иной защищаемой информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.

6. Контроль функционирования разрешительной системы допуска к информационным ресурсам ИСПДн Росреестра

6.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам организуется в соответствии с:

— планом основных мероприятий по защите информации на текущий год;

— функциональными обязанностями должностных лиц;

— приказами руководителей Росреестра и территориальных органов Росреестра.

6.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам осуществляется ответственными должностными лицами Росреестра и территориальных органов Росреестра.

Организация контроля возлагается на руководителей подразделений ИБ, а также на начальников структурных подразделений, назначенных ответственными за защиту информации (ПДн).

* Списки пользователей оформляются в виде отдельного документа.

Перечень
информационных ресурсов, подлежащих защите в ИСПДн

* В данном случае, сведения о наличии инвалидности являются дополнительными сведениями о субъекте ПДн и используются Компанией для соблюдения трудового законодательства и выплат социальных пособий (ст. 23, 27 Федерального закона от 24.11.1995 г. № 181-ФЗ (ред. от 9.12.2010 г.) «О социальной защите инвалидов в РФ» (принят ГД ФС РФ 20.07.1995 г.)).

«Форма списка лиц, допущенных к ПДн,

обрабатываемым в ИСПДн Росреестра»

территориального органа Росреестра

«___» ____________ 2013 г.

лиц, допущенных к персональным данным, обрабатываемым в ________________