Новостная лента

Администрация Нефтекумского городского округа Ставропольского края

ruenfrde

Меню

 

     

Политика информационной безопасности при работе с персональными данными администрации Нефтекумского городского округа Ставропольского края

УТВЕРЖДЕНА
постановлением администрации
Нефтекумского городского округа
Ставропольского края
от 28.03.2018 N 486

ПОЛИТИКА
информационной безопасности при работе
с персональными данными в администрации  Нефтекумского
городского округа  Ставропольского края

1. Общие положения

Настоящая Политика информационной безопасности (далее - Политика) в администрации  Нефтекумского городского округа  Ставропольского края (далее по тексту - Администрации), является официальным документом.

Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных изложенных в Положении информационной безопасности ИСПДн Администрации.

В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности работников, ответственных за обеспечение безопасности персональных данных в ИСПДн Администрации.

Целью настоящей Политики, является обеспечение безопасности объектов защиты от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн).

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение и реагирование на УБПДн, а также предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

Состав объектов защиты представлен в "Перечне персональных данных, подлежащих защите.

Состав ИСПДн подлежащих защите, представлен в "Перечне ИСПДн"10.

Требования настоящей Политики распространяются на всех работников Администрации (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).

2. Система защиты персональных данных

Система защиты персональных данных (СЗПДн), строится на основании:

итогового отчета об обследовании ИСПДн;

отчета о результатах проведения внутренней проверки защиты ПДн на бумажных носителях;

персональных данных, подлежащих защите;

акта классификации информационной системы персональных данных 8;

модели угроз безопасности персональных данных 12;

матрицы доступа пользователей к защищаемым информационным ресурсам ИСПДН 11;

руководящих документов ФСТЭК и ФСБ России.

На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз 12, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в "Плане мероприятий по обеспечению защиты ПДн".

Для ИСПДн должен быть составлен список используемых технических средств защиты (далее - Список), а также программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн:

АРМ пользователей;

сервера приложений;

СУБД;

граница ЛВС;

каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.

В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:

антивирусные средства для рабочих станций пользователей и серверов;

средства межсетевого экранирования;

средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.

Также в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:

управление и разграничение доступа пользователей;

регистрацию и учет действий с информацией;

обеспечивать целостность данных;

производить обнаружений вторжений.

Список используемых технических средств отражается в "Плане мероприятий по обеспечению защиты персональных данных". Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены руководителем Администрации или лицом, ответственным за обеспечение защиты ПДн.

3. Требования к подсистемам СЗПДн

СЗПДн включает в себя следующие подсистемы:

управления доступом, регистрации и учета;

обеспечения целостности и доступности;

антивирусной защиты;

межсетевого экранирования;

анализа защищенности;

обнаружения вторжений;

криптографической защиты.

Подсистемы СЗПДн имеют различный функционал в зависимости от класса ИСПДн, определенного в "Акте классификации информационной системы персональных данных". Список соответствия функций подсистем СЗПДн классу защищенности представлен в техническом задании по созданию системы защиты информации информационной системы персональных данных.

Подсистемы управления доступом, регистрации и учета:

Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:

идентификации и проверка подлинности субъектов доступа при входе в ИСПДн;

идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;

идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;

регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова;

регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Также может быть внедрено специальное техническое средство или их комплекс осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.

Подсистема обеспечения целостности и доступности:

Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн Администрации, а также средств защиты, при случайной или намеренной модификации.

Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а также резервированием ключевых элементов ИСПДн.

Подсистема антивирусной защиты:

Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей ИСПДн Администрации.

Средства антивирусной защиты предназначены для реализации следующих функций:

резидентный антивирусный мониторинг;

антивирусное сканирование;

скрипт-блокирование;

централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;

автоматизированное обновление антивирусных баз;

ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;

автоматический запуск сразу после загрузки операционной системы.

Подсистема реализуется путем внедрения специального антивирусного программного обеспечения на все элементы ИСПДн.

Подсистема межсетевого экранирования:

Подсистема межсетевого экранирования предназначена для реализации следующих функций:

фильтрации открытого и зашифрованного (закрытого) IP-трафика;

фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;

идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;

регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова;

контроля целостности своей программной и информационной части;

фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

регистрации и учета запрашиваемых сервисов прикладного уровня;

блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

контроля за сетевой активностью приложений и обнаружения сетевых атак.

Подсистема анализа защищенности:

Подсистема анализа защищенности, должна обеспечивать выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.

Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.

Подсистема обнаружения вторжений:

Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИСПДн подключенные к сетям общего пользования и (или) международного обмена.

Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.

Подсистема криптографической защиты:

Подсистема криптографической защиты предназначена для исключения НСД к защищаемой информации в ИСПДн Администрации, при ее передачи по каналам связи сетей общего пользования и (или) международного обмена.

Подсистема реализуется внедрения криптографических программно-аппаратных комплексов.

4. Пользователи ИСПДн

В Положении информационной безопасности определены основные категории пользователей. На основании этих категории должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.

В ИСПДн Администрации можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:

Администратор ИСПДн;

Администратор безопасности;

Оператор АРМ.

Данные о группах пользователях, уровне их доступа и информированности должен быть отражен в Матрице доступа пользователей к защищаемым информационным ресурсам 11.

Администратор ИСПДн - работник Администрации, ответственный за настройку, внедрение и сопровождение ИСПДн, обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора АРМ) к элементам хранящим персональные данные.

Администратор ИСПДн обладает следующим уровнем доступа и знаний:

полной информацией о системном и прикладном программном обеспечении ИСПДн;

полной информацией о технических средствах и конфигурации ИСПДн;

правами конфигурирования и административной настройки технических средств ИСПДн;

имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн.

Администратор безопасности - работник Администрации, ответственный за функционирование СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент.

Администратор безопасности обладает следующим уровнем доступа и знаний:

правами Администратора ИСПДн;

полной информацией об ИСПДн;

правами конфигурирования и административной настройки технических средств ИСПДн.

имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;

Администратор безопасности уполномочен:

реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор АРМ) получает возможность работать с элементами ИСПДн;

осуществлять аудит средств защиты;

Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.

Оператор АРМ - работник Администрации, осуществляющий обработку ПДн, которая включает возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн.

Оператор ИСПДн обладает следующим уровнем доступа и знаний:

необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

имеет доступ конфиденциальным данным.

5. Требования к персоналу по обеспечению защиты ПДН

Все работники Администрации, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

При вступлении в должность нового работника непосредственный начальник отдела, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

Работник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.

Работники Администрации, использующие технические средства аутентификации, должны:

обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов;

обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты;

следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).

Работникам запрещается:

устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию;

разглашать защищаемую информацию, которая стала им известна при работе с информационными системами Администрации, третьим лицам.

Работники Администрации обязаны:

при работе с ПДн в ИСПДн обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов;

при завершении работы с ИСПДн защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты;

без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

Работники Администрации должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение.

Ответственность работников ИСПДн Администрации:

В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" лица, виновные в нарушении требований данного Федерального закона несут административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).

   

 

Яндекс.Метрика
Top
We use cookies to improve our website. By continuing to use this website, you are giving consent to cookies being used. More details…