Политика информационной безопасности в информационных системах персональных данных в Администрации Главы Чувашской Республики

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ 

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аутентификация отправителя данных – подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и(или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) – получение возможности запуска выполнения штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации – возможность получения информации и ее использования.

Закладочное устройство – элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информативный сигнал – электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные), обрабатываемая в информационной системе персональных данных.

Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или иного законного основания.

Межсетевой экран – локальное (однокомпонентное) или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Нарушитель безопасности персональных данных –физическое лицо, случайно или преднамеренно совершившее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение, осуществляются при непосредственном участии человека.

Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Перехват (информации) – неправомерное получение информации с ис­пользованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цели питания.

Политика «чистого стола» – комплекс организационных мероприятий, контролирующих отсутствие записывания на бумажные носители ключей и атрибутов доступа (паролей) и хранения их вблизи объектов доступа.

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных, блокировать аппаратные средства.

Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных.

Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект)– лицо или процесс, действия которого рег­ламентируются правилами разграничения доступа.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка(защищаемой) информации по техническим каналам – некон­тролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость– слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.

Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения). 

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

ABC– антивирусные средства

АРМ – автоматизированное рабочее место

ВТСС – вспомогательные технические средства и системы

ИБ – информационная безопасность

ИСПДн – информационная система персональных данных

КЗ – контролируемая зона

ЛВС – локальная вычислительная сеть

МЭ – межсетевой экран

НСД – несанкционированный доступ

ОС – операционная система

ПДн – персональные данные

ПМВ – программно-математическое воздействие

ПО – программное обеспечение

ПЭМИН – побочные электромагнитные излучения и наводки

САЗ – система анализа защищенности

СЗИ – средства защиты информации

СЗПДн – система (подсистема) защиты персональных данных

СКЗИ – система криптографической защиты информации

СОВ – система обнаружения вторжений

СУБД – система управления базами данных

ТКУИ – технические каналы утечки информации

УБПДн – угрозы безопасности персональных данных

Введение 

Настоящая Политика информационной безопасности в информационных системах персональных данных в Администрации Главы Чувашской Республики (далее соответственно – Политика, Администрация) разработана в соответствии с требованиями:

Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

постановления Правительства Российской Федерации от 6 июля 2008 г.
№ 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

постановления Правительства Российской Федерации от 15 сентября
2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (зарегистрирован в Министерстве юстиции Российской Федерации 31 мая 2013 г., регистрационный № 28608);

приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (зарегистрирован в Министерстве юстиции Российской Федерации 14 мая 2013 г., регистрационный № 28375);

иных нормативных правовых актов Российской Федерации, регламентирующих обеспечение безопасности персональных данных.

В Политике определены требования к системе защиты персональных данных, персоналу ИСПДн, статус и должностные обязанности работников, ответственных за обеспечение безопасности ПДн, обрабатываемых в ИСПДн в Администрации и подведомственных ей организациях.

1.Общие положения 

Целью настоящей Политики являются обеспечение безопасности ПДн в Администрации (подведомственных организациях) от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.

Обеспечение безопасности ПДн достигается:

определением угроз безопасности персональных данных при их обработке в ИСПДн;

применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

учетом машинных носителей ПДн;

обнаружением фактов несанкционированного доступа к ПДн и принятием соответствующих мер;

восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в        ИСПДн;

контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

Безопасность ПДн при их обработке в информационной системе обеспечивается с помощью СЗПДн, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Безопасность ПДн при их обработке в ИСПДн обеспечивают все работники Администрации, являющиеся пользователями ИСПДн и соблюдающие принятый в Администрации режим безопасности ПДн.

Выбор средств защиты информации для СЗПДн осуществляется администратором ИСПДн в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России) во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

Состав ИСПДн, подлежащих защите, представляется в перечне информационных систем персональных данных и в перечне персональных данных, содержащихся в программных комплексах, входящих в состав информационной системы персональных данных, утверждаемых распоряжением Администрации.

Требования настоящей Политики распространяются на всех работников Администрации (подведомственных организаций).

2.Система защиты персональных данных 

2.1. Структура, состав и основные функции системы защиты персональных данных определяются исходя из класса ИСПДн. СЗПДн включает организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в информационной системе информационные технологии.

Эти меры призваны обеспечить:

конфиденциальность ПДн (защита от несанкционированного ознакомления);

целостность ПДн (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

доступность ПДн (возможность за приемлемое время получить требуемую информационную услугу).

Организационные меры предусматривают создание и поддержание правовой базы безопасности ПДн и разработку (введение в действие) в Администрации (подведомственных организациях) организационно-распорядительных документов.

Технические меры защиты реализуются при помощи соответствующих программно-технических средств и методов защиты.

СЗПДн строится на основании:

отчета о результатах проведения аудита ИБ в ИСПДн в Администрации (подведомственных организациях);

перечня персональных данных, подлежащих защите;

акта классификации информационной системы персональных данных;

модели угроз безопасности персональных данных;

разрешительной системы допуска (матрицы доступа) в ИСПДн;

руководящих документов ФСБ России и ФСТЭК России.

На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн в Администрации (подведомственных организациях). На основании анализа актуальных угроз безопасности ПДн, описанных в модели угроз безопасности персональных данных, и отчета о результатах проведения аудита ИБ в ИСПДн в Администрации (подведомственных организациях) делается заключение о необходимости использования технических средств и проведения организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в плане мероприятий по защите персональных данных в Администрации (подведомственных организациях).

2.2. Для каждой ИСПДн администратором ИСПДн должен быть составлен список используемых технических средств защиты и программного обеспечения, участвующего в обработке ПДн, для всех элементов ИСПДн (далее – список):

АРМ пользователей;

сервера приложений;

СУБД;

границы ЛВС;

каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.

В зависимости от уровня защищенности ИСПДн и актуальных угроз СЗПДн может включать следующие технические средства:

антивирусные средства для рабочих станций пользователей и серверов;

средства межсетевого экранирования;

средства криптографической защиты информации при передаче защищаемой информации по каналам связи.

2.3. В список также включаются функции защиты, обеспечиваемые штатными средствами обработки ПДн, операционными системами, прикладным ПО и специальными комплексами, реализующими средства защиты. К функциям защиты можно отнести функции:

управления и разграничения доступа пользователей;

регистрации и учета действий с информацией;

обеспечения целостности данных;

обнаружения вторжений.

2.4. Список отражается в плане мероприятий по защите персональных данных, утверждаемом распоряжением Администрации. Список должен поддерживаться в актуальном состоянии. При изменении технических средств защиты, программного обеспечения и функций защиты соответствующие изменения должны быть внесены в список.

3.Требования к подсистемам СЗПДн 

СЗПДн в Администрации включает в себя следующие подсистемы:

управления доступом, регистрации и учета;

обеспечения целостности и доступности;

антивирусной защиты;

межсетевого экранирования;

анализа защищенности;

обнаружения вторжений;

криптографической защиты.

Подсистемы СЗПДн имеют различный функционал в зависимости от класса ИСПДн, определенного в акте классификации ИСПДн. Функции должны обеспечивать необходимый уровень защищенности от актуальных угроз ИСПДн.

3.1. Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:

идентификация и проверка подлинности субъектов доступа при входе в ИСПДн;

идентификация терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;

идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

регистрация входа (выхода) субъектов доступа в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее останова;

регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

регистрация попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

Подсистема управления доступом, регистрации и учета может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Также могут быть внедрены специальное техническое средство или комплекс таких средств, осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и др.

3.2. Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн в Администрации (подведомственных организациях), а также средств защиты при случайной или намеренной модификации.

Подсистема реализуется путем организации резервного копирования обрабатываемых данных, а также резервирования ключевых элементов ИСПДн.

3.3. Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей ИСПДн в Администрации (подведомственных организациях).

Средства антивирусной защиты предназначены для реализации следующих функций:

резидентный антивирусный мониторинг;

антивирусное сканирование;

скрипт-блокирование;

централизованная/удаленная установка/деинсталляция антивирусного продукта, настройка, администрирование, просмотр отчетов и статистической информации о работе продукта;

автоматизированное обновление антивирусных баз;

ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;

автоматический запуск сразу после загрузки операционной системы.

Подсистема реализуется путем внедрения специального антивирусного программного обеспечения во все элементы ИСПДн.

3.4. Подсистема межсетевого экранирования предназначена для реализации следующих функций:

фильтрация открытого и зашифрованного (закрытого) IP-трафика;

фиксация во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;

идентификация и аутентификация администратора межсетевого экрана при его локальных запросах доступа;

регистрация входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы;

контроль целостности программной и информационной части;

фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

фильтрация с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

регистрация и учет запрашиваемых сервисов прикладного уровня;

блокирование доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

контроль сетевой активности приложений и обнаружение сетевых атак.

Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе ЛВС.

3.5. Подсистема анализа защищенности должна обеспечивать выявление уязвимости, связанной с ошибками в конфигурации программного обеспечения ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.

Функционал подсистемы анализа защищенности может быть реализован программными или программно-аппаратными средствами.

3.6. Подсистема обнаружения вторжений должна обеспечивать выявление сетевых атак на элементы ИСПДн, подключенные к сетям общего пользования и (или) международного обмена.

Функционал подсистемы обнаружения вторжений может быть реализован программными или программно-аппаратными средствами.

3.7. Подсистема криптографической защиты предназначена для исключения НСД к защищаемой информации в ИСПДн в Администрации (подведомственных организациях) при ее передаче по каналам связи сетей общего пользования и (или) международного обмена.

Подсистема криптографической защиты реализуется внедрением криптографических программно-аппаратных комплексов.

4. Пользователи ИСПДн 

Пользователем ИСПДн является лицо, участвующее в функционировании ИСПДн или использующее результаты ее функционирования. Пользователем ИСПДн в Администрации (подведомственной организации) является любой работник Администрации (подведомственной организации), имеющий доступ к ИСПДн и ее ресурсам в соответствии с установленным порядком и его функциональными обязанностями.

В ИСПДн в Администрации (подведомственных организациях)можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:

администратор ИСПДн;

администратор безопасности;

оператор ИСПДн;

администратор сети;

технический специалист по обслуживанию периферийного оборудования;

программист-разработчик (поставщик) прикладного программного обеспечения.

Данные о группах пользователях, уровне их доступа и информированности отражаются в разрешительной системе допуска (матрице доступа) в ИСПДн.

4.1. Администратор ИСПДн – работник сектора эксплуатации технических средств Управления делами Администрации (работник подведомственной организации), ответственный за настройку, внедрение и сопровождение ИСПДн. Администратор ИСПДн обеспечивает функционирование подсистемы управления доступом, регистрации и учета СЗПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (оператора АРМ) к элементам, хранящим персональные данные.

Администратор ИСПДн обладает следующим уровнем доступа и знаний:

обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;

обладает полной информацией о технических средствах и конфигурации ИСПДн;

имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

обладает правами конфигурирования и административной настройки технических средств ИСПДн.

4.2. Администратор безопасности – работник сектора эксплуатации технических средств Управления делами Администрации (работник подведомственной организации), ответственный за функционирование СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент.

Администратор безопасности обладает следующим уровнем доступа и знаний:

обладает правами администратора ИСПДн;

обладает полной информацией об ИСПДн;

имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;

не имеет прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных).

Администратор безопасности уполномочен:

реализовывать политику безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (оператор ИСПДн) получает возможность работать с элементами ИСПДн;

осуществлять аудит средств защиты;

устанавливать доверительные отношения своей защищенной сети с сетями других предприятий.

4.3. Оператор ИСПДн – работник Администрации (подведомственной организации), осуществляющий обработку ПДн. Обработка ПДн включает:

просмотр ПДн;

ручной ввод ПДн в систему ИСПДн;

формирование справок и отчетов об информации, полученной из ИСПДн.

Оператор ИСПДн не имеет полномочий для управления подсистемами обработки данных и СЗПДн.

Оператор ИСПДн обладает следующим уровнем доступа и знаний:

обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

располагает конфиденциальными данными, к которым имеет доступ.

4.4. Администратор сети – работник сектора эксплуатации технических средств Управления делами Администрации (работник подведомственной организации), ответственный за функционирование телекоммуникационной подсистемы ИСПДн. Администратор сети не имеет полномочий для управления подсистемами обработки данных и безопасности.

Администратор сети обладает следующим уровнем доступа и знаний:

обладает частью информации о системном и прикладном программном обеспечении ИСПДн;

обладает частью информации о технических средствах и конфигурации ИСПДн;

имеет физический доступ к техническим средствам обработки информации и средствам защиты;

знает по меньшей мере одно легальное имя доступа.

4.5. Технический специалист по обслуживанию периферийного оборудования – работник сектора эксплуатации технических средств Управления делами Администрации (подведомственной организации), осуществляющий обслуживание и настройку периферийного оборудования ИСПДн. Технический специалист по обслуживанию периферийного оборудования не имеет доступа к ПДн, не имеет полномочий для управления подсистемами обработки данных и безопасности.

Технический специалист по обслуживанию периферийного оборудования обладает следующим уровнем доступа и знаний:

обладает частью информации о системном и прикладном программном обеспечении ИСПДн;

обладает частью информации о технических средствах и конфигурации ИСПДн;

знает по меньшей мере одно легальное имя доступа.

4.6. Программист-разработчик (поставщик) прикладного программного обеспечения – работник сторонней лицензированной организации, обеспечивающий его сопровождение на защищаемом объекте. К данной группе могут относиться как работники оператора, так и работники сторонних организаций.

Программист-разработчик (поставщик) прикладного программного обеспечения:

обладает информацией об алгоритмах и программах обработки информации в ИСПДн;

имеет возможность внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;

располагает любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

5.Требования к персоналу по обеспечению защиты ПДн 

Все работники Администрации (подведомственных организаций), являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила доступа к ПДн и соблюдать принятый режим безопасности ПДн.

Непосредственный руководитель структурного подразделения Администрации (подведомственной организации) обязан ознакомить нового работника с должностным регламентом (должностной инструкцией) и необходимыми документами, регламентирующими требования по защите ПДн, а также организовать обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

Пользователь ИСПДн должен быть ознакомлен с настоящей Политикой, в том числе с принятыми процедурами работы с элементами ИСПДн и СЗПДн.

Пользователи ИСПДн в Администрации (подведомственных организациях), использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать несанкционированный доступ к ним, их утерю или использование третьими лицами. Пользователи ИСПДн несут персональную ответственность за сохранность идентификаторов.

Пользователи ИСПДн в Администрации (подведомственных организациях) должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).

Пользователи ИСПДн в Администрации (подведомственных организациях) должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи ИСПДн должны знать требования к обеспечению безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

Пользователям ИСПДн запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию.

Пользователям ИСПДн запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами Администрации (подведомственных организаций), третьим лицам.

При работе с ПДн в ИСПДн пользователи ИСПДн в Администрации (подведомственных организациях) обязаны обеспечить невозможность просмотра ПДн третьими лицами с мониторов АРМ или терминалов.

При завершении работы с ИСПДн пользователи ИСПДн обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного способа контроля, например доступа по паролю, если не используются более сильные средства защиты.

Пользователи ИСПДн в Администрации (подведомственных организациях) должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с требованиями о наложении дисциплинарных взысканий на пользователей     ИСПДн, которые нарушили требования настоящей Политики и процедуры безопасности ПДн.

Пользователи ИСПДн обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, способных повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству, а также администратору ИСПДн и администратору безопасности ИСПДн.

6.Должностные обязанности пользователей ИСПДн 

Должностные обязанности пользователей ИСПДн описаны в следующих документах, утверждаемых Руководителем Администрации:

Инструкция администратора ИСПДн;

Инструкция администратора безопасности ИСПДн;

Инструкция оператора ИСПДн;

Инструкция пользователя при возникновении внештатных ситуаций. 

7.Ответственность пользователей ИСПДн Администрации и

подведомственных ей организаций 

В соответствии со статьей 24 Федерального закона Российской Федерации «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.