asyan.org
добавить свой файл
1



АДМИНИСТРАЦИЯ ОРЕНБУРГСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ

Бикинского муниципального района Хабаровского края


РАСПОРЯЖЕНИЕ


19.01. 2012 г. № 3

с. Оренбургское


Об утверждении Положения о порядке организации и проведения

работ по защите персональных данных в администрации Оренбургского сельского поселения


С целью обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных администрации Оренбургского сельского поселения

1. Утвердить ^ Положение о порядке организации и проведения работ по защите персональных данных в администрации Оренбургского сельского поселения.

2. Контроль за исполнением настоящего распоряжения оставляю за собой.


Глава сельского поселения Л.В.Деханова


УТВЕРЖДЕНО

распоряжением администрации Оренбургского сельского поселения

№ 3 от 19.01.2012 г.


ПОЛОЖЕНИЕ

о порядке организации и проведения работ по защите персональных данных в администрации Оренбургского сельского поселения


^ 1. Общие положения

1.1. Настоящее Положение разработано в соответствии с:

- Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781;

- Положением о методах и способах защиты информации в информационных системах персональных данных, утвержденным приказом Федеральной службы по техническому и экспортному контролю от 05 февраля 2010 года № 58.

1.2. Настоящее Положение определяет порядок проведения организационно-технических мероприятий по защите персональных данных (далее – ПДн) в администрации Оренбургского сельского поселения (далее - администрация).


^ 2. Порядок определения защищаемой информации

  1. Для определения защищаемой информации, а также информационных систем для ее обработки в администрации создается комиссия.

  2. Определение защищаемой информации проводится по результа­там анализа всей имеющейся информации по каждому направлению деятельно­сти администрации.

  3. Результаты работы комиссии отражаются в актах.

  4. Для планирования, координации и проведения работ по защите информации ограниченного распространения в учреждении назначается уполномоченный по защите информа­ции (далее - уполномоченный).


^ 3. Порядок привлечения и задачи структурных подразделений и специалистов администрации, специализированных сторонних органи­заций к созданию информационных систем

  1. Для создания информационных систем персональных данных (далее – ИСПДн) и разра­ботки системы защиты информации (далее - СЗИ) привлекает­ся структурное подразделение администрации, для которого созда­ются ИСПДн.

  2. Для создания ИСПДн и разра­ботки СЗИ допускается в установленном законодательством порядке привлечение на договорной основе специализированных организаций, имеющих лицензии ФСБ России и ФСТЭК России на соответствующий вид деятель­ности в области защиты конфиденциальной информации.

  3. Организация и проведение работ на всех стадиях создания и экс­плуатации ИСПДн возлагается на руководителя структурного подразделения администрации, которое будет осуществлять эксплуатацию ИСПДн (далее – структурное подразделение), и уполномоченного.

  4. Разработка и создание СЗИ в ИСПДн возлагается на уполномоченного.

3.6. Все действия, связанные с привлечением сторонних организаций к средствам обработки защищаемой информации, должны быть осно­ваны на договорных отношениях и обеспечивать конфиденциальность об­рабатываемой информации.


^ 4. Порядок взаимодействия структурных подразделений

при проведении работ по созданию ИСПДн

  1. Деятельность структурных подраз­делений и специалистов администрации по созданию ИСПДн осуществляется в соответствии с требованиями федеральных и краевых нормативных правовых актов, внутренних документов администрации в области защи­ты информации. Координацию работ по созданию ИСПДн осуществляет уполномоченный.

  2. В случае возникновения необходимости создания ИСПДн руководитель структурного подразделения информирует об этом уполномоченного для совместного принятия решения о последующем порядке действий.

  3. Предложения о создании ИСПДн выносятся уполномоченным совместно с руководителем структурного подразделения на рассмотрение руководству.

  4. Уполномоченный совместно с руководителем структурного подразделения приступают к работе по созданию ИСПДн после принятия руководством окончательного решения и утверждения плана работы по данному вопросу.


^ 5. Порядок разработки, ввода в действие и эксплуатации ИСПДн

5.1. Предпроектная стадия.

5.1.1. Предпроектное обследование автоматизированных систем (далее - АС) проводится уполномоченным совместно со специалистами структурного подразделения, которые участвуют в определении (уточнении):

  • угроз безопасности информации применительно к конкретным условиям функционирования;

  • конфигурации, топологии АС и систем связи в целом, а также их отдельных компонентов;

  • физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня;

  • режима обработки информации в АС в целом и в ее отдельных компо­нентах;

  • средств вычислительной техники и связи, технических и программ­ных средств, предназначенных для обработки защищаемой информации.

5.1.2. Класс информационных систем персональных данных устанавливается в соответствии с Порядком проведения классифи­кации информационных систем персональных данных, утвержденным при­казом ФСБ России, ФСТЭК России и Мининформсвязи России от 13 февра­ля 2008г. № 55/86/20 и оформляется актом.

  1. При необходимости разработки технического проекта на ИСПДн уполномоченным совместно с сотрудниками структурного подразделения разрабаты­вается техническое (частное техническое) задание с учетом установленного класса ИСПДн.

5.2. Стадия проектирования и создания ИСПДн.

  1. Разработка технического проекта на ИСПДн и СЗИ в его составе по решению главы администрации проводится специализированной организацией, имеющей лицен­зию ФСТЭК России на деятельность по технической защите конфиденциальной информации, или уполномоченным совместно с сотрудниками структурного подразделения.

  2. На основе требо­ваний, определенных при предпроектном обследовании, учреждением осу­ществляется закупка сертифицированных по требованиям безопасности технических и программных средств защиты, обработки, пере­дачи и хранения информации.

  1. На стадии создания ИСПДн уполномоченным совместно со специалистами структурного подразделения осуществляются организационные и технические мероприятия по защите информа­ции:

  • размещение и монтаж технических средств и систем обработки конфиденциальной информации;

  • организация охраны и физической защиты помещений с установленной ИСПДн в целях исключения несанкционированного доступа к техническим средствам обработки, хранения и передачи информации, на­рушения их работоспособности, хищения средств и носителей информации;

  • определение лиц, ответственных за эксплуатацию средств защиты информации;

  • обучение лиц, назначенных ответственными за эксплуатацию ИСПДн, специфике работы с учетом требований по безопасности информации и установленного класса;

  • разработка и реализация разрешительной системы доступа пользова­телей к обрабатываемой в ИСПДн информации;

  • разработка организационно-распоря­дительной документации по защите информации в ИСПДн.

5.3. Стадия ввода в эксплуатацию ИСПДн.

  1. Специалистами структурного подразделения совместно с уполномоченным на стадии ввода в эксплуатацию ИСПДн и СЗИ проводится проверка работоспособности средств защиты информации в комплексе с другими техническими и программными средствами в соста­ве ИСПДн и отработка технологического процесса обра­ботки (передачи) информации.

  2. Ввод ИСПДн в эксплуатацию осуществляется после проведения его комплексной проверки (аттеста­ционных испытаний) в реальных условиях экс­плуатации в целях оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

5.3.3. ИСПДн вводится в эксплуатацию распоряжением администрации.

      1. Эксплуатация ИСПДн осуществляется специалистами структурного подразделения в соответствии с ус­ловиями и требованиями, определенными внутренними организационно-распорядительными документами администрации по защите информации и утвержденным техническим паспортом на ИСПДн.

  1. Внесение специалистами структурных подразделений самостоятельных несогласованных изменений в технологическую, аппаратную и программную конфигурацию ИСПДн не допускается.

  2. Все изменения в информационных технологиях обработки информации в ИСПДн, составе и раз­мещении технических средств и систем, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации в ИСПДн согласуются с уполномоченным.

  3. Для своевременного выявления и предотвращения утечки информации по техническим каналам, исключения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостно­сти информации или работоспособности технических средств, проводится периодический контроль состояния защиты информации.

Контроль осуществляется уполномоченным (не реже одного раза в квартал) и за­ключается в оценке:

  • соблюдения требований нормативных и методических документов ФСТЭК России;

- работоспособности применяемых средств защиты информации в соответствии с их эксплутационной документацией;

- выполнения специалистами структурного подразделения своих обязанно­стей в части обеспечения защиты информации.

5.3.8. В целях исключения возможных последствий специальных программно-технических воздействий, вызывающих нарушение целостно­сти информации или работоспособности технических средств, проводится резервное копирование программных средств обработки, хранения и защиты информации (не реже одного раза в квартал).

5.3.9. Все съемные машинные носители информации, задействованные при эксплуатации ИСПДн регистрируются уполномоченным в Журнале регистрации и учета электронных носителей информации для предотвращения утечки информации по техническим каналам, исключения несанкционированного доступа. Использование в ИСПДн специалистами неучтенных съемных машинных носителей информации не допускается.

5.3.10. При выявлении в ходе проведения контроля нарушения правил эксплуатации ИСПДн, технологии обработки защищаемой информации и требований по безопасности информации эксплуатация ИСПДн может быть приостановлена решением руководителя до момента восстановления требуемого уровня безопасности информации.

5.3.11. Результаты проводимого контроля отражаются в техническом паспорте на ИСПДн.


^ 6. Ответственность должностных лиц структурных подразделений,

занятых в создании и эксплуатации ИСПДн

  1. Ответственность за своевременность подачи информации о необходимости создания ИСПДн для обработки защищаемой информации возлагается на руководителя структурного подразделения.

  2. Ответственность за качество формирования требований по технической защите конфиденциальной информации при создании ИСПДн, а также за полноту и качество разработ­ки системы защиты информации в его составе возлагается на уполномоченного.

  3. Должностные лица структурного подразделения несут ответственность за вы­полнение требований по безо­пасности информации, соблюдение технологии обработки защищаемой информации, неизменность условий обработки информации (размещение и/или состав технических средств обработки и защиты информации, состав используемого в ИСПДн программного обеспечения) в соответствии с организационно-технической документацией на эксплуатируемую ИСПДн.

  4. При нарушении требований по безопасности информации на должностных лиц администрации налагается дисциплинарная и административная ответственность в соответствии с действующим законодательством Российской Федерации.



____________________________________