Руководства, Инструкции, Бланки

технический паспорт на испдн образец

Рейтинг: 4.3/5.0 (364 проголосовавших)

Категория: Бланки/Образцы

Описание

Документы, регламентирующие обработку персональных данных

Комментарии экспертов Документы, регламентирующие обработку персональных данных

В рамках проведения работ по защите персональных данных необходимо разработать пакет документов, регламентирующих обработку ПДн в информационных системах Компании.

Приведем примерный список документов, которые разрабатываются оператором персональных данных в соответствии с требованиями законодательства, а также юридическое обоснование разработки перечисленных документов.

Документы, регламентирующие обработку ПДн в ИСПДн Компании (для каждой ИСПДн)

Акт классификации информационной системы персональных данных (ИСПДн).

Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

п.6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», устанавливает следующий порядок проведения классификации:

п. 4. Проведение классификации информационных систем включает в себя следующие этапы:
  • сбор и анализ исходных данных по информационной системе;
  • присвоение информационной системе соответствующего класса и его документальное оформление.
  • Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).

    Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»:

    п. 16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
  • Определение границ контролируемой зоны ИСПДн.

    Нормативно-методический документ ФСТЭК России «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Одним из основных организационных мероприятий по защите информации является установление контролируемой зоны (КЗ) вокруг ИСПДн.

    Примечание:
    Определение границ КЗ необходимо для разработки ряда документов, в которых учитывается привязка к границам КЗ, в частности:
    • технический паспорт ИСПДн;
    • модель угроз безопасности ПДн при их обработке в ИСПДн.
  • Технический паспорт ИСПДн.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) в соответствии с требованиями которых разрабатывается технический паспорт ИСПДн установленной формы.

    Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»: Запросы пользователей информационной системы на получение персональных данных, включая лиц, доступ которых к персональным данным, необходим для выполнения служебных (трудовых) обязанностей, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

    Регламент разграничения прав доступа.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

    В организации должна быть разработана соответствующая система доступа персонала к сведениям конфиденциального характера.
    Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в организации.
  • Приказ о назначении администратора безопасности ИСПДн.
  • Руководство администратора ИСПДн.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Описание порядка установки, настройки, конфигурирования и администрирования средств антивирусной защиты, а также порядка действий в случае выявления факта вирусной атаки или иных нарушений требований по защите от программно-математических воздействий должны быть включены в руководство администратора безопасности информации в ИСПДн.
  • Руководство пользователя ИСПДн.
  • Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
  • Перечень применяемых средств защиты информации (СЗИ).

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    мероприятия по обеспечению безопасности ПДн при их обработке в информационных системах включают в себя:
    • проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
    • учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.
  • Перечень эксплуатационной и технической документации применяемых СЗИ(правовое обоснование см. в п.11).
  • Перечень носителей ПДн(правовое обоснование см. в п.11).
  • Заключение о готовности СЗИ к эксплуатации(правовое обоснование см. в п.11).
  • Документы, регламентирующие обработку ПДн в компании
    1. Положение о защите персональных данных в компании.

    Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    При подготовке документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн в обязательном порядке разрабатываются:
    • положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
    • требования по обеспечению безопасности ПДн при обработке в ИСПДн;
    • должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;
    • рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.
  • Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн(правовое обоснование см. в п.2.).
  • Рекомендации по использованию программных и аппаратных средств защиты(правовое обоснование см. в п.2.).
  • Положение по организации контроля эффективности защиты информации в компании.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке их обоснованности и эффективности принятых мер. Он может проводиться оператором или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите информации.
  • Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Одним из основных организационных мероприятий по защите информации является организация режима и контроля доступа в помещения, в которых установлены аппаратные средства ИСПДн.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    п.8. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
  • Положение о порядке хранения и уничтожения носителей ПДн.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

    Носители информации на магнитной (магнитооптической), оптической и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях организации в установленном порядке.
  • Формы учета для организации обработки ПДн (шаблоны, бланки).

    Формы учета необходимы для организации взаимодействия с субъектами персональных данных и уполномоченным органом по защите прав субъектов персональных данных.
    При разработке форм руководствоваться требованиями ФЗ-152, Трудового Кодекса РФ.

  • Отчет об обследования информационных систем компании.

    Методический документ ФСТЭК «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»:

    Порядок организации обеспечения безопасности ПДн в ИСПДн должен предусматривать оценку обстановки, в рамках которой проводится определение состава, содержания и местонахождения ПДн подлежащих защите.
  • Перечень сведений конфиденциального характера.

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К):

    В организации должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативно-правовыми актами.
  • Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.

    Постановление Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

    п.13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

    Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначенными руководителями организации для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензию на право проведения соответствующих работ.
  • Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.

    Федеральный закон «О персональных данных» ФЗ-152

    Ст.22. Уведомление об обработке персональных данных» направляется в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

    Получение Выписки регламентируется Приказом Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.03.2008 г. №154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»:

    п. 17. Операторы, включенные в Реестр, вправе получить выписку из Реестра по письменному обращению в Службу в срок не позднее тридцати дней.

  • Следите за нашими публикациями, подключайтесь к обсуждению и задавайте дополнительные вопросы!

    Видео

    технический паспорт на испдн образец:

  • скачать
  • скачать
  • Другие статьи

    Документация серверной

    В свое время долго выяснял, какие же документы необходимо иметь для серверной и нужны ли они вообще? Как ни удивительно внятной информации найти не смог. Основное внимание, как правило удаляется проблемам с лицензированием софта, поэтому темой документации к серверной некто особо не задавался. Однако, как известно интернет великая вещь, и в нем можно найти все если хорошенько поискать. В любом случае иметь документацию на помещение серверной лишним не будет, даже если этого некто не требует. Предлагаю тем, кто озадачился приведением в порядок документации касающейся серверного помещения, шаблоны документов. На основании шаблонов (можете скачать в архиве) я разработал документацию под свою серверную, все зарегистрировал, сделал опись документов, подшил все в одну папочку и положил ее в серверной.

    Документация разработана на основании «СПЕЦИАЛЬНЫХ ТРЕБОВАНИЙ И РЕКОМЕНДАЦИЙ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ» (СТР-К) принятых ГОСУДАРСТВЕННОЙ ТЕХНИЧЕСКОЙ КОМИССИЕЙ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ, Решение Коллегии Гостехкомиссии России № 7.2/02.03.2001 г.

    Данные шаблоны я запаковал в один архив (небольшой по объему), если вас интересует, то качайте на здоровье. Скачать архив «Шаблоны документов для тех паспорта защищаемого помещения»

    Перечень шаблонов входящих в архив:

    «Приказ о назначении комиссии по сопровождению аттестации автоматизированной системы».

    «Перечень автоматизированных систем, используемых для обработки конфиденциальной информации и защищаемых помещений, в которых проводятся конфиденциальные мероприятия».

    «Перечень сведений конфиденциального характера»

    «АКТ классификации автоматизированной системы (АС)»

    «Схема границы контролируемой зоны»

    «Перечень лиц, обслуживающих автоматизированную систему»

    «Приказ о назначении администратора информационной безопасности

    (уполномоченного по защите информации)»

    «Данные по уровню подготовки кадров, обеспечивающих защиту информации»

    «Инструкция по обеспечению защиты конфиденциальной информации, обрабатываемой в автоматизированных системах»

    «Состав программного обеспечения автоматизированной системы»

    «Перечень лиц, имеющих право самостоятельного доступа в помещение №____ с автоматизированной системой»

    «Перечень лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы»

    «ТЕХНИЧЕСКИЙ ПАСПОРТ автоматизированной системы»

    «Перечень защищаемых ресурсов автоматизированной системы и уровень их конфиденциальности»

    «Матрица доступа субъектов автоматизированной системы к ее защищаемым информационным ресурсам»

    «Описание настроек системы разграничения доступа системы защиты информации от несанкционированного доступа автоматизированной системы»

    «Описание технологического процесса обработки информации в автоматизированной системе»

    «Пример Памятки по обеспечению режима безопасности и эксплуатации

    оборудования, установленного в защищаемом помещении ___Серверная»

    «Пример ПЕРЕЧЕНЯ сведений конфиденциального характера»

    «Пример Технический паспорт защищаемого помещения»

    Технический паспорт ИСПДн

    Технический паспорт ИСПДн

    Смысл технического паспорта информационной системы персональных данных - перечислить технические средства данной ИСПДн, на которых осуществляется обработка ПДн.

    Технический паспорт ИСПДн разрабатывается в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К).

    Прямых требований к составлению технического паспорта для ИСПДн нет, но они косвенно вытекают из других требований.

    Технический паспорт информационной системы персональных данных обычно содержит следующие данные:

    • Наименование ИСПДн;
    • Адрес местонахождения ИСПДн;
    • Данные об утвержденной частной модели угроз безопасности ПДн в ИСПДн;
    • Перечень персональных данных, обрабатываемых в ИСПДн;
    • Перечень технологических процессов обработки ПДн, используемых в ИСПДн;
    • Перечень основных технических средств и систем, входящих в состав ИСПДн;
    • Перечень вспомогательных технических средств, входящих в состав ИСПДн;
    • Перечень средств защиты информации, установленных в ИСПДн.

    Перечень персональных данных, обрабатываемых в ИСПДн включает в себя данные о наименовании ПДн, целях обработки ПДн в рамках ИСПДн.

    Перечень основных технических средств и систем, входящих в состав ИСПДн включает в себя данные о типе ОТСС, программных и технических характеристик, местах установки, количестве ТС.

    Перечень вспомогательных технических средств, входящих в состав ИСПДн (средств вычислительной техники, не участвующих в обработке персональных данных) содержит данные о наименовании и типе вспомогательных технических средств, мест установки, количестве технических средств, примечание.

    Перечень средств защиты информации, установленных в ИСПДн включает в себя данные о наименовании и типе СЗИ, сведения о сертификате, местах установки СЗИ.

    Технический паспорт ИСПДн

    Техподдержка 8-800-333-14-84 Звонок по РФ бесплатный ICQ: 609-394-313 E-mail: support@freshdoc.ru Skype: freshdoc.support Отдел продаж +7 (495) 212-14-84 sales@freshdoc.ru Заказать звонок

    • Тарифы
    • Интеграция с 1С
    • Партнерам
    • Для СМИ
    • Проекты
    • О компании
    • Видеогид
    • Блог
    • Способы оплаты
    • Лицензии и сертификаты
    Конфиденциальность и безопасность
    • Правила использования сервиса
    • Правила использования информации с сайта
    • Политика конфиденциальности

    Копирование и дальнейшее распространение любых текстов с сайта freshdoc.ru без разрешения авторов или администрации сайта, а также заимствование фрагментов текстов будет рассматриваться как нарушение авторских прав. Помните об ответственности, предусмотренной ст.146, п.3 УК РФ. Смотрите правила.
    © 2016 DocLab

    Технический паспорт - Формы документов - Формы документов - Каталог файлов - Защита ПД

    Каталог файлов

    2.4 Размещение ВТСС в помещении № ___ приведено в п. 4 настоящего Технического паспорта.

    2.5 Размещение ОТСС ИСПДн « ___ » относительно границ контролируемой зоны приведено на «Схеме размещения ИСПДн « ___ » относительно границы контролируемой зоны» (п. 5 настоящего Технического паспорта).

    2.6 Описание системы кабельных соединений в помещении № ___ приведено в п. 6 настоящего Технического паспорта.

    2.7 Перечень средств защиты информации, установленных на объекте информатизации
    « ___ »:

    Наименование и тип ТС

    Сведения о сертификате

    Средство защиты информации от несанкционированного доступа «____»

    Сертификат ФСТЭК России №____ от __________г.

    (действителен до ____________г.)

    №____ от __________г.

    3.Сведения о соответствии требованиям по безопасности информации.

    3.1. Сведения об аттестации объекта:

    Заключение по результатам аттестационных испытаний №______ от ________г.
    Аттестат соответствия требованиям безопасности информации № ___________ от __________ г.

    4.Схема размещения ОТСС и ВТСС ИСПДн « ____ »

    5.Схеме размещения ИСПДн « ___ » относительно границы контролируемой зоны

    6.Описание системы кабельных соединений в помещении № ___

    Приказ Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г

    Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Приказ Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. № П/31 "Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Федеральной службе государственной регистрации, кадастра и картографии"

    Обзор документа

    Приказ Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. № П/31 "Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Федеральной службе государственной регистрации, кадастра и картографии"

    11 февраля 2014

    В целях обеспечения безопасности персональных данных при обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии, а также выполнения требований Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных» приказываю:

    По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Федерального закона следует читать как "27.07.2006"

    1. Утвердить прилагаемое Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии (далее - Положение).

    2. Начальникам структурных подразделений центрального аппарата Росреестра, руководителям территориальных органов Росреестра обеспечить реализацию Положения .

    3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя С.А. Сапельникова.

    Положение
    по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии
    (утв. приказом Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. № П/31)
    Термины и определения

    Система, состоящая из работников и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций

    Администратор безопасности информации (администратор безопасности)

    Работник Отдела информационной безопасности Росреестра (работники, назначенные приказом руководителя Росреестра/территориального органа Росреестра), ответственный за защиту информационных систем персональных данных от несанкционированного доступа к информации

    Администратор информационной системы персональных данных

    Администратор автоматизированной системы, администратор локальной вычислительной сети, администратор баз данных, администратор информационного ресурса - ответственный за функционирование информационной системы персональных данных в установленном штатном режиме работы (работники назначенные приказом руководителя Росреестра/территориального органа Росреестра)

    Блокирование персональных данных

    Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

    Обладатель информации (информационного ресурса)

    Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Структурное подразделение Росреестра, реализующее полномочия владения, пользования и распоряжения информацией в соответствии со своими функциями и задачами. Обладатель устанавливает в пределах своей компетенции режим и правила обработки информации, зашиты информационного ресурса, доступа к информационному ресурсу, условия копирования и тиражирования информационного ресурса (в распоряжении на создание информационного ресурса или в виде отдельных регламентов)

    Доступ к информации

    Возможность получения информации и ее использования

    Информационная система персональных данных (ИСПДн)

    Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

    Инцидент информационной безопасности

    Появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности (отказ в обслуживании, сбор информации, несанкционированный доступ и т.д.)

    Пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание работников и посетителей организации, а также транспортных, технических и иных материальных средств

    Конфиденциальность персональных данных

    Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания

    Несанкционированный доступ (несанкционированные действия)

    Доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам

    Обработка персональных данных

    Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

    Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (в настоящем Положении - Росреестр)

    Организационно-распорядительная документация ИСПДн

    Документация, регламентирующая деятельность работников в области защиты персональных данных, а также требования к ИСПДн в соответствии с требованиями законодательства Российской Федерации

    Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

    Предоставление персональных данных

    Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

    Распространение персональных данных

    Действия, направленные на раскрытие персональных данных неопределенному кругу лиц

    Руководящие документы по безопасности информации

    Нормативно-правовые и методические документы ФСТЭК и ФСБ России, регулирующие деятельность в области защиты информации

    Технические средства, позволяющие осуществлять обработку персональных данных

    Средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационной системе

    Субъект доступа (субъект)

    Лицо или процесс, действия которого регламентируются правилами разграничения доступа

    Угроза безопасности персональных данных

    Совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных

    Уничтожение персональных данных

    Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

    Перечень сокращений

    Федеральная служба по техническому и экспортному контролю

    1. Общие положения

    Настоящее Положение регламентирует вопросы обеспечения безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) в Росреестре и его территориальных органах и определяет порядок организации работ по созданию и эксплуатации системы защиты персональных данных (СЗПДн).

    Настоящее Положение разработано на основании следующих основных нормативных правовых актов и документов в области обеспечения безопасности ПДн:

    - Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции от 25.07.2011 № 261-ФЗ);

    - постановление Правительства Российской Федераций от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

    - постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствий с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

    - Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 5.02.2010 № 58;

    - Порядок проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 (зарегистрирован в Минюсте России 3.04.2008, регистрационный № 11462);

    - Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 № 282.

    Действие настоящего Положения не распространяется на вопросы, связанные с обработкой ПДн, осуществляемой без использования средств автоматизации. Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Росреестра, определяются в отдельном документе с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15.09.2008 № 687.

    2. Порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн

    Под организацией работ по обеспечению безопасности ПДн при их обработке в ИСПДн понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла ИСПДн, согласованных по цели, задачам, месту и времени, направленных на предотвращение (нейтрализацию) и парирование угроз безопасности ПДн в ИСПДн, восстановление нормального функционирования ИСПДн после нейтрализации угрозы с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.

    Организация работ по защите ПДн предусматривает формирование:

    - перечня ПДн, обрабатываемых в информационных системах (ИС) Росреестра;

    - порядка классификации ИС Росреестра как ИСПДн;

    - порядка разработки, ввода в действие и эксплуатации ИСПДн в части реализации мероприятий по обеспечению безопасности ПДн;

    - порядка взаимодействия между ответственными за обеспечение безопасности ПДн и эксплуатирующими подразделениями (администраторами) по вопросам обеспечения безопасности ПДн;

    - порядка привлечения структурных подразделений Росреестра и специализированных сторонних организаций к разработке и эксплуатации СЗПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн в соответствии с требованиями Руководящих документов по безопасности с учетом механизмов, предусмотренных Федеральным законом от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд»;

    - ответственности должностных лиц за обеспечение безопасности ПДн, своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн;

    - порядка контроля обеспечения требуемого уровня защищенности ПДн.

    Согласование подключений сторонних организаций к сети Росреестра осуществляется после согласования схемы подключения центральным аппаратом Росреестра, подписания лицензионного договора на использование ПК ПВД между Росреестром и сторонней организацией и соглашения о взаимодействии между такой сторонней организацией, территориальным органом Росреестра и филиалом федерального государственного бюджетного учреждения «Федеральная кадастровая палата Федеральной службы государственной регистрации, кадастра и картографии» по субъекту Российской Федерации.

    Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн ответственным за обеспечение безопасности ПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается специалист по информационной безопасности (отдел) (далее -подразделение информационной безопасности (ИБ).

    Непосредственно исполнение работ по защите информации (ПДн) в ИСПДн с использованием средств автоматизации возлагается на начальников соответствующих структурных подразделений центрального аппарата Росреестра и территориальных органов Росреестра, ответственных за развитие и использование (эксплуатацию) ИСПДн Росреестра.

    Для проведения классификации ИСПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается специальная внутренняя комиссия (рабочая группа). В состав этой комиссии (группы) включаются представители подразделения ИБ, правового обеспечения, должностные лица - обладатели информационных ресурсов ИСПДн.

    Для придания необходимого статуса рабочей группе могут издаваться соответствующие распоряжения руководителя Росреестра/территориального органа Росреестра, в которых, в частности, даются указания всем начальникам структурных подразделений центрального аппарата Росреестра/территориального органа Росреестра об оказании содействия и необходимой помощи в работе комиссии (рабочей группе) при проведении работ. Для оказания помощи на время работы группы в подразделениях начальниками этих структурных подразделений выделяются работники, владеющие детальной информацией по вопросам обработки ПДн в данных подразделениях.

    Проведение предпроектного обследования ИСПДн, разработка и реализация СЗПДн могут осуществляться как работниками центрального аппарата/территориального органа Росреестра (специалистами по информационной безопасности и информационным технологиям центрального аппарата/территориального органа Росреестра), так и на договорной основе с другими специализированными организациями, имеющими соответствующие лицензии на деятельность по технической защите конфиденциальной информации, по согласованию с Росреестром результатов работ данными организациями в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд». Научно-техническое и методическое руководство, непосредственная организация работ по созданию (модернизации) СЗПДн и контроль за эффективностью использования предусмотренных мер возлагается на специалиста по информационной безопасности (подразделение ИБ) в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

    В случае разработки СЗПДн или ее отдельных компонентов специализированными организациями подразделение ИБ отвечает за организацию и проведение мероприятий по защите информации. Разработка, внедрение и эксплуатация СЗПДн осуществляются во взаимодействии разработчика с подразделением ИБ.

    Контроль за реализацией проектных решений возлагается на заместителя руководителя Росреестра и заместителей руководителя территориального органа Росреестра, отвечающих за ИТ.

    2.1. Порядок определения защищаемой информации и классификации ИСПДн

    Внутренней комиссией (рабочей группой)*(1). образованной приказом Росреестра (территориального органа Росреестра), для каждой ИСПДн определяется перечень ПДн, уточняются цели и основание обработки ПДн, а также срок хранения и условия прекращения обработки.

    Целью классификации ИС Росреестра как ИСПДн является определение по её результатам перечня обоснованных организационных и технических мероприятий, позволяющих выполнить требования по обеспечению безопасности ПДн с учётом особенностей конкретной ИСПДн. Классификация может проводиться на этапе создания ИС или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИС).

    Классификация ИСПДн осуществляется в соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

    Классификация ИСПДн проводится внутренней комиссией (рабочей группой) и включает в себя следующие этапы:

    - сбор и анализ исходных данных по ИС;

    - присвоение ИС соответствующего класса и его документальное оформление.

    При проведении классификации ИСПДн внутренней комиссией (рабочей группой) определяется:

    - заданные оператором (Росреестр) характеристики безопасности ПДн, обрабатываемых в ИС;

    - наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена;

    - режим обработки ПДн;

    - режим разграничения прав доступа пользователей ИС;

    - местонахождение технических средств ИС.

    В случае выделения в составе ИС подсистем, каждая из которых является ИС, ИС в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем, если данные ИС не разделены между собой МЭ.

    Предложения комиссии (рабочей группы) по отнесению ИС к определенному классу согласовываются с оператором информационных ресурсов (ИР) ИСПДн.

    Результаты классификации ИСПДн Росреестра оформляются актом, утверждаемым руководителем Росреестра/территориального органа Росреестра, в соответствии с Приложением № 1 к Специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К), утвержденным приказом Гостехкомиссии России от 30.08.2002 № 282. Сформированные по результатам классификации материалы являются неотъемлемой частью организационно-распорядительной документации ИСПДн и относятся к информации конфиденциального характера. Оригиналы организационно-распорядительной документации ИСПДн хранятся у лица, ответственного за организацию работ по защите ПДн.

    Класс ИСПДн может быть пересмотрен комиссией (рабочей группой) в установленном порядке в соответствии с требованиями приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» в следующих случаях:

    - на основе результатов проведенного анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИС;

    - по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в ИС.

    2.2. Порядок разработки, ввода в действие и эксплуатации СЗПДн

    Предусматриваются следующие стадии разработки и сопровождения СЗПДн:

    - стадия проектирования (разработки проектов) и реализации ИСПДн;

    - стадия ввода в действие СЗПДн.

    2.2.1. Предпроектная стадия

    На предпроектной стадии проводится предпроектное обследование ИСПДн и разработка технического (частного технического) задания на создание СЗПДн.

    Выполнение данных работ может осуществляться на договорной основе специализированной сторонней организацией в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд», имеющей соответствующую лицензию на деятельность по технической защите конфиденциальной информации.

    Условия соблюдения конфиденциальности специалистами привлекаемой специализированной сторонней организации при проведении работ оформляются в рамках государственного контракта в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд».

    Нумерация подразделов приводится в соответствии с источником

    2.2.1. Стадия проектирования и реализации СЗПДн

    Проектирование (разработка проектов) и реализация СЗПДн проводится на основании требований, изложенных в техническом (частном техническом) задании на разработку СЗПДн, а также в соответствии с требованиями приказа Росреестра от 14.06.2011 № П/217 «Об утверждении порядка организации процессов жизненного-цикла программных средств информационных систем и информационных технологий Федеральной службы государственной регистрации, кадастра и картографии». Выбор исполнителя для разработки проекта (или раздела проекта) на создание СЗПДн в составе ИСПДн осуществляется руководителем подразделения ИБ и утверждается руководителем Росреестра/территориального органа Росреестра.

    При разработке СЗПДн в составе ИСПДн проводятся следующие мероприятия:

    - разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;

    - разработка раздела технического проекта на ИСПДн в части защиты информации;

    - проведение строительно-монтажных работ в соответствии с проектной документацией;

    - использование серийно выпускаемых технических средств обработки, передачи и хранения информации;

    - разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

    - использование сертифицированных технических, программных и программно-технических СЗИ и их установка;

    - сертификация по требованиям безопасности информации программных СЗИ в случае, если на рынке отсутствуют требуемые сертифицированные СЗИ;

    - разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;

    - определение подразделений и назначение лиц, ответственных за эксплуатацию СЗИ, с их обучением по направлению безопасности ПДн;

    - разработка рабочей, эксплуатационной документации на СЗПДн, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

    - выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.

    Проектная документация подлежит согласованию с начальником Отдела ИБ Росреестра/территориального органа Росреестра.

    2.2.2. Стадия ввода в действие СЗПДн

    На стадии ввода в действие СЗПДн выполняются следующие мероприятия:

    - опытная эксплуатация средств защиты в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки технологического процесса обработки (передачи) информации;

    - приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;

    - организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;

    - оценка соответствия ИСПДн требованиям безопасности ПДн.

    Ввод в эксплуатацию СЗПДн осуществляется на основании приказа руководителя Росреестра/территориального органа Росреестра, который издается на основании положительных результатов оценки соответствия ИСПДн Росреестра/территориального органа Росреестра требованиям безопасности ПДн.

    Эксплуатация СЗПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требований и положений, изложенных в настоящем документе.

    При определении порядка проведения технического обслуживания и ремонтных работ в СЗПДн учитывается требование исполнения данных работ только уполномоченными работниками Росреестра/территориального органа Росреестра (или в их присутствии), назначенными ответственными за обслуживание (сопровождение) СЗПДн.

    Все процедуры, связанные с изменением конфигурации СЗПДн, проведением технического обслуживания и ремонтных работ на технических средствах СЗПДн предусматривают документирование объемов и сроков выполненных работ, а также лиц (организаций), проводивших эти работы.

    2.3. Порядок привлечения структурных подразделений Росреестра и специализированных сторонних организаций к разработке и эксплуатации ИСПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн

    Для организации и обеспечения безопасности ПДн при их обработке в ИСПДн ответственным структурным подразделением за обеспечение безопасности ПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается подразделение ИБ Росреестра. В территориальных органах Росреестра ответственными за обеспечение безопасности ПДн назначаются подразделения ИБ.

    Подразделение ИБ обеспечивает методическое руководство, разработку требований к мерам защиты ИСПДн Росреестра/территориального органа Росреестра и контроль за эффективностью использования предусмотренных мер защиты информации.

    Подразделение ИБ обеспечивает подготовку предложений по совершенствованию и реализации положений Политики безопасности информации и контролирует выполнение установленных требований в структурных подразделениях Росреестра и территориальных органов Росреестра.

    Подразделение ИБ осуществляет следующие основные функции:

    - разрабатывает предложения по определению класса защищенности объектов ИСПДн и автоматизированной системы (АС);

    - участвует в организации работ по выявлению актуальных угроз безопасности ПДн;

    - осуществляет методическое руководство и участвует в разработке (согласовании) конкретных требований по защите ПДн и разработке технического (частного технического) задания на создание СЗПДн;

    - согласовывает выбор конкретных средств обработки ПДн, технических и программных средств защиты;

    - осуществляет контроль реализации проектных решений на создание СЗПДн;

    - участвует в организации работ по оценке соответствия ИСПДн предъявляемым требованиям по обеспечению безопасности ПДн;

    - участвует в организации разработки организационно-распорядительной документации по защите информации в ИСПДн;

    - проводит контроль требуемого уровня обеспечения защищенности ПДн при эксплуатации СЗПДн, в том числе контроль соблюдения условий использования СЗИ;

    - участвует в организации обучения должностных лиц Росреестра и территориальных органов Росреестра, ответственных за эксплуатацию СЗИ, по направлению обеспечения безопасности ПДн;

    - участвует в организации охраны и физической защиты помещений Росреестра и территориальных органов Росреестра, в которых размещаются средства обработки ПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;

    - оказывает методическую помощь должностным лицам территориально удаленных подразделений территориальных органов Росреестра, назначенным ответственными за обеспечение безопасности ПДн.

    Подразделение ИТ разрабатывает правила работы с информацией, техническими средствами и правила использования ПДн в соответствии с возможностями, функциями, предназначением и степени защищенности этих средств, ресурсов и требованиям к защите и доступности ПДн, осуществляет предоставление ИТ-сервисов всем структурным подразделениям Росреестра и его территориальных органов, отвечает за их целостность и доступность, обеспечивает разграничение доступа к ПДн в процессе их использования, контроль над ходом информационных процессов.

    Привлечение для разработки СЗПДн или ее отдельных компонентов сторонних специализированных организаций осуществляется в соответствии с порядком, устанавливаемым нормативными и организационно-распорядительными документами ФСТЭК и ФСБ России.

    В случае привлечения для обеспечения безопасности ПДн сторонних специализированных организаций в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» рекомендуется выполнение следующих условий:

    - наличие у организации лицензии на право проведения работ по технической защите конфиденциальной информации;

    - оформление соглашения о неразглашении конфиденциальных сведений;

    - проведение инструктажа исполнителей работ по вопросам ИБ;

    - другие условия, устанавливаемые соответствующими нормативными и организационно-распорядительными документами.

    При привлечении сторонних специализированных организаций работникам следует учитывать следующие функции в техническом задании:

    а) на предпроектной стадии:

    - уточнение перечня ПДн, подлежащих защите;

    - определение условий расположения ИСПДн относительно границ контролируемой зоны ;

    - определение конфигурации и топологии ИСПДн в целом, и ее отдельных компонент, физические, функциональные и технологические связи как внутри ИСПДн, так и с другими системами различного назначения;

    - определение технических средств и систем, включаемых в состав ИСПДн, условий их расположения, общесистемных и прикладных программных средств;

    - определение режимов обработки ПДн в ИСПДн;

    - разработка предложений по уточнению класса защищенности ИСПДн;

    - уточнение степени участия работников в обработке ПДн, характера их взаимодействия между собой;

    - определение (уточнение) угроз безопасности ПДн с учётом конкретных условий функционирования ИСПДн, разработка проекта частной модели угроз;

    - участие в разработке (согласовании) конкретных требований по защите ПДн и разработке технического (частного технического) задания на создание СЗПДн.

    б) на стадии проектирования:

    - разработка технического проекта на создание СЗПДн в соответствии с требованиями Руководящих документов ФСТЭК России и ФСБ России;

    - монтажные работы в соответствии с проектной документацией;

    - использование сертифицированных технических, программных и программно-технических СЗИ и их установка;

    - организация сертификации по требованиям безопасности информации программных СЗИ в случае, когда на рынке отсутствуют требуемые сертифицированные СЗИ;

    - разработка разрешительной системы доступа пользователей к ПДн, обрабатываемым в ИСПДн;

    - разработка (в согласованном объеме) эксплуатационной документации на СЗПДн.

    в) на стадии ввода СЗПДн в эксплуатацию:

    - предварительные испытания и опытная эксплуатация СЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

    - приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;

    - оценка соответствия ИСПДн требованиям безопасности ПДн.

    3. Основные требования и правила по обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра

    Обеспечение безопасности ПДн при их обработке в ИСПДн Росреестра достигается применением организационных и технических мер, причем в интересах обеспечения безопасности в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации.

    Основными направлениями защиты информации (ПДн) являются:

    - обеспечение защиты информации (ПДн) от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет несанкционированного доступа (НСД) и специальных воздействий;

    - обеспечение защиты информации (ПДн) от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

    Основными мерами защиты информации (ПДн) являются:

    - реализация разрешительной системы допуска пользователей (обслуживающего персонала) к ИР, ИС и связанным с ее использованием работам, документам;

    - ограничение доступа пользователей в помещения, где размещены технические средства (ТС), позволяющие осуществлять обработку ПДн, а также хранятся носители информации;

    - разграничение доступа пользователей и обслуживающего персонала к ИР, программным средствам обработки (передачи) и защиты информации;

    - регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа (НСД) и действий пользователей, обслуживающего персонала и посторонних лиц;

    - учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

    - резервирование ТС, дублирование массивов и носителей информации;

    - использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия требованиям безопасности информации;

    - использование защищенных каналов связи;

    - размещение ТС, позволяющих осуществлять обработку ПДн в пределах охраняемой территории;

    - использование ТС, удовлетворяющих требованиям стандартов по электромагнитной совместимости, безопасности, санитарным нормам, предъявляемым к видеодисплейным терминалам;

    - размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах охраняемой территории;

    - обеспечение развязки цепей электропитания ТС с помощью защитных фильтров, блокирующих (подавляющих) информационный сигнал;

    - обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных ТС и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация;

    - размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;

    - организация физической защиты помещений и собственно ТС, позволяющих осуществлять обработку ПДн;

    - предотвращение внедрения в ИС вредоносных программ (программ-вирусов) и программных закладок.

    Для обеспечения безопасности ПДн от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД в зависимости от класса ИСПДн, заданных характеристик безопасности обрабатываемых ПДн, угроз безопасности ПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режимов обработки ПДн в рамках СЗИ от НСД реализуются функции управления доступом, регистрации и учёта, обеспечения целостности, анализа защищённости, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

    Перечень мер по защите информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи применяются по решению руководителя Росреестра/территориального органа Росреестра.

    Применяемые СЗИ учитываются в Журнале учета СЗИ. Форма Журнала приведена в Приложении (см. Приложение Ж ). В случае проведения аттестации ИСПДн учет применяемых технических СЗИ ведется в документе «Технический паспорт ИСПДн» в соответствии с требованиями СТР-К*(2) .

    3.1. Требования по организации разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации

    Данный раздел Положения регламентирует порядок взаимодействия подразделений Росреестра и его территориальных органов по обеспечению безопасности ПДн при организации разрешительной системы доступа к сервисам и ресурсам ИСПДн Росреестра.

    Разрешительная система доступа к обрабатываемой в ИСПДн информации предусматривает установление единого порядка обращения со сведениями, содержащими ПДн клиентов и работников Росреестра и его территориальных органов, и их носителями, определяет степень ограничения на доступ к данной информации и степень ответственности за сохранность предоставленной информации.

    Организация разрешительной системы доступа относится к основным вопросам управления обеспечением безопасности ПДн и включает:

    - распределение функций управления доступом к данным и их обработкой между должностными лицами;

    - определение порядка изменения правил доступа к защищаемой информации;

    - определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;

    - контроль функционирования разрешительной системы доступа и расследование фактов неправомерного доступа лиц к защищаемой информации, в случае выявления таковых;

    - оценку эффективности проводимых мер по исключению утечки информации;

    - организацию деятельности должностных лиц, ответственных за подготовку предложений о внесении изменений в должностные обязанности и иные документы, определяющие задачи и функции работников ИСПДн Росреестра;

    - разработку внутренних организационно-распорядительных документов, определяющих порядок реализации и функционирования разрешительной системы доступа.

    Основные условия правомерного доступа работников Росреестра и его территориальных органов к обрабатываемой в ИСПДн Росреестра информации включают в себя:

    - подписание работником Росреестра и его территориальных органов обязательства о неразглашении конфиденциальной информации*(3) ;

    - наличие у работника Росреестра и его территориальных органа «оформленного в установленном порядке права допуска к ПДн, обрабатываемым в ИСПДн Росреестра»;

    - наличие утвержденных в соответствии с трудовым законодательством Российской Федерации, законодательством о государственной гражданской службе Российской Федерации должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации.

    Лица, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании списка, утвержденного руководителем Росреестра (руководителем территориального органа Росреестра). Форма списка лиц, допущенных к ПДн, обрабатываемым в ИСПДн, приведена в Приложении (см. Приложение Б ). Права доступа работников к защищаемой информации определяются в Матрице доступа (см. Приложение В ).

    Для обеспечения персональной ответственности за свои действия каждому пользователю ИСПДн, допущенному к работе с защищаемой информацией в ИСПДн, присваивается уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя («группового имени») запрещается.

    При регистрации и назначении прав доступа пользователей ИСПДн Росреестра выполняются следующие требования:

    - каждому пользователю присваивается уникальный идентификатор пользователя, по которому его можно однозначно идентифицировать;

    - учетные записи всех пользователей привязываются к конкретным автоматизированным рабочим местам (АРМ), за исключением учетных записей технического персонала, обслуживающего компоненты ИСПДн Росреестра;

    - при регистрации пользователей проводится проверка соответствия уровня доступа возложенным на пользователя задачам (вмененным обязанностям);

    - назначенные пользователю права доступа документируются;

    - пользователь знакомится под роспись с предоставленными ему правами доступа и порядком его осуществления;

    - в ИСПДн предусматривается разрешение доступа к сервисам только аутентифицированным пользователям;

    - при внесении нового пользователя разрабатывается и обновляется формальный список всех пользователей, зарегистрированных для работы в ИСПДн;

    - при изменении должностных обязанностей (увольнении) пользователя проводится немедленное исправление (аннулирование) прав его доступа;

    - администраторами ИСПДн проводится удаление всех неиспользуемых учетных записей. Предусмотренные в системе запасные идентификаторы недоступны другим пользователям.

    Контроль выполнения требований разрешительной системы доступа к ПДн возлагается на администратора безопасности информации (администратора безопасности). Подробное описание обязанностей администратора безопасности приведены в Приложении (см. Приложение Г ).

    Допуск к ИР ИСПДн сторонних организаций (правоохранительных органов, судебных органов, органов статистики, органов исполнительной и законодательной власти субъектов Российской Федерации) регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение информации, а также настоящим Положением.

    Порядок допуска к ИР ИСПДн сторонних организаций, выполняющих работы на договорной основе, определяется в договоре на выполнение работ (оказание услуг) в соответствии с требованиями Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд». Обязательным условием договора является заключение соглашения о конфиденциальности.

    Подробное описание порядка организации разрешительной системы доступа приведено в Приложении (см. Приложение А ).

    3.2. Требования к проведению мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где размещены средства ИСПДн

    Данный раздел Положения содержит общие требования к проведению мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где размещены ИСПДн Росреестра:

    1. Организуется контроль доступа работников и посетителей в помещения Росреестра, его территориальных органов, в которых установлены ТС ИСПДн и осуществляется обработка ПДн, а также хранятся носители ПДн.

    2. Доступ работников структурных подразделений центрального аппарата Росреестра, его территориальных органов в помещения, в которых осуществляется обработка ПДн, организовывается на основании списков, утверждаемых руководителем Росреестра/территориального органа Росреестра. Доступ других работников центрального аппарата Росреестра, его территориальных органов и посетителей в эти помещения осуществляется в сопровождении ответственных должностных лиц. При этом время и дата их посещения и выхода протоколируются подразделением по охране объекта в специальном журнале учета посетителей или с применением ТС контроля физического доступа.

    3. Посетители получают доступ только в соответствии с необходимостью и ознакамливаются с инструкциями по безопасности и по действиям в аварийных ситуациях.

    4. Для защиты помещений, в которых расположены ТС ИСПДн, принимаются меры для минимизации воздействий огня, дыма, воды, пыли, взрыва, химических веществ, а также кражи.

    5. ТС ИСПДн и размещенное совместно с ними вспомогательное оборудование подвергаются регулярным осмотрам с целью выявлений изменения конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.).

    6. Обеспечивается размещение устройств вывода информации средств вычислительной техники, дисплеев АРМ ИСПДн таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПДн.

    7. Работникам Росреестра запрещается подключать к сети неучтенные информационно-телекоммуникационные средства.

    3.3. Правила обеспечения безопасности ПДн при использовании съемных носителей ПДн 3.3.1. Правила обращения со съемными носителями ПДн

    При обращении со съемными носителями ПДн выполняются следующие основные правила:

    - носители ПДн учитываются и выдаются пользователям под роспись и защищены;

    - носители ПДн, срок эксплуатации которых истек, уничтожаются в установленном порядке;

    - для выноса носителей ПДн за пределы объектов Росреестра и территориальных органов Росреестра*(4) дается специальное разрешение, а факт выноса фиксируется в специальной базе данных;

    - все носители ПДн хранятся в безопасном месте в соответствии с требованиями по их эксплуатации.

    Ответственным за хранение, учет и выдачу съемных носителей ПДн является ответственный работник Отдела ИБ Росреестра, его территориального органа.

    3.3.2. Порядок учета носителей информации

    Все находящиеся на хранении и в обращении съемные носители ПДн учитываются в Журнале учета носителей ПДн. Форма Журнала приведена в приложении (см. Приложение З ).

    Каждый носитель, с записанными на нем ПДн, имеет этикетку, на которой указывается метка съемного носителя и гриф.

    Пользователи ИСПДн для выполнения работ получают учтенный съемный носитель от ответственного работника Отдела ИБ Росреестра. При получении делаются соответствующие записи в Журнале учета.

    После окончания работ пользователь ИСПДн сдает съемный носитель в помещение для хранения, о чем делается соответствующая запись в Журнале учета. При наличии личного сейфа у пользователя ИСПДн допускается хранение учтенных съемных носителей в личных сейфах, опечатанных печатью пользователя ИСПДн.

    3.3.3. Порядок уничтожения носителей ПДн

    Носители ПДн, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.

    Уничтожение носителей ПДн осуществляется комиссией по уничтожению, назначенной руководителем Росреестра/территориального органа Росреестра по представлению руководителя Отдела ИБ (подразделения, отвечающее за безопасность информации).

    Уничтожение магнитных, оптических, магнитооптических и электронных носителей информации производится путем их физического разрушения. Перед уничтожением носителя информация с него стирается (уничтожается), если это позволяют физические принципы работы носителя.

    Бумажные носители данных уничтожаются на специальных бумагорезательных устройствах (шредерах).

    Перед утилизацией оборудования, участвующего в обработке ПДн, работником подразделения ИТ осуществляется проверка всех его компонентов, включая носители информации (жесткие диски) на отсутствие ПДн и лицензированного программного обеспечения (ПО).

    По результатам уничтожения комиссией составляется Акт уничтожения носителей ПДн, который хранится в помещении для хранения носителей ПДн, уничтоженные носители ПДн (утилизированное оборудование) снимается с материального учета.

    3.4. Порядок и правила использования паролей пользователей

    Организационное и техническое обеспечение смены, прекращения действия паролей в ИСПДн Росреестра, процессов генерации и использования возлагается в пределах своих полномочий на работников подразделения ИТ и администратора безопасности, сопровождающего механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

    При использовании паролей в ИСПДн Росреестра выполняются следующие правила:

    - пароли обязаны меняться с установленной периодичностью в соответствии с требованиями организационно-распорядительного документа Росреестра;

    - пароль имеет не менее 6 символов и содержать буквенные и цифровые символы;

    - обязательно применение индивидуальных паролей;

    - применение групповых паролей не допускается;

    - при создании пароля пользователя администратором предусмотривается его автоматическое изменение самим пользователем после первого же его входа в ИСПДн Росреестра;

    - для предотвращения повторного использования паролей ведется их учет (запись) за предыдущие 12 месяцев;

    - при вводе пароль не выдается на монитор компьютера в явном виде;

    - пароли могут храниться только на АРМ владельца пароля в зашифрованном виде с использованием стойких алгоритмов шифрования. Файл с паролями хранится отдельно от системных приложений;

    - рекомендуется использование возможностей операционной системы (ОС) по контролю за периодичностью смены (не реже 1 раза в 3 месяц), составу символов и недопущению повторений паролей.

    Контроль за действиями пользователей ИСПДн Росреестра при работе с паролями возлагается на администратора безопасности в пределах своих полномочий.

    При использовании паролей запрещается:

    - использовать в качестве пароля свои имя, фамилию, дату рождения, имена родственников, кличку собаки и т. п. равно как и обычные слова;

    - использовать в качестве пароля русское слово, введенное при нахождении клавиатуры в латинском регистре;

    - использовать в качестве пароля легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ), а также общепринятые сокращения;

    - использовать в качестве пароля «пустой» пароль, имя входа в систему, а также выбирать пароли, которые уже использовались ранее;

    - использовать один и тот же пароль при загрузке АРМ и при работе в ИСПДн Росреестра;

    - записывать пароль на неучтённых бумажных носителях информации;

    - разглашать кому бы то ни было свои персональные пароли доступа.

    Владельцы паролей ознакомливаются с перечисленными требованиями организации парольной защиты в Росреестре с проставлением собственноручно подписи в листе ознакомления с соответствующей документированной процедурой и предупреждаются об ответственности за использование паролей, не соответствующих установленным требованиям, а также за разглашение парольной информации.

    3.5. Обязанности работников Росреестра, его территориальных органов при возникновении инцидентов ИБ

    Настоящий раздел регламентирует взаимодействие подразделений Росреестра, его территориальных органов при возникновении нештатных ситуаций.

    При возникновении инцидентов ИБ работник, обнаруживший инцидент, немедленно ставит в известность своего непосредственного руководителя и уполномоченного работника подразделения ИБ и в установленном порядке оформляет отчёт.

    Руководитель подразделения ИБ проводит предварительный анализ ситуации.

    По факту возникновения инцидента ИБ по решению руководителя подразделения ИБ Группой реагирования на инциденты ИБ*(5) проводится выяснение причин его возникновения. Результаты расследования фиксируются в акте. К акту прилагаются (при наличии) поясняющие материалы (копии экрана, распечатка журнала событий и др.) и при выявлении виновных докладывается руководителю Росреестра/территориального органа.

    Рекомендуемый состав Группы реагирования на инциденты ИБ и общие обязанности членов Группы реагирования на инциденты ИБ:

    - работники подразделения ИТ - обеспечение координационной, административной, экспертной и технологической деятельности;

    - работники подразделения ИБ- обеспечение координационной, административной, экспертной деятельности (в рамках своей компетенции);

    - работники правового обеспечения - обеспечение экспертной и нормативно-правовой деятельности;

    - начальники профильных структурных подразделений - поддержка обеспечения административной, экспертной и технологической деятельности;

    - внешние эксперты (при необходимости) - обеспечение консультативной, экспертной и технологической деятельности.

    Инструкция о действиях лиц, допущенных к информации, содержащей ПДн, в случае нештатных ситуаций приведена в Приложении (см. Приложение И ).

    3.6. Требования к резервированию ИР

    Резервное копирование защищаемой информации (ПДн) применяется для оперативного восстановления данных в случае утери или по другим причинам.

    В состав ИР, подлежащих резервному копированию, в обязательном порядке включаются ИР, являющиеся объектом защиты в Росреестре и его территориальных органах.

    При организации резервирования ИР обеспечивается выполнение следующих требований:

    - резервные копии ИР и инструкции по их восстановлению хранятся в специально выделенном месте, территориально отдаленном от места хранения основной копии информации;

    - к резервным копиям применяется комплекс физических и организационных мер защиты;

    - носители, на которые осуществляется резервное копирование, регулярно проверяются на отсутствие сбоев;

    - применяемая система резервного копирования обеспечивает производительность, достаточную для сохранения информации, в установленные сроки и с заданной периодичностью;

    - предусмотрены регулярная проверка процедур восстановления и практический тренинг работников по восстановлению данных.

    Резервное копирование информации осуществляется работниками подразделения ИТ в пределах своих полномочий в соответствии с графиком резервного копирования. Допускается осуществление резервного копирования в автоматизированном режиме.

    График резервного копирования составляется для каждого вида информации, подлежащей периодическому резервному копированию, утверждается руководителем подразделения ИТ и согласовывается с руководителем подразделения ИБ. Периодичность проведения резервного копирования устанавливается Графиком резервного копирования не реже одного раза в неделю и может осуществляться ежедневно (в автоматизированном режиме).

    Резервное копирование информации производится в соответствии с документацией на используемое ПО.

    Программно-аппаратные средства, обеспечивающие проведение резервного копирования и носители, на которые осуществляется резервное копирование, не реже одного раза в месяц проверяются на отсутствие сбоев работниками подразделения ИТ в соответствии с документацией на программно-аппаратные средства с отметкой в Журнале проверки работоспособности системы резервного копирования.

    Резервные копии данных хранятся вместе с инструкцией по восстановлению данных из резервных копий в отдельном помещении от используемых данных.

    Восстановление данных из резервной копии производится работниками подразделения ИТ на основании Заявки начальника структурного подразделения - обладателя ИР, согласованной с руководителем подразделения ИБ. Заявка может предоставляться в электронной форме.

    Восстановление данных из резервных копий осуществляется в соответствии с документацией на используемое ПО в максимально сжатые сроки, ограниченные техническими возможностями системы, но не более одного рабочего дня.

    Инструкция по организации резервного копирования приведена в Приложении (см. Приложение К ).

    3.7. Правила защиты ИСПДн от вредоносных программ

    При использовании в ИСПДн средств антивирусной защиты и защиты от вредоносных программ выполняются следующие организационные меры:

    - использование съемных носителей ПДн пользователя ИСПДн на других компьютерах только с механической защитой от записи;

    - запрет на использование посторонних съемных носителей ПДн при работе в ИСПДн;

    - запрет на передачу съемных носителей ПДн посторонним лицам

    - запрет на запуск программ с внешних съемных носителей информации при работе в ИСПДн;

    - запрет на несанкционированное использование отчуждаемых носителей информации (оптических дисков, флэш-карт и т. п.);

    - использование в ИСПДн только дистрибутивов программных продуктов, приобретенных у официальных дилеров фирм-разработчиков этих продуктов;

    - обязательная проверка всех программных продуктов;

    - проверка всех программных файлов и файлов документов, полученных по электронной почте, специальными антивирусными средствами;

    - систематическая проверка содержимого дисков файловых хранилищ обновленными версиями антивирусных программ;

    - контроль и обновление списка разрешенных ссылок на веб-ресурсы сети Интернет.

    Ответственность за эксплуатацию средств антивирусной защиты и защиты от вредоносных программ возлагается:

    - на работников подразделения ИТ в части наличия антивирусного ПО на клиентских рабочих станциях и использования данного ПО пользователями;

    - на работников подразделения ИБ в части централизованного управления СЗИ.

    Инструкция по проведению антивирусного контроля приведена в Приложении (см. Приложение Л ).

    3.8. Требования по обеспечению безопасности при работе в сети Интернет

    Доступ в сеть Интернет и другие глобальные сети пользователям предоставляется исключительно в целях повышения эффективности выполнения ими свои служебных обязанностей.

    Организация доступа пользователей ИСПДн к сети Интернет осуществляется работником подразделения ИТ на основании мотивированного запроса руководителя подразделения Росреестра и/или его территориального органа, согласованного с подразделением ИБ. Установка дополнительного оборудования и ПО для осуществления доступа пользователей ИСПДн Росреестра осуществляется в порядке, установленным настоящим Положением для внесения изменений в ПО и аппаратные средства Росреестра. Запрещается использование подключений к сети Интернет и каналов связи, использование которых не согласовано с подразделением ИТ. Подразделениям по защите государственной тайны доступ к ресурсам сети Интернет запрещен.

    Пользователи ИСПДн Росреестра могут использовать сети Интернет в качестве:

    - транспортной среды при обмене информацией между несколькими территориально разнесенными элементами ИСПДн или другими ИС (транспортная задача);

    - средства предоставления открытой общедоступной информации, содержащейся в ИР Росреестра, внешнему абоненту (портальная задача);

    - средства получения необходимой пользователям ИСПДн Росреестра информации, содержащейся в ИР сети Интернет или других корпоративных сетей (информационная задача).

    Подразделение ИТ может ограничивать доступ к ресурсам сети Интернет, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены международным и российским законодательством, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.

    При работе с ресурсами сети Интернет запрещается:

    - разглашение конфиденциальной информации, ставшей известной работнику Росреестра, его территориального органа по служебной необходимости либо иным путем;

    - распространение защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны;

    - публикация, загрузка и распространение материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления НСД, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения НСД к платным ресурсам в сети Интернет, а также размещение ссылок на вышеуказанную информацию;

    - загрузка и запуск исполняемых либо иных файлов без предварительной проверки на наличие вирусов установленным антивирусным пакетом;

    - использование анонимных прокси-серверов;

    - доступ к ресурсам сети Интернет, содержащим развлекательную (в том числе музыкальные, видео, графические и другие файлы, не связанные с производственной деятельностью), эротическую или порнографическую информацию.

    Вся информация о ресурсах, посещаемых работниками Росреестра, его территориальных органов, протоколируется.

    Уполномоченный работник подразделения ИБ обязан проводить анализ использования ресурсов сети Интернет и в случае необходимости представлять отчет об использовании Интернет-ресурсов работниками Росреестра и/или территориальных органов Росреестра руководителю подразделения ИБ.

    В случае обнаружения значительных отклонений в параметрах работы средств обеспечения доступа к ресурсам сети Интернет от среднестатистических значений немедленно сообщается руководителю подразделения ИБ для принятия последующих решений.

    Руководители подразделений вправе запросить от подразделения ИБ отчет об использовании ресурсов сети Интернет работниками своего подразделения.

    При нарушении работником Росреестра, его территориальных органов Правил работы в сети Интернет либо возникновении нештатных ситуаций доступ к ресурсам сети Интернет блокируется уполномоченным работником подразделения ИТ с последующим уведомлением руководителя подразделения ИТ.

    Электронная почта в Росреестре и территориальных органах Росреестра является средством коммуникации, распределения информации и управления процессами в производственных целях: повышения эффективности труда работников Росреестра и территориальных органов Росреестра и экономии ее ресурсов. Корпоративная (внутренняя) электронная почта Росреестра и территориальных органов Росреестра предназначена исключительно для использования в служебных целях. Использование личной почты в служебных целях запрещено.

    Организацией и обеспечением порядка работы электронной почты в Росреестре и территориальных органов Росреестра занимается подразделение ИТ. Ответственность за использование электронной почты возлагается на работников подразделения ИТ в рамках их должностных обязанностей.

    При работе с корпоративной электронной почтой Росреестра пользователь учитывает следующие принципиальные положения:

    - электронная почта не является средством гарантированной доставки отправленного сообщения до адресата;

    - внутренняя электронная почта, организованная с применением средств криптографической защиты, является средством передачи информации, обеспечивающим конфиденциальность передаваемой информации. Передача информации ограниченного доступа осуществляется только в зашифрованном виде.

    3.9. Правила использования ПО и аппаратных средств ИСПДн

    Настоящий раздел регламентирует взаимодействие подразделений Росреестра и территориальных органов Росреестра по обеспечению безопасности информации при проведении модификаций ПО, технического обслуживания и ремонта средств вычислительной техники (СВТ) ИСПДн Росреестра. На АРМ и сервера ИСПДн без дополнительного согласования устанавливается ПО, необходимое для оказания государственных услуг заявителю, в частности ПК ЕГРП, ПК ПВД и другое.

    3.9.1. Права на внесение изменений в ПО и аппаратные средства ИСПДн Росреестра

    Все изменения конфигурации ТС и программных средств рабочих станций (АРМ) и серверов ИСПДн, обрабатывающих ПДн, производятся только на основании заявок начальников структурных подразделений, согласованных с подразделением ИБ и подразделением ИТ.

    Право внесения изменений в конфигурацию программно-аппаратных средств информационных узлов (рабочих станций, серверов) и телекоммуникационного оборудования, обрабатывающего ПДн, предоставляется:

    - в отношении системных и прикладных программных средств, а также в отношении аппаратных средств - уполномоченным работникам подразделения ИТ;

    - в отношении программно-аппаратных СЗИ - администратору безопасности и уполномоченным работникам подразделения ИБ;

    - в отношении программно-аппаратных средств телекоммуникаций - уполномоченным работникам подразделения ИТ.

    Изменение конфигурации аппаратно-программных средств защищенных рабочих станций (АРМ) и серверов кем-либо, кроме уполномоченных работников перечисленных подразделений, запрещено.

    Право внесения изменений в конфигурацию программно-аппаратных средств рабочих станций (серверов) локальной вычислительной сети, не обрабатывающих ПДн, предоставляется работникам подразделения ИТ (на основании служебных записок начальников структурных подразделений на имя руководителя подразделения ИТ).

    3.9.2. Порядок внесения изменений в ПО и аппаратные средства ИСПДн Росреестра

    Для внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций ИСПДн начальник структурного подразделения, в котором вносятся изменения, подается заявка на имя руководителя подразделения ИТ, которая им рассматривается и утверждается по согласованию с руководителем подразделения ИБ.

    При необходимости планового проведения изменений (обновлений версий) ПО, заявка выпускается руководителем подразделения ИТ и, после согласования с подразделением ИБ, направляется уполномоченному работнику подразделения ИТ.

    В заявках могут быть указаны следующие виды необходимых изменений в составе программных и аппаратных средств рабочих станций и серверов подразделения:

    - установка в подразделении новой рабочей станции (АРМ) или сервера;

    - замена рабочей станции (АРМ) или сервера подразделения;

    - изъятие рабочей станции (АРМ) или сервера подразделения;

    - добавление устройства (узла, блока) в состав конкретной рабочей станции (АРМ) или сервера подразделения;

    - замена устройства (узла, блока) в составе конкретной рабочей станции (АРМ) или сервера подразделения;

    - изъятие устройства (узла, блока) из состава конкретной рабочей станции (АРМ) или сервера;

    - установка (развертывание) на конкретной рабочей станции (АРМ) или сервере программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной рабочей станции или сервере);

    - обновление (замена) на конкретной рабочей станции (АРМ) или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);

    - удаление с конкретной рабочей станции (АРМ) или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной рабочей станции).

    В заявке указываются условные наименования развернутых рабочих станций (АРМ) и серверов в соответствии с их паспортами. Программные средства указываются в соответствии с перечнем программных средств фонда алгоритмов и программ, которые используются в ИСПДн.

    Подразделение ИБ при согласовании заявки учитывает возможность совмещения решения новых задач (обработки информации) на указанных в заявке рабочих станциях (АРМ) или серверах в соответствии с требованиями по безопасности.

    Руководитель подразделения ИТ подписывает заявку после согласования с подразделением ИБ и получения (в устной форме) заключения о технической возможности осуществления затребованных изменений от уполномоченных работников подразделения ИТ.

    После этого заявка передается уполномоченному работнику подразделения ИТ для непосредственного исполнения работ по внесению изменений в конфигурацию рабочих станций (АРМ) или серверов ИСПДн.

    Начальник структурного подразделения, в котором установлены аппаратно-программные средства, подлежащие модернизации, допускает уполномоченных исполнителей подразделения ИТ и подразделения ИБ (администратора безопасности) к внесению изменений в состав аппаратных средств и ПО только по предъявлении последними подписанного задания (в заявке) на осуществление данных изменений.

    Установка, изменение (обновление) и удаление системных и прикладных программных средств производится уполномоченными работниками подразделения ИТ.

    Если рабочая станция (АРМ) или сервер обрабатывают ПДн, то установка, снятие, и внесение необходимых изменений в настройки СЗИ от НСД и средств контроля целостности файлов на рабочих станциях осуществляется уполномоченным работником подразделения ИТ под контролем администратора безопасности. Работы производятся в присутствии пользователя данной рабочей станции.

    Подготовка модификаций ПО защищенных серверов и рабочих станций, тестирование, стендовые испытания и передача исходных текстов, документации и дистрибутивных носителей программ в фонд алгоритмов и программ и другие необходимые действия производится уполномоченным работником подразделения ИТ.

    Установка или обновление подсистем ИСПДн проводится в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.

    Модификация ПО на сервере осуществляется уполномоченными работниками подразделения ИТ по согласованию с администратором безопасности.

    После установки модифицированных модулей на сервер администратор безопасности в присутствии уполномоченных работников подразделения ИТ устанавливает защиту целостности модулей на сервере (производит пересчет контрольных сумм эталонов модулей на файл-сервере с помощью специальных программных средств, прошедших оценку соответствия).

    После проведения модификации ПО на рабочих станциях уполномоченный работник подразделения ИТ проводит антивирусный контроль.

    Установка и обновление общего ПО (системного, тестового) на рабочие станции (АРМ) и серверы производится с оригинальных лицензионных дистрибутивных носителей (компакт дисков и др.), полученных установленным порядком, а прикладного ПО - с эталонных копий программных средств, полученных из фонда алгоритмов и программ.

    Все добавляемые программные и аппаратные компоненты предварительно проверяются на работоспособность, контроль наличия проверок работоспособности осуществляет подразделение ИБ.

    После установки (обновления) ПО уполномоченный работник подразделения ИТ (при использовании специализированных СЗИ от НСД - администратор безопасности) производит настройку средств управления доступом к данному программному средству и проверяет работоспособность ПО и правильность настройки СЗИ.

    После завершения работ по внесению изменений в состав аппаратных средств рабочей станции (АРМ), обрабатывающей ПДн, ее системный блок закрывается уполномоченным работником подразделения ИТ на ключ (при наличии штатных механических замков) и опечатывается (пломбируется, защищается специальной наклейкой) с возможностью постоянного визуального контроля за ее целостностью уполномоченным работником подразделения ИБ.

    Уполномоченные исполнители работ производят соответствующую запись в «Журнале фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов) структурного подразделения».

    Уполномоченный работник подразделения ИБ (администратор безопасности) проводит периодический контроль за опечатыванием узлов и блоков ИСПДн.

    На обратной стороне заявки делается отметка о выполнении и исполненная заявка передается в подразделение ИТ для хранения вместе с паспортом данной рабочей станции (сервера).

    При изъятии рабочей станции (сервера), обрабатывающей ПДн, из состава рабочих станций (серверов) структурного подразделения ее передача на склад, в ремонт или в другое структурное подразделение для решения иных задач осуществляется только после того, как уполномоченный работник подразделения ИБ снимет с данной рабочей станции (сервера) СЗИ и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется Актом о затирании остаточной информации, хранившейся на диске компьютера.

    Оригиналы заявок (документов), на основании которых производились изменения в составе ТС или программных средств рабочих станций с отметками о внесении изменений в состав программно-аппаратных средств хранятся вместе с оригиналами паспортов рабочих станций (серверов) и «Журналом фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов)» в подразделении ИТ. Копии заявок и актов хранятся в подразделении ИБ. Они используются:

    - для восстановления конфигурации рабочих станций (серверов) после аварий;

    - для контроля правомерности установки на конкретной рабочей станции (сервере) средств для решения соответствующих задач при разборе конфликтных ситуаций;

    - для проверки правильности установки и настройки СЗИ рабочих станций (серверов).

    3.10. Требования по обеспечению безопасности при применении средств криптографической защиты информации

    Для защиты информации, не содержащей сведений, составляющих государственную тайну, при применении средств криптографической защиты информации (СКЗИ) соблюдаются нормативные требования*(6). Криптографическая защита в ИСПДн Росреестра создаётся на основе сертифицированных СКЗИ, встраивание которых в ИСПДн происходит с выполнением интерфейсных и криптографических протоколов, определенных технической документацией на СКЗИ.

    В Росреестре и территориальных органах Росреестра выделяются должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности СКЗИ. Вопросы обеспечения функционирования и безопасности СКЗИ отражаются в специально разработанных документах в соответствии с требованиями регуляторов в области защиты информации, утвержденных руководителем Росреестра и руководителями территориальных органов Росреестра, с учетом эксплуатационной документации на СКЗИ.

    К работе с СКЗИ решением руководства Росреестра и территориальных органов Росреестра допускаются работники, обладающие знаниями о правилах его эксплуатации, правилах пользования, об эксплуатационной документации и прошедшие обучение работе с СКЗИ.

    Ответственное должностное лицо, уполномоченное на руководство заявленными видами деятельности со средствами СКЗИ, имеет представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и СЗИ.

    Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее помещения), обеспечивают безопасность информации, СКЗИ и криптоключей, сводят к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами.

    Порядок допуска в помещения определяется на основании инструкции «Об организации пропускного и внутриобъектового режимов на объектах Росреестра и его территориальных органов».

    При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими НСД в помещения. Эти помещения имеют прочные входные двери, на которые устанавливаются надежные замки.

    Для хранения криптоключей, нормативной и эксплуатационной документации, инсталлирующих криптосредство носителей, помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей хранятся в сейфе ответственного лица, назначаемого руководством Росреестра и территориальных органов Росреестра. Порядок охраны помещений предусматривает периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.

    Размещение и установка СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ. Системные блоки АРМ с СКЗИ оборудуются средствами контроля их вскрытия.

    Более подробно требования по обеспечению безопасности при применении СКЗИ отражены в документированной процедуре «Порядок организации работы со средствами криптографической защиты информации в «ЮТК»*(7) .

    4. Порядок организации внутреннего обучения работников правилам и мерам защиты ПДн

    Решение основных вопросов обеспечения защиты ПДн предусматривает соответствующую подготовку работников. Проведение обучения работников Росреестра и территориальных органов Росреестра позволит организовать обработку информации в соответствии с требованиями законодательства и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн и реализовать установленный комплекс организационных и технических мер по защите ПДн.

    Систему внутреннего обучения работников в области защиты ПДн составляет:

    - проведение инструктажа пользователей ИСПДн;

    - самостоятельное изучение работниками Росреестра и территориальных органов Росреестра необходимых для работы документов, средств и продуктов;

    - проведение курсов повышения квалификации государственных гражданских служащих Росреестра в области защиты персональных данных .

    В результате прохождения обучения работники Росреестра и территориальных органов Росреестра получат необходимые знания и навыки в отношении:

    - правил использования СЗИ;

    - содержания основных нормативных правовых актов, руководящих и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн;

    - основных мероприятий по организации и техническому обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра;

    - планирования, организации и контроля выполнения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн.

    4.1. Проведение инструктажа пользователей ИСПДн

    Пользователи ИСПДн, допущенные к работе с ПДн, обязаны пройти инструктаж по вопросам обеспечения безопасности ПДн с целью подтверждения своих знаний и уяснения своих обязанностей по поддержанию установленного режима защиты ПДн.

    Инструктаж представляет собой ознакомление работников Росреестра и территориальных органов Росреестра, допущенных к работе в ИСПДн, с положениями настоящего Положения и действующих нормативных документов по обеспечению безопасности информации при ее обработке в ИСПДн, в том числе и с Инструкцией пользователя ИСПДн Росреестра (см. Приложение Д ).

    Ознакомление с положениями нормативной документации работник Росреестра и территориальных органов Росреестра подтверждает своей личной подписью в журнале инструктажа, что свидетельствует о прохождении инструктажа.

    Контроль проведения инструктажа и периодическая проверка знания пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн возлагается на администратора безопасности совместно с начальниками структурных подразделений Росреестра и территориальных органов Росреестра, использующих ИСПДн. Ответственность за непосредственное проведение инструктажа возлагается на начальников структурных подразделений Росреестра и территориальных органов Росреестра.

    Работники Росреестра и территориальных органов Росреестра, не прошедшие инструктаж, к работе в ИСПДн не допускаются. Инструктаж проводится перед началом работы в ИСПДн вновь принятых на государственную гражданскую службу работников Росреестра и территориальных органов Росреестра, а также не реже одного раза в год для всех пользователей ИСПДн.

    Проверка знаний пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн проводится администратором безопасности не реже одного раза в год в ходе периодического контроля соблюдения режима безопасности информации.

    4.2. Самостоятельное изучение

    При данном виде подготовки работниками Росреестра и территориальных органов Росреестра, осуществляющими обработку ПДн, а также работниками подразделения ИТ и подразделения ИБ самостоятельно изучаются (в части касающейся):

    - руководящие и нормативно-методические документы в области обеспечения безопасности ПДн;

    - правила (инструкции) по использованию программных и аппаратных СЗИ.

    - внутренние положения (локальные акты) Росреестра, устанавливающие порядок обращения с ПДн и их защиты.

    Время для самостоятельного изучения определяется начальниками соответствующих структурных подразделений Росреестра и территориальных органов Росреестра.

    5. Ответственность должностных лиц за обеспечение безопасности ПДн, своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн

    Ответственность за обеспечение безопасности ПДн распределяется между должностными лицами Росреестра и территориальных органов Росреестра на основании настоящего Положения.

    Ответственность за организацию режима обеспечения безопасности ПДн возлагается на руководителя Росреестра, руководителей территориальных органов Росреестра и начальников структурных подразделений центрального аппарата Росреестра и территориальных органов Росреестра.

    Ответственность за своевременность и качество формирования требований по защите ПДн, за качество и научно-технический уровень разработки СЗПДн, а также контроль исполнения правил и требований, направленных на обеспечение безопасности ПДн, возлагается на работников подразделения ИБ.

    Ответственность за выполнение обязанностей по обеспечению режима безопасности ПДн, возложенных на структурные подразделения центрального аппарата Росреестра и территориальных органов Росреестра, эксплуатирующие ИСПДн, несут начальники соответствующих структурных подразделений.

    Средства информатизации, входящие в состав ИСПДн, закрепляются за ответственными должностными лицами (владельцами). Владельцем средств информатизации может быть начальник структурного подразделения или специально назначаемое должностное лицо Росреестра и территориальных органов Росреестра. На владельца средств информатизации возлагается ответственность за выполнение установленных мероприятий по защите закрепленных средств информатизации и обрабатываемых ими ПДн.

    Руководители и работники Росреестра и территориальных органов Росреестра, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную и уголовную ответственность, предусмотренную законодательством Российской Федерации.

    6. Порядок контроля за обеспечением уровня защищенности ПДн и оценки соответствия ИСПДн

    Контроль обеспечения требуемого уровня защищенности ПДн заключается в проверке выполнения требований нормативных документов по защите ПДн*(8). а также в оценке обоснованности и эффективности принятых мер. Мероприятия по контролю защищенности ПДн могут проводиться как уполномоченными работниками подразделения ИБ, так и на договорной основе сторонней организацией, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Мероприятия по контролю защищенности ПДн и оценке соответствия ИСПДн включают:

    - внутренний контроль режима безопасности ПДн (оперативный и периодический);

    - обследование защищенности ПДн с привлечением сторонней организации;

    - оценку соответствия ИСПДн требованиям безопасности ПДн.

    6.1. Внутренний контроль режима безопасности ПДн и оценки соответствия ИСПДн требованиям безопасности ПДн

    Внутренний оперативный контроль соблюдения режима безопасности ПДн проводится специалистом по информационной безопасности (администратором безопасности) ежедневно в режиме «реального времени». Внутренний контроль заключается в анализе защищенности ПДн посредством используемых в составе ИСПДн программных и программно-аппаратных средств (систем) анализа защищенности.

    В ходе проведения контроля соблюдения режима безопасности ПДн специалист по информационной безопасности (администратор безопасности):

    - осуществляет анализ лог-файлов, производимых средствами защиты и другими элементами ИСПДн (ОС, прикладные программы);

    - просматривает оповещения средств защиты ИСПДн;

    - принимает меры по результатам анализа полученных оповещений и лог-файлов.

    Внутренний периодический контроль соблюдения режима безопасности ПДн (контрольные обследования защищенности ИСПДн) организуется подразделением ИБ по планам, ежегодно утверждаемым - руководителем Росреестра (руководителем территориального органа Росреестра). Форма Плана контроля выполнения требований по обеспечению безопасности ПДн приведена в Приложении (см. Приложение Е ). По решению руководителя Росреестра (руководителя территориального органа Росреестра) внутренний контроль может проводиться во внеочередном порядке в случаях выявления нарушений безопасности ПДн с целью определения причин произошедших нарушений и разработки мер по их устранению.

    Внутренний периодический контроль заключается в оценке выполнения требований нормативных документов по обеспечению безопасности ПДн, обрабатываемых в ИСПДн.

    В ходе проведения внутреннего периодического контроля проверяются следующие вопросы:

    - соответствие состава и структуры программно-технических средств, обрабатывающих защищаемую информацию (ПДн), документированному составу и структуре средств, разрешенных для обработки такой информации;

    - знание персоналом руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях;

    - проверка наличия документов, подтверждающих возможность применения технических и программных средств вычислительной техники для обработки ПДн и применения СЗИ (сертификатов соответствия и других документов);

    - проверка правильности применения СЗИ;

    - проверка выполнения требований по условиям размещения АРМ в рабочих помещениях;

    - соответствие реального уровня полномочий по доступу к защищаемой информации (ПДн) различных пользователей установленному в списке лиц, допущенных к обработке ПДн, уровню полномочий;

    - знание инструкций по обеспечению безопасности информации пользователями ИСПДн;

    - организация хранения носителей ПДн и допуска в помещения, где размещены средства обработки и осуществляется обработка ПДн;

    - прохождение инструктажа пользователей по вопросам обеспечения безопасности ПДн и выполнение ими установленных требований.

    По фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, составляется соответствующее заключение, на основе которого впоследствии осуществляется разработка и реализация мер по предотвращению возможных опасных последствий подобных нарушений.

    Результаты контроля оформляются Актом, в котором делаются выводы о состоянии обеспечения безопасности ПДн на проверяемом объекте информатизации и приводятся рекомендации по его совершенствованию.

    6.2. Обследование защищенности ПДн внешней специализированной организацией

    Обследование защищенности ПДн внешней специализированной организацией проводится при создании ИСПДн (предпроектное обследование) или при доработке (модернизации) СЗПДн в случае, если:

    - изменился состав или структура ИСПДн или технические особенности его построения (состав или структура ПО, ТС обработки ПДн, топологии и т.п.);

    - изменился состав угроз безопасности ПДн;

    - изменился класс защищённости ИСПДн.

    Обследование защищенности ПДн внешней специализированной организацией проводится по решению руководителя Росреестра (руководителя территориального органа Росреестра). Привлекаемая для проведения обследования внешняя специализированная организация обязана иметь лицензию на деятельность по технической защите конфиденциальной информации.

    6.3. Порядок оценки соответствия ИСПДн требованиям безопасности ПДн

    Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в форме проверки готовности СЗИ к использованию.

    Проверка готовности СЗИ к использованию осуществляется в ходе приемо-сдаточных испытаний СЗПДн с составлением протоколов проверки и заключений о возможности их эксплуатации.

    В качестве организации, проводящей проверку готовности СЗИ к использованию или добровольную аттестацию ИСПДн, привлекается организация, имеющая лицензию ФСТЭК России на право деятельности по технической защите конфиденциальной информации в соответствии с постановлением Правительства Российской Федерации от 03.02.2012 № 79.

    Проверка готовности СЗИ к использованию проводится в соответствии с разрабатываемой программой и методикой испытаний соответствующих СЗИ, определяющих порядок проверки выполнения СЗИ заявленных функций защиты.

    Аттестация проводится в соответствии с действующими нормативными и методическими документами ФСТЭК России.

    Порядок подготовки и проведения аттестации ИСПДн определяется в приказах руководителя Росреестра (руководителя территориального органа Росреестра).

    *(1) В состав комиссии по классификации включаются представители Отдела ИБ, Управления информационных систем, Управления кадров, Правового управления и должностные лица - обладатели информационных ресурсов ИСПДн.

    *(2) Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282.

    *(3) Либо включить обязательства о неразглашении конфиденциальной информации в трудовой договор, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обстоятельства.

    *(4) Под объектами понимаются здания Росреестра, его территориальных органов и удаленные подразделения территориальных органов Росреестра.

    *(5) ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности». Введ. 01.07.2008.

    *(6) Требования к Заявителю на право установки (инсталляции), эксплуатации сертифицированных средств и предоставления услуг по шифрованию информации по уровню «С»;

    «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», № 149/6/6-622, 2008 г.

    *(7) Введенной Приказом Генерального директора от 16.07.2009 г. № 00307-П (ЮТК-ДП-1.54-09.2).

    *(8) Федеральный закон «О персональных данных», № 152-ФЗ, 2006 г. Постановление Правительства Российской Федерации oт 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативно-правовые акты и методические документы ФСТЭК России и ФСБ России по защите персональных данных при их обработке в информационных системах персональных данных.

    "Положение (инструкция) о разрешительной системе допуска к

    обрабатываемой в ИСПДн информации"

    территориального органа Росреестра

    Наименование информационных ресурсов

    Категория информационных ресурсов (уровень конфиденциальности)

    Информационные базы данных Росреестра, содержащие персональные данные работников Росреестра, в том числе: - фамилия, имя, отчество работников/абонентов/ Росреестра и территориальных органов Росреестра; - пол; - данные документа, удостоверяющего личность (вид документа, серия, номер, дата и место выдачи, код подразделения, дата регистрации по месту жительства); - дата и место рождения; - адрес местожительства (регистрации) или адрес установки оконечного оборудования; - номер лицевого счета; - сведения о расчетах за оказанные услуги связи, в том числе сведения о соединениях, трафике и платежах абонента; - абонентский номер телефона; - контактный номер телефона; - адрес электронной почты; - гражданство; - семейное положение; - данные о составе семьи - ближайших родственниках (степень родства, фамилия, имя, отчество, дата рождения); - идентификационный номер налогоплательщика; - номер страхового свидетельства пенсионного страхования; - сведения о наличии инвалидности (группа, документ, на основании которого присвоена группа инвалидности, срок действия документа)* ; - сведения об образовании, профессии, квалификации или наличии специальных знаний; - сведения о стаже работы; - подразделение, должность; - должностной оклад, премия; - основной и дополнительный зарплатные счета (банк, филиал, номер счета, срок действия); - сведения о воинском учете; - знание иностранного языка; - наличие и сведения о водительском удостоверении; - информация об аттестации, повышении квалификации, профессиональной переподготовке; - сведения о приёме на работу и переводах на другую работу; - данные о поощрениях и наградах; - данные о социальных льготах (номер и дата выдачи документа, основание); - сведения об обязательном медицинском страховании: наименование организации, серия, номер и срок действия полиса обязательного медицинского страхования; - сведения о прекращении трудового договора (увольнении); - сведения о гражданско-правовых договорах работников: дата, общая сумма по договору, сумма выплаты (за месяц, за квартал), порядок оплаты, период этапов выполнения; - сведения о несписочном составе (бывших работниках, акционерах).

    Технологическая информация системы защиты информации ИСПДн Росреестра, в том числе: - управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.); - технологическая информация средств доступа к ИСПДн Росреестра (аутентификационная информация, ключи и атрибуты доступа и др.); - информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления; - информация о системе защиты персональных данных, её составе и структуре, принципах, средствах защиты и технических решениях защиты; - информационные ресурсы (базы данных, файлы и другие), содержащие информацию о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах; - служебные данные (метаданные), появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных

    Иная защищаемая информация

    * В данном случае, сведения о наличии инвалидности являются дополнительными сведениями о субъекте ПДн и используются Компанией для соблюдения трудового законодательства и выплат социальных пособий (ст. 23, 27 Федерального закона от 24.11.1995 г. № 181-ФЗ (ред. от 9.12.2010 г.) «О социальной защите инвалидов в РФ» (принят ГД ФС РФ 20.07.1995 г.)).

    "Форма списка лиц, допущенных к ПДн,

    обрабатываемым в ИСПДн Росреестра"

    территориального органа Росреестра

    "___" ____________ 2013 г.

    территориального органа Росреестра

    1. Общие положения

    1.1. Настоящая Инструкция определяет обязанности должностного лица, ответственного за обеспечение безопасности информации (в том числе персональных данных (ПДн)), обрабатываемой в информационных системах ПДн (ИСПДн) территориального органа Росреестра, далее - администратора безопасности информации (администратора безопасности).

    1.2. Действие настоящей Инструкции распространяется на структурные подразделения территориального органа Росреестра.

    1.3. Администратор безопасности назначается приказом руководителя территориального органа Росреестра из числа подготовленных работников подразделения информационной безопасности (ИБ).

    1.4. Администратор безопасности по вопросам обеспечения безопасности информации подчиняется руководителю подразделения ИБ, являющемуся структурным подразделением, назначаемым ответственным за обеспечение безопасности информации в Росреестре и территориальных органах Росреестра.

    1.5. Администратор безопасности отвечает за поддержание установленного уровня безопасности защищаемой информации, в том числе ПДн, при их обработке в ИСПДн Росреестра.

    1.6. Администратор безопасности осуществляет методическое руководство деятельностью пользователей ИСПДн Росреестра в вопросах обеспечения безопасности информации.

    1.7. Требования администратора безопасности, связанные с выполнением им своих обязанностей, обязательны для исполнения всеми пользователями ИСПДн Росреестра.

    1.8. Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ИСПДн Росреестра, состояние и поддержание установленного уровня защиты информации, обрабатываемой в ИСПДн Росреестра.

    2. Задачи администратора безопасности

    2.1. Основными задачами администратора безопасности являются:

    - поддержание необходимого уровня защиты ИСПДн Росреестра от несанкционированного доступа (НСД) к информации;

    - обеспечение конфиденциальности обрабатываемой, хранимой и передаваемой по каналам связи информации;

    - установка средств защиты информации и контроль выполнения правил их эксплуатации;

    - сопровождение средств защиты информации (СЗИ) от НСД и основных технических средств и систем (ОТСС) ИСПДн Росреестра;

    - периодическое обновление СЗИ и комплекса мероприятий по предотвращению инцидентов ИБ;

    - оперативное реагирование на нарушения требований по ИБ в ИСПДн Росреестра и участие в их прекращении.

    2.2. В рамках выполнения основных задач администратор безопасности осуществляет:

    - текущий контроль работоспособности и эффективности функционирования эксплуатируемых программных и технических СЗИ;

    - текущий контроль технологического процесса автоматизированной обработки ПДн;

    - участие в проведении служебных расследований фактов нарушений или угрозы нарушений безопасности ПДн;

    - контроль соблюдения нормативных требований по защите информации, обеспечения комплексного использования технических средств, методов и организационных мероприятий по безопасности информации в структурных подразделениях Росреестра и территориальных органах Росреестра;

    - методическую помощь всем работникам Росреестра и территориальных органов Росреестра по вопросам обеспечения безопасности ПДн.

    3. Обязанности администратора безопасности информации

    Администратор безопасности обязан:

    3.1. Знать и выполнять требования нормативных документов по защите информации, регламентирующих порядок защиты информации, обрабатываемой в ИСПДн Росреестра.

    3.2. Участвовать в установке, настройке и сопровождении программных средств защиты информации.

    3.3. Участвовать в приемке новых программных средств обработки информации.

    3.4. Обеспечить доступ к защищаемой информации пользователям ИСПДн Росреестра согласно их правам доступа при получении оформленного соответствующим образом разрешения (заявки).

    3.5. Уточнять в установленном порядке обязанности пользователей ИСПДн Росреестра при обработке ПДн.

    3.6. Вести контроль осуществления резервного копирования информации.

    3.7. Анализировать состояние защиты ИСПДн Росреестра.

    3.8. Контролировать правильность функционирования средств защиты информации и неизменность их настроек.

    3.9. Контролировать физическую сохранность технических средств обработки информации.

    3.10. Контролировать исполнение пользователями ИСПДн Росреестра введенного режима безопасности, а также правильность работы с элементами ИСПДн и средствами защиты информации.

    3.11. Контролировать исполнение пользователями правил парольной политики.

    3.12. Периодически анализировать журнал учета событий, регистрируемых средствами защиты, с целью контроля действий пользователей и выявления возможных нарушений.

    3.13. Не допускать установку, использование, хранение и размножение в ИСПДн Росреестра программных средств, не связанных с выполнением функциональных задач.

    3.14. Осуществлять периодические контрольные проверки автоматизированных рабочих мест (АРМ) ИСПДн Росреестра.

    3.15. Оказывать помощь пользователям ИСПДн Росреестра в части применения средств защиты и консультировать по вопросам введенного режима зашиты.

    3.16. Периодически представлять руководству отчёт о состоянии защиты ИСПДн Росреестра и о нештатных ситуациях и допущенных пользователями нарушениях установленных требований по защите информации.

    3.17. В случае отказа работоспособности технических средств и программного обеспечения ИСПДн Росреестра, в том числе средств защиты, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

    3.18. В случае выявления нарушений режима безопасности информации (ПДн), а также возникновения внештатных и аварийных ситуаций принимать необходимые меры с целью ликвидации их последствий.

    3.19. Принимать участие в проведении работ по оценке соответствия ИСПДн Росреестра требованиям безопасности информации* .

    4. Права администратора безопасности

    Администратор безопасности имеет право:

    4.1. Отключать от ресурсов ИСПДн Росреестра работников, осуществивших НСД к защищаемым ресурсам ИСПДн или нарушивших другие требования по ИБ.

    4.2. Давать работникам обязательные для исполнения указания и рекомендации по вопросам ИБ.

    4.3. Инициировать проведение служебных расследований по фактам нарушений установленных требований обеспечения ИБ, НСД, утраты, порчи защищаемой информации и технических средств ИСПДн Росреестра.

    4.4. Организовывать и участвовать в любых проверках по использованию пользователями Росреестра и территориальных органов Росреестра телекоммуникационных ресурсов.

    4.5. Осуществлять контроль информационных потоков, генерируемых пользователями ИСПДн Росреестра при работе с корпоративной электронной почтой, съемными носителями информации, подсистемой удаленного доступа.

    4.6. Осуществлять взаимодействие с руководством и персоналом Росреестра и территориальных органов Росреестра по вопросам обеспечения ИБ.

    4.7. Запрещать устанавливать на серверах и автоматизированных рабочих местах нештатное программное и аппаратное обеспечение.

    4.8. Запрашивать и получать от начальников и специалистов структурных подразделений Росреестра и территориальных органов Росреестра информацию и материалы, необходимые для организации своей работы.

    4.9. Вносить на рассмотрение руководства предложения по улучшению состояния ИБ ПДн, обрабатываемых в Росреестре и территориальных органах Росреестра.

    5. Ответственность администратора безопасности

    Администратор безопасности несет ответственность** :

    5.1. За организацию защиты информационных ресурсов и технических средств ИСПДн Росреестра.

    5.2. За качество проводимых работ по контролю действий пользователей и администраторов ИСПДн, состояние и поддержание необходимого уровня защиты информационных и технических ресурсов ИСПДн Росреестра.

    5.3. За разглашение сведений ограниченного доступа (коммерческая тайна, персональные данные и иная защищаемая информация), ставших известными ему по роду работы.

    6. Действия администратора безопасности при обнаружении попыток НСД

    6.1. К попыткам НСД относятся:

    - сеансы работы с телекоммуникационными ресурсами Росреестра и территориальных органов Росреестра незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, либо срок действия полномочий которых истек, либо в состав полномочий которых не входят операции доступа к определенным данным или манипулирования ими;

    - действия третьего лица, пытающегося получить доступ (или получившего доступ) к информационным ресурсам ИСПДн Росреестра с использованием учетной записи администратора или другого пользователя ИСПДн, в целях получения коммерческой или другой личной выгоды, методом подбора пароля или другого метода (случайного разглашения пароля и т.п.) без ведома владельца учетной записи.

    6.2. При выявлении факта/попытки НСД администратор безопасности обязан:

    - прекратить доступ к информационным ресурсам со стороны выявленного участка НСД:

    - доложить руководству подразделения ИБ о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;

    - известить начальника структурного подразделения Росреестра и/или территориальных органов Росреестра, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка НСД, о факте НСД;

    - проанализировать характер НСД;

    - по решению руководства подразделения ИБ осуществить действия по выяснению причин, приведших к НСД;

    - предпринять меры по предотвращению подобных инцидентов в дальнейшем.

    * Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативно-правовые акты и методические документы ФСТЭК России и ФСБ России по защите персональных данных при их обработке в информационных системах персональных данных.

    ** Работники организации и территориальных органов, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.

    "Инструкция пользователя ИСПДн Росреестра по

    обеспечению безопасности информации"

    территориального органа Росреестра

    "___" ____________ 2013 г.

    пользователя информационных систем персональных данных

    территориального органа Росреестра

    по обеспечению безопасности

    1. Общие требования по обеспечению безопасности обработки информации в ИСПДн

    1.1. К защищаемой информации, обрабатываемой в информационных системах персональных данных Росреестра (далее - ИСПДн Росреестра), относятся персональные данные, служебная (технологическая) информация системы защиты, другая информация конфиденциального характера в соответствии с «Перечнем защищаемых информационных ресурсов ИСПДн Росреестра».

    1.2. Действие настоящей Инструкции распространяется на структурные подразделения территориального органа Росреестра.

    1.3. Обработка защищаемой информации в ИСПДн Росреестра разрешается на основании приказа руководителя территориального органа Росреестра.

    1.4. Ответственность за организацию защиты информации в ИСПДн Росреестра и выполнение установленных условий её функционирования возлагается на администратора безопасности информации территориального органа Росреестра. Ответственность за выполнение мероприятий по обеспечению безопасности информации возлагается на лицо, производящее её обработку (пользователя ИСПДн Росреестра).

    1.5. Допуск пользователей к работе в ИСПДн Росреестра осуществляется в соответствии со «Списком лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей», утверждаемом руководителем Росреестра/территориального органа Росреестра.

    1.6. К самостоятельной работе на автоматизированных рабочих местах (АРМ), входящих в состав ИСПДн Росреестра, допускаются лица, изучившие требования настоящей Инструкции и освоившие правила эксплуатации АРМ и технических средств защиты. Допуск производится после проверки знания настоящей Инструкции и практических навыков в работе.

    1.7. Помещения, в которых размещены технические средства ИСПДн Росреестра, отвечают режимным требованиям и в нерабочее время сдаваться под охрану установленным порядком.

    1.8. Вход в помещение, в котором производится автоматизированная обработка защищаемой информации, разрешается постоянно работающим в нем работникам, а также лицам, привлекаемым к проведению ремонтных, наладочных и других работ и посетителей в сопровождении работников Росреестра и территориальных органов Росреестра.

    1.9. Техническое обслуживание АРМ, уборка помещения и т.п. проводятся только под контролем уполномоченного лица Росреестра и территориальных органов Росреестра. При проведении этих работ обработка защищаемой информации (ПДн) запрещается.

    1.10. По фактам и попыткам несанкционированного доступа к защищаемой информации, а также в случаях её утечки и (или) модификации (уничтожения) проводятся служебные расследования.

    2. Обязанности пользователя

    2.1. При первичном допуске к работе в ИСПДн Росреестра пользователь знакомится с требованиями руководящих, нормативно-методических и организационно-распорядительных (регламентирующих) документов по вопросам безопасности при автоматизированной обработке информации, изучает настоящую Инструкцию, получает личный текущий пароль у должностного лица, выполняющего функции администратора безопасности информации в ИСПДн Росреестра (далее - администратор безопасности).

    2.2. Каждый работник Росреестра и территориальных органов Росреестра, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн Росреестра, несет персональную ответственность* за свои действия и ОБЯЗАН:

    2.2.1. Строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн Росреестра.

    2.2.2. Знать и строго выполнять правила работы со средствами защиты информации, установленными в ИСПДн Росреестра.

    2.2.3. Хранить в тайне свой пароль.

    2.2.4. Передавать для хранения установленным порядком при необходимости свои реквизиты разграничения доступа только администратору безопасности Росреестра и территориальных органов Росреестра.

    2.2.5. Выполнять требования по антивирусной защите в части, касающейся действий пользователей.

    2.2.6. Немедленно ставить в известность администратора безопасности в следующих случаях:

    - при подозрении компрометации личного пароля;

    - обнаружения нарушения целостности пломб (наклеек) на аппаратных средствах АРМ или иных фактов совершения в отсутствие пользователя попыток несанкционированного доступа (НСД) к ресурсам ИСПДн Росреестра;

    - несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн Росреестра;

    - отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ИСПДн Росреестра, выхода из строя или неустойчивого функционирования узлов или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;

    - некорректного функционирования установленных средств защиты;

    - обнаружения непредусмотренных отводов кабелей и подключенных устройств;

    - обнаружения фактов и попыток НСД и случаев нарушения установленного порядка обработки защищаемой информации.

    2.3. Пользователю категорически ЗАПРЕЩАЕТСЯ:

    2.3.1. Использовать компоненты программного и аппаратного обеспечения ИСПДн Росреестра в неслужебных целях.

    2.3.2. Самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн Росреестра или устанавливать дополнительно любые программные и аппаратные средства.

    2.3.3. Осуществлять обработку защищаемой информации в присутствии посторонних (недопущенных к данной информации) лиц.

    2.3.4. Записывать и хранить защищаемую информацию на неучтенных носителях информации (гибких магнитных дисках и т.п.).

    2.3.5. Оставлять включенным без присмотра АРМ, не активизировав средства защиты от НСД.

    2.3.6. Оставлять без личного присмотра на АРМ или где бы то ни было свои персональные реквизиты доступа, машинные носители и распечатки, содержащие защищаемую информацию.

    2.3.7. Умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к ознакомлению с защищаемой информацией посторонних лиц. Об обнаружении такого рода ошибок - ставить в известность администратора безопасности.

    2.3.8. Производить перемещения технических средств АРМ без согласования с администратором безопасности.

    2.3.9. Вскрывать корпуса технических средств АРМ и вносить изменения в схему и конструкцию устройств, производить техническое обслуживание (ремонт) средств вычислительной техники без согласования с администратором безопасности и без оформления соответствующего Акта.

    2.3.10. Подключать к АРМ нештатные устройства и самостоятельно вносить изменения в состав и конфигурацию.

    2.3.11. Осуществлять ввод пароля в присутствии посторонних лиц.

    2.3.12. Оставлять без контроля АРМ в процессе обработки конфиденциальной информации.

    2.3.13. Привлекать посторонних лиц для производства ремонта (технического обслуживания) технических средств АРМ.

    * Работники территориальных органов Росреестра, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.

    "ПЛАН КОНТРОЛЯ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН"

    территориального органа Росреестра

    "___" ____________ 2013 г.

    контроля выполнения требований по обеспечению безопасности персональных данных при их обработке в

    информационных системах персональных данных территориального органа Росреестра

    Дата проведения мероприятий

    Краткое описание проверочных мероприятий

    о действиях лиц, допущенных к информации, содержащей персональные

    данные, в случае нештатных ситуаций

    1. Общие положения

    1.1. Настоящая инструкция определяет действия работников Росреестра (далее - Росреестра) в случае возникновения нештатных ситуаций в процессах обработки персональных данных в информационных системах персональных данных (ИСПДн) Росреестра.

    1.2. Положения инструкции обязательны для исполнения всеми должностными лицами территориального органа Росреестра в части выполнения вмененных им обязанностей.

    1.3. Общими требованиями ко всем работникам Росреестра и территориальных органов Росреестра в случае возникновения нештатной ситуации являются:

    - работник, обнаруживший нештатную ситуацию, немедленно ставит в известность своего непосредственного руководителя и администратора информационной безопасности;

    - администратор информационной безопасности (далее - администратор безопасности) обязан проводить анализ ситуации и, в случае невозможности исправить положение, ставит в известность руководство Росреестра (территориальных органов Росреестра). Кроме этого, администратор безопасности для локализации (блокирования) проявлений угроз информационной безопасности может привлекать пользователей ИСПДн Росреестра, а также уполномоченного работника, ответственного за сопровождение технических средств ИСПДн;

    - по факту возникновения нештатной ситуации и выяснению причин ее проявления проводится служебное расследование.

    2. Действия пользователей ИСПДн при возникновении нештатных ситуаций

    2.1. Сбой программного обеспечения.

    2.1.1. Администратор безопасности совместно с уполномоченным работником подразделения информационных технологий (далее - подразделение информационных технологий (ИТ)) выясняют причину сбоя программного обеспечения. Если привести систему в работоспособное состояние своими силами (в том числе после консультации с разработчиками программного обеспечения) не удалось, копия акта и сопроводительных материалов (а так же файлов, если это необходимо) направляются разработчику программного обеспечения для устранения причин, приведших к сбою. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения информационной безопасности (далее - подразделение информационной безопасности (ИБ)) для принятия решения по существу.

    2.2. Отключение электропитания технических средств ИСПДн

    2.2.1. Администратор безопасности совместно с уполномоченным работником подразделения ИТ проводят анализ на наличие потерь и (или) разрушения данных и программного обеспечения, а также проверяют работоспособность оборудования. В случае необходимости производится восстановление программного обеспечения и данных из последней резервной копии с составлением акта. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения ИБ для принятия решения по существу.

    2.3. Выход из строя технических средств ИСПДн (серверов, рабочих станций).

    2.3.1. Уполномоченный работник подразделения ИТ совместно с администратором безопасности выполняют мероприятия по немедленному вводу в действие резервного сервера для обеспечения непрерывной работы ИСПДн (замене рабочей станции).

    2.3.2. О выходе из строя сервера (рабочей станции) уполномоченный работник подразделения ИТ, ответственный за эксплуатацию сервера (рабочей станции), сообщает руководителю подразделения ИТ.

    2.3.3. При необходимости производятся работы по восстановлению программного обеспечения и данных из резервных копий с составлением акта. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения ИБ для принятия решения по существу.

    2.4. Потеря данных.

    2.4.1. При обнаружении потери данных уполномоченный работник подразделения ИТ проводит мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность программного обеспечения, целостность и работоспособность оборудования).

    2.4.2. При необходимости уполномоченным работником подразделения ИТ производится восстановление программного обеспечения и данных из резервных копий с составлением акта. О произошедшем инциденте уполномоченный работник подразделения ИТ сообщает администратору безопасности. Администратор безопасности сообщает руководителю подразделения ИБ для принятия решения но существу.

    2.5. Обнаружение вредоносной программы в программной среде средств автоматизации ИСПДн Росреестра.

    2.5.1. При обнаружении вредоносной программы (ВП) производится её локализация с целью предотвращения её дальнейшего распространения. При этом зараженная рабочая станция (сервер) физически отсоединяется от локальной вычислительной сети, и уполномоченным работником подразделения ИТ и администратором безопасности проводится анализ состояния рабочей станции (сервера).

    2.5.2. В результате анализа может быть предпринята попытка сохранения данных, так как после перезагрузки рабочей станции (сервера) данные могут быть потеряны. После успешной ликвидации ВП сохранённые данные подвергаются повторной проверке на наличие ВП. Кроме того, при обнаружении ВП следует руководствоваться инструкцией по эксплуатации применяемого антивирусного программного обеспечения.

    2.5.3. После ликвидации ВП проводится внеочередная проверка на всех средствах локальной вычислительной системы с применением обновлённых антивирусных баз. При необходимости производится восстановление программного обеспечения и данных из резервных копий с составлением акта.

    2.5.4. По факту появления ВП в локальной вычислительной сети Группой реагирования на инциденты ИБ проводится служебное расследование. Решение о необходимости проведения служебного расследования принимается руководителем подразделения ИБ.

    2.6. Утечка информации.

    2.6.1. При обнаружении утечки информации ставится в известность администратор безопасности и начальник структурного подразделения. По факту инициируется процедура служебного расследования. Если утечка информации произошла по техническим причинам, проводится анализ защищённости процессов ИСПДн Росреестра и, если необходимо, принимаются меры по устранению каналов утечки и предотвращению их возникновения.

    2.7. Взлом операционной системы средств автоматизации ИСПДн (несанкционированное получение доступа к ресурсам операционной системы).

    2.7.1. При обнаружении взлома сервера ставится в известность руководитель подразделения ИТ и руководитель подразделения ИБ.

    2.7.2. По возможности производится временное отключение сервера от локальной вычислительной сети Росреестра (территориального органа Росреестра) для проверки на наличие ВП. Возможен временный переход на резервный сервер.

    2.7.3. Уполномоченным работником подразделения ИТ проверяется целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения. Уполномоченным работником подразделения ИТ проводится анализ состояния файлов - скриптов и журналов сервера, производится смена всех паролей, которые имели отношение к данному серверу.

    2.7.4. В случае необходимости уполномоченным работником подразделения ИТ производится восстановление программного обеспечения и восстановление данных из эталонного архива и резервных копий с составлением акта.

    2.7.5. По результатам анализа ситуации проверяется вероятность проникновения несанкционированных программ в локальную вычислительную сеть, после чего проводятся аналогичные работы по проверке и восстановлению программного обеспечения и данных на других информационных узлах ИСПДн.

    2.8. Попытка несанкционированного доступа (НСД).

    2.8.1. При попытке НСД уполномоченным работником подразделения ИТ и администратором безопасности проводится анализ ситуации на основе информации журналов регистрации попыток НСД и предыдущих попыток НСД. По результатам анализа, в случае необходимости (есть реальная угроза НСД), принимаются меры по предотвращению НСД.

    2.8.2. Проводится внеплановая смена паролей. В случае появления обновлений программного обеспечения, устраняющих уязвимости системы безопасности, уполномоченным работником подразделения ИТ устанавливаются такие обновления.

    2.8.3. По факту попытки НСД Группой реагирования на инциденты ИБ проводится служебное расследование. Решение о необходимости проведения служебного расследования принимается руководителем подразделения ИБ.

    2.8.4. В случае установления в ходе служебного расследования факта осуществления попытки НСД со стороны внешних по отношению к ИСПДн субъектов, лицами, уполномоченными на проведение такого расследования, принимаются меры по фиксации и документированию факта инцидента и готовятся материалы для передачи в компетентные органы дознания для проведения предварительного расследования, установления субъекта-нарушителя, определения наличия состава преступления и принятия решения о возбуждении уголовного дела.

    2.9. Компрометация ключевой информации (паролей доступа).

    2.9.1. При компрометации ключевой информации (пароля доступа) администратором безопасности проводится смена пароля, анализируется ситуация на наличие последствий компрометации и принимаются необходимые меры по минимизации возможного (или нанесённого) ущерба.

    2.9.2. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения ИБ для принятия решения по существу.

    2.10. Физическое повреждение или хищение оборудования технических средств ИСПДн.

    2.10.1. Работником, обнаружившим физическое повреждение элементов ИСПДн, ставятся в известность: непосредственный руководитель, руководители подразделений ИБ и ИТ.

    2.10.2. Уполномоченным работником подразделения ИТ совместно с администратором безопасности проводится анализ с целью оценки возможности утечки или повреждения информации. Определяется причина повреждения элементов ИСПДн и возможные угрозы информационной безопасности.

    2.10.3. О факте повреждения элементов ИСПДн работник подразделения ИТ докладывает руководителю подразделения ИТ.

    2.10.4. В случае возникновения подозрения на целенаправленный вывод оборудования из строя Группой реагирования на инциденты ИБ проводится служебное расследование.

    2.10.5. Уполномоченным работником подразделения ИТ проводится проверка программного обеспечения на целостность и на наличие ВП, а также проверка целостности данных и анализ электронных журналов.

    2.10.6. При необходимости уполномоченным работником подразделений ИТ проводятся мероприятия по восстановлению программного обеспечения и данных из резервных копий с составлением акта.

    2.11. Невыполнение установленных правил ИБ (правил работы в ИСПДн), использование ИСПДн с нарушением требований, установленных в нормативно-технической и (или) конструкторской документации.

    2.11.1. Работником, обнаружившим невыполнение установленных правил ИБ, использование ИСПДн с нарушением требований, установленных в нормативно-технической и (или) конструкторской документации, ставятся в известность: непосредственный руководитель и руководитель подразделения ИБ.

    2.11.2. Администратором безопасности проводится анализ с целью оценки возможности утечки или повреждения информации. Определяются возможные угрозы информационной безопасности в результате инцидента.

    2.11.3. Об обнаруженном факте администратор безопасности докладывает руководителю подразделения ИБ.

    2.11.4. При необходимости по решению руководителя подразделения ИБ по фактам выявленных нарушений Группой реагирования на инциденты ИБ проводится служебное расследование.

    2.12. Ошибки работников.

    2.12.1. В случае возникновения сбоя, связанного с ошибками работников, руководитель подразделения Росреестра (территориального органа Росреестра), в котором произошёл инцидент, ставит в известность уполномоченного работника подразделения ИТ и руководителя подразделения ИБ.

    2.12.2. Администратором безопасности и уполномоченным работником подразделения ИТ проводится анализ с целью оценки возможности утечки или повреждения информации. Определяются возможные угрозы информационной безопасности в результате инцидента и необходимость восстановления программного обеспечения и данных.

    2.12.3. При необходимости уполномоченным работником подразделения ИТ проводятся мероприятия по восстановлению программного обеспечения и данных из резервных копий с составлением акта.

    2.12.4. В случае нанесения Росреестра (территориальному органу Росреестра) значительного ущерба вследствие ошибок работников Группой реагирования на инциденты ИБ проводится служебное расследование.

    2.13. Отказ в обслуживании.

    2.13.1. Работником, обнаружившим отказ в обслуживании, ставятся в известность; непосредственный руководитель и руководители подразделений ИТ и ИБ.

    2.13.2. Уполномоченным работником подразделения ИТ и администратором безопасности проводится анализ с целью определения причин, вызвавших отказ в обслуживании.

    2.13.3. Уполномоченным работником подразделения ИТ проводится проверка программного обеспечения на целостность и на наличие ВП, а также проверка целостности данных и анализ электронных журналов.

    2.13.4. При необходимости, уполномоченным работником подразделения ИТ проводятся мероприятия по восстановлению программного обеспечения и данных из резервных копий с составлением акта.

    2.13.5. О причинах инцидента и принятых мерах уполномоченный работник подразделения ИТ информирует руководителя подразделения ИБ.

    2.14. Несанкционированные изменения состава программных и аппаратных средств (конфигурации) ИСПДн.

    2.14.1. В случае обнаружения несанкционированного изменения состава программных и аппаратных средств (конфигурации) ИСПДн администратором безопасности проводится анализ с целью оценки возможности утечки или повреждения информации. Определяются возможные угрозы ИБ в результате инцидента.

    2.14.2. Уполномоченным работником подразделения ИТ проводятся мероприятия по восстановлению программного обеспечения и данных из резервных копий с составлением акта, а также (при необходимости) проверка на наличие компьютерных ВП.

    2.14.3. Об инциденте администратор безопасности докладывает руководителю подразделения ИБ.

    2.15. Техногенные и природные проявления нештатных ситуаций.

    2.15.1. При стихийном бедствии, пожаре или наводнении, грозящем уничтожению или повреждению информации (данных), работнику, обнаружившему факт возникновения нештатной ситуации:

    - немедленно оповестить других работников и принять все меры для самостоятельной оперативной защиты помещения;

    - немедленно позвонить в соответствующие службы помощи (пожарная охрана, служба спасения и т.д.);

    - немедленно сообщить своему непосредственному руководителю и администратору безопасности.

    2.15.2. После оперативной ликвидации причин, вызвавших пожар или наводнение, назначается внутренняя комиссия по устранению последствий инцидента.

    2.15.3. Комиссия определяет ущерб (состав и объем уничтоженных оборудования и информации) и причины, по которым произошло происшествие, а также выявляет виновных.

    "Инструкция по организации резервного

    территориального органа Росреестра

    информационных системах персональных данных

    территориального органа Росреестра

    1. Общие положения

    1.1. Настоящая Инструкция определяет требования к организации антивирусной защиты информационных систем персональных данных территориального органа Росреестра (далее - ИСПДн Росреестра).

    1.2. Настоящая Инструкция предназначена для уполномоченных работников территориального органа Росреестра, подразделения информационных технологий (ИТ), а также должностного лица, выполняющего функции администратора безопасности информации (далее - администратор безопасности) и пользователей, осуществляющих обработку персональных данных в ИСПДн Росреестра.

    1.3. Действие настоящей Инструкции распространяется на структурные подразделения территориального органа Росреестра.

    1.4. В целях обеспечения защиты от деструктивных воздействий компьютерных вредоносных программ производится антивирусный контроль. Обязательному антивирусному контролю подлежит любая информация, поступающая на средства вычислительной техники, в том числе получаемая на внешних носителях из сторонних организаций.

    1.5. Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на ресурсы информационных систем.

    Вредоносная программа способна выполнять ряд функций, в том числе:

    - скрывать признаки своего присутствия в программной среде рабочей станции (сервера);

    - обладать способностью к самодублированию, ассоциированию себя с другими программами и/или переносу своих фрагментов в иные области оперативной или внешней памяти;

    - разрушать (искажать произвольным образом) код программ в оперативной памяти;

    - сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);

    - искажать произвольным образом, блокировать и/или подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

    1.6. Основными задачами системы обеспечения антивирусной защиты являются:

    - исключение или существенное затруднение противоправных действий в отношении ИСПДн Росреестра как носителей защищаемой информации;

    - обеспечение условий для устойчивой бесперебойной работы объектов, сетей передачи данных.

    1.7. Объектом защиты от воздействия вредоносных программ являются вычислительные структуры и транспортная среда передачи данных ИСПДн Росреестра.

    1.8. Обеспечение антивирусной защиты включает:

    - регулярные профилактические работы;

    - анализ ситуации проявления вредоносных программ и причины их появления;

    - уничтожение вредоносных программ на автоматизированных рабочих местах (АРМ) (серверах);

    - принятие мер по предотвращению причин появления вредоносных программ.

    1.9. Для выполнения требований по антивирусной защите информационных структур ИСПДн Росреестра используется специализированное программное обеспечение (ПО), обеспечивающее надежную ежедневную автоматическую антивирусную защиту и контроль чистоты информационных массивов данных от вредоносных программ.

    1.10. Организация работ по антивирусной защите и ответственность за сопровождение системы антивирусной защиты возлагается на подразделение ИТ.

    1.11. Ответственность за контроль установленного порядка антивирусной защиты возлагается на администратора безопасности.

    1.12. Периодический контроль состояния антивирусной защиты ИСПДн Росреестра возлагается на работников подразделения ИТ и администратора безопасности.

    1.13. Работники, на которых возлагается ответственность по антивирусной защите, имеют полноправный доступ ко всем АРМ, серверам и другому оборудованию ИСПДн Росреестра.

    1.14. Все процессы производятся в автоматическом режиме без участия пользователей и без помех для работы основного и специального ПО.

    Процесс плановой полной проверки файловой системы рабочих станций пользователей и серверов ИСПДн Росреестра проводится во время наименьшей нагрузки оборудования пользовательскими задачами.

    1.15. Работник, отвечающий за ежедневное сопровождение антивирусной защиты, обладает необходимыми практическими навыками и теоретическими знаниями по данному вопросу. В основные обязанности по антивирусной защите входит:

    - проведение периодического анализа и оценки ситуации по обеспечению антивирусной безопасности для контроля степени защищенности ИСПДн Росреестра и выработки предложений по изменению и улучшению состояния дел;

    - проверка соблюдения порядка обновления средств и баз данных антивирусной защиты;

    - осуществление контроля за состоянием средств антивирусной защиты на серверах, рабочих станциях пользователей;

    - осуществление контроля за соблюдением работниками требований по обеспечению антивирусной защиты;

    - обеспечение контроля за соблюдением требований при работе с сетью Интернет, а также за характером и объемом трафика, получаемого из сети Интернет, и его соответствия служебной необходимости;

    - передача еженедельного отчета по состоянию антивирусной защиты администратору безопасности.

    Администратор безопасности осуществляют следующие действия:

    - контроль и анализ еженедельных отчетов по состоянию антивирусной защиты;

    - проведение служебных расследований по фактам обнаружения вредоносных программ, повлекших не устойчивую работу и (или) разрушение технологического оборудования, локально-вычислительной сети и информационных массивов Росреестра;

    - организация мероприятий по улучшению антивирусной защиты Росреестра.

    1.16. Устанавливаемое (изменяемое) ПО в ИСПДн Росреестра предварительно проверяется представителем эксплуатирующего подразделения на отсутствие вредоносных программ. Непосредственно после установки (изменения) ПО администратор безопасности либо уполномоченный работник подразделения ИТ выполняет антивирусную проверку на рабочих станциях и серверах ИСПДн Росреестра.

    1.17. При возникновении подозрения на наличие вредоносных программ (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) администратор безопасности либо уполномоченный работник подразделения ИТ проводит внеочередной антивирусный контроль рабочих станций (серверов) ИСПДн Росреестра.

    1.18. Для пользователей рабочих станций ИСПДн Росреестра запрещена возможность изменения настроек и параметров защиты антивирусных средств на своей рабочей станции, эти действия производит администратор безопасности или уполномоченный работник подразделения ИТ с помощью средств централизованного управления или вручную.

    1.19. По факту появления и проникновения вредоносных программ, повлекших неустойчивую работу и (или) вывод из строя технологического оборудования, локально-вычислительной сети и информационных массивов Росреестра, проводится служебное расследование Группой реагирования на инциденты информационной безопасности .

    1.20. Результаты расследования причин появления и последствий воздействия вредоносных программ на рабочую станцию (сервер) докладываются руководителю Отдела информационной безопасности территориального органа Росреестра с предложениями по принятию мер, предотвращающими в будущем повторение подобных фактов.

    2. Требования к антивирусному программному обеспечению

    2.1. Применение только лицензионного антивирусного ПО.

    2.2. Возможность обнаружения как можно большего числа известных вредоносных программ, в том числе вирусов, деструктивного кода (макро-вирусы, объектов ActiveX, апплетов языка Java и т.п.), а также максимальная готовность быстрого реагирования на появление новых видов вирусных угроз.

    2.3. Исчерпывающий список защищаемых точек (почтовые серверы, файловые серверы, автоматизированные рабочие места и т.д.) возможного проникновения вредоносных программ.

    2.4. Обеспечение обновлений, консультаций и других форм сопровождения эксплуатации поставщиком антивирусного ПО.

    2.5. Возможность автоматического распространения обновлений антивирусных баз на каждую рабочую станцию (сервер) в ИСПДн Росреестра.

    2.6. Соответствие системных требований антивирусного ПО платформам, характеристикам и комплектации применяемой вычислительной техники.

    2.7. Надежность и работоспособность антивирусного ПО в любом из предусмотренных режимов работы, по возможности, в русскоязычной среде.

    2.8. Наличие документации, необходимой для практического применения и освоения антивирусного ПО, на русском языке.

    3. Мероприятия по штатному управлению средствами антивирусного контроля

    3.1. В штатном режиме работы системы антивирусной администратор безопасности либо уполномоченный работник подразделения ИТ выполняет:

    - установку средств антивирусной защиты на все объекты антивирусной защиты, добавляемые в средства защиты ИСПДн Росреестра, в порядке, описанном в эксплуатационной документации;

    - контроль наличия связи между сервером администрирования и защищаемыми объектами;

    - необходимые обновления версий средств антивирусной защиты на объектах антивирусной защиты;

    - контроль над выполнением задач постоянной защиты;

    - настройку автоматических проверок объектов антивирусной защиты не реже одного раза в неделю с целью профилактики;

    - контроль актуальности версий антивирусных баз и модулей сканирования ПО сервера администрирования;

    - непрерывный мониторинг информационного обмена в средствах защиты ИСПДн Росреестра с целью выявления проявлений программно-математических воздействий;

    - обработку сведений, поступающих от средств антивирусной защиты;

    - формирование сводных отчетов о работе средств антивирусной защиты, инцидентах и проч.;

    - обработку отчетов о состоянии логических сетей;

    - формирование отчётов о работе средств антивирусной защиты логической сети.

    3.2. Процесс управления системой антивирусной защиты включает в себя следующие действия администратора безопасности либо уполномоченного работника подразделения ИТ:

    - внесение изменений в политику антивирусной защиты;

    - управление средствами антивирусной защиты, входящими в состав системы антивирусной защиты;

    - мониторинг событий, информация о которых поступает от средств антивирусной защиты с объектов защиты.

    3.3. В обязанности администратора безопасности либо уполномоченного работника подразделения ИТ входит проведение мероприятий, обеспечивающих возможность анализа результатов работы средств системы антивирусной защиты:

    - разработка отчетов о работе средств антивирусной защиты;

    - разработка сводных отчетов о работе средств антивирусной защиты, инцидентах и пр. за месяц.

    В отчетах о состоянии системы антивирусной защиты отражается следующая информация:

    - количество обнаруженных вредоносных программ за данный период;

    - наиболее активные обнаруженные вредоносные программы;

    - объекты, где наблюдается наибольшая частота обнаружения вредоносных программ;

    - список зараженных объектов.

    4. Мероприятия по нештатному управлению средствами антивирусного контроля

    4.1. В случае заражения рабочих станций (серверов) вредоносными программами администратор безопасности выполняет следующие действия:

    - централизованно обновляет антивирусные базы сервера администрирования и всех объектов антивирусной защиты;

    - проверяет состояние всех объектов антивирусной защиты, наличие зараженных рабочих станций в случае обнаружения пораженных узлов;

    - оперативно принимает меры по предотвращению распространения заражения вредоносными программами и при необходимости отключает от сети зараженную рабочую станцию (сервер);

    - проводит действия, направленные на устранение вредоносной программы на всех пораженных узлах ИСПДн Росреестра;

    - по завершении мероприятий по устранению последствий заражения восстанавливает работоспособность рабочей станции и передает ее ответственному пользователю.

    4.2. Все или часть вышеперечисленных мероприятий может быть делегирована уполномоченному работнику подразделения ИТ.

    5. Уничтожение вредоносных программ

    5.1. Уничтожение вредоносных программ выполняется администратором безопасности либо уполномоченным работником подразделения ИТ.

    5.2. Если вредоносная программа поразила какие-либо программы, то уничтожение вредоносной программы выполняется путем уничтожения программы на жестком диске либо на ином магнитном носителе. После уничтожения зараженной программы восстанавливают программу, используя ее резервную копию.

    5.3. Если вредоносная программа поразила файлы, то вредоносная программа уничтожается либо путем стирания этих файлов, либо путем использования специального «лечащего» режима антивирусного ПО. Использование «лечащего» режима не дает полной гарантии восстановления файла, поэтому после «лечения» необходима проверка восстановления данного файла. «Лечащие» программы используются лишь в тех случаях, когда отсутствует резервная копия зараженной программы или файла с данными либо восстановление уничтоженного файла с помощью резервной копии очень трудоемко.

    5.4. В любом случае после уничтожения вредоносных программ и восстановления зараженных программ и файлов с данными еще раз выполняется проверка наличия вредоносных программ, используя антивирусную программу с установленными последними обновлениями. Перед повторной проверкой производится перезагрузка сервера или рабочей станции через выключение и последующее их включение. Если повторная проверка не выявила вредоносных программ, то можно быть уверенным в их отсутствии.

    6. Ответственность пользователей

    6.1. Организация мероприятий по централизованной антивирусной защите ИСПДн Росреестра возлагается на администратора безопасности.

    6.2. Администратор безопасности несет ответственность за формирование политики антивирусной защиты, организацию своевременной инсталляции средств антивирусной защиты информации и централизованное обновление баз данных вирусных описаний на комплексе программно-технических средств ИСПДн Росреестра.

    6.3. Выполнение технических мероприятий по централизованной антивирусной защите в ИСПДн Росреестра производится непосредственно администратором безопасности либо делегируется уполномоченному работнику подразделения ИТ.

    6.4. Непосредственную ответственность за соблюдение в повседневной деятельности установленных норм обеспечения антивирусной защиты информации и требований настоящей Инструкции в части защиты ИСПДн Росреестра несут пользователи, за которыми закреплены соответствующие рабочие станции ИСПДн Росреестра.

    Обзор документа

    Утверждено Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в системах Росреестра.

    Положение регламентирует вопросы обеспечения безопасности в Росреестре и его территориальных органах и определяет порядок организации работ по созданию и эксплуатации системы защиты данных.

    Под организацией работ по обеспечению безопасности понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла системы, согласованных по цели, задачам, месту, времени. Они должны быть направлены на предотвращение (нейтрализацию) и парирование угроз безопасности, восстановление нормального функционирования системы после нейтрализации угрозы с целью минимизации ущерба от возможной реализации таких угроз.

    Обеспечение безопасности достигается применением организационных и технических мер с обязательной защитой технических и программных средств и носителей информации.

    Действие положения не распространяется на вопросы, связанные с обработкой данных без использования средств автоматизации.

    Правила обработки данных без использования средств автоматизации определяются в отдельном документе с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Правительством РФ.

    Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ: