Версия для слабовидящих
Страна Россия
Статус  Муниципальный район
Входит в состав Новгородской области
Включает 4 муниципальных образования
Административный центр город Сольцы
Глава муниципального района Котов Александр Яковлевич
Население (2019)  13 447 чел.
Плотность 9.46 чел\кв.км
Площадь  1 422,1 кв.км

 

VK_Blue_Logo_transparent

 

 

МЕТОДИЧЕСКИЕ МАТЕРИАЛЫ

« Назад

МЕТОДИЧЕСКОЕ ПОСОБИЕ ДЛЯ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ, ОРГАНОВ МЕСТНОГО САМОУПРАВЛЕНИЯ НОВГОРОДСКОЙ ОБЛАСТИ И ПОДВЕДОМСТВЕННЫХ ИМ УЧРЕЖДЕНИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ  18.10.2019 15:56

 

ОТДЕЛ ПРАВИТЕЛЬСТВА НОВГОРОДСКОЙ ОБЛАСТИ ПО ЗАЩИТЕ ИНФОРМАЦИИ

 

 

 

 

 

 

МЕТОДИЧЕСКОЕ ПОСОБИЕ

ДЛЯ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ, ОРГАНОВ МЕСТНОГО САМОУПРАВЛЕНИЯ НОВГОРОДСКОЙ ОБЛАСТИ И ПОДВЕДОМСТВЕННЫХ ИМ УЧРЕЖДЕНИЙ

 ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

 

 

 

 

 

 

 

 

 

 

Великий Новгород

2017 

                                                                                               СОДЕРЖАНИЕ                                                                  

                                                                               

 

1. ПЕРЕЧЕНЬ ОБЩИХ ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ                                                          …………….3

2. ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ                                             

    ПЕРСОНАЛЬНЫЕ ДАННЫЕ ………………………………………………………………………………. 5

3. ОТВЕТСТВЕНОСТЬ ЗА НАРУШЕНИЯ ЗАКОНОДАТЕЛЬСТВА В ОБЛАСТИ                                     

     ЗАЩИТЫ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА …………………………………………...15

 ПРИЛОЖЕНИЕ: ПЕРЕЧЕНЬ ОСНОВНЫХ НОРМАТИВНО-ПРАВОВЫХ И                                             

                               МЕТОДИЧЕСКИХ ДОКУМЕНТОВ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ,

                               СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ, В РОССИЙСКОЙ ФЕДЕРАЦИИ  …16

 

I. Перечень общих терминов и определений

 

Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор АС – лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.

Администратор безопасности информации – лицо, ответственное за защиту автоматизированной системы от несанкционированного доступа.

Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами.

Вирус (компьютерный, программный) – исполняемый программный код или набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и/или воздействия на информационные ресурсы АС.

Доступ к информации (доступ) - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.

Защита информации от несанкционированного доступа (защита от НСД) или воздействия - деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил.

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Локальная вычислительная сеть (ЛВС) - вычислительная сеть, поддерживающая в пределах ограниченной территории один или несколько высокоскоростных каналов передачи цифровой информации, предоставляемых подключаемым устройствам для кратковременного монопольного использования.

Межсетевой экран (МЭ) - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС.

Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации

Несанкционированный доступ (несанкционированные действия) (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Объект информатизации (ОИ) - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, и помещения, предназначенные для ведения секретных (конфиденциальных) переговоров.

Средство защиты информации (СЗИ) - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Технический канал утечки информации (ТКУИ) - совокупность объекта технической разведки, физической среды и средства технической разведки, которыми добываются разведывательные данные.

 

Перечень основных нормативно-правовых и методических документов в области защиты информации, содержащих персональные данные, в Российской Федерации приведен в приложении к настоящему методическому пособию.

 

 

 

II. Организация работ по защите информации, содержащей персональные данные

 

2.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (в ред. Федерального закона от 25.07.2011 № 261-ФЗ).

2.2. Мероприятия по организации работ в части обеспечения безопасности персональных данных в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» включают принятие необходимых правовых, организационных и технических мер для защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. В целом, подход остается прежним и сводится к разработке организационно-распорядительных и нормативно-технических документов с учетом действующего законодательства в части защиты ПДн.

Органы исполнительной власти, организации и учреждения Новгородской области, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных являются операторами. При этом под обработкой ПДн понимаются любые действия (операции) с ПДн с использованием средств автоматизации или без использования таких средств, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, удаление, уничтожение персональных данных.

Информационная система персональных данных (ИСПДн) – совокупность персональных данных, содержащихся в базах данных, и обеспечивающих их обработку информационных технологий и технических средств.

2.3. Оценка эффективности разработанного комплекса мер по защите персональных данных требованиям действующих нормативных документов в органе исполнительной власти (организации, учреждении) проводится оператором самостоятельно или с привлечением на договорной основе лицензиатов ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации. 

2.4. При обработке персональных данных в государственных информационных системах (ГИС), меры по обеспечению безопасности ПДн принимаются в соответствии с требованиями нормативно-методических документов по защите информации в государственных информационных системах.

2.5. Перечень проводимых мероприятий по защите персональных данных в органе исполнительной власти, организации (учреждении) со ссылками на правовые и нормативно-методические документы (НМД) приведен в таблице 1.

Вопросы защиты информации и обеспечение безопасности персональных данных при их обработке в информационных системах разъяснены в информационном сообщении ФСТЭК России от 15 июля 2013 года № 240/22/2637.

              

 

Таблица 1   

№ п/п

Содержание мероприятия

Основание для проведения

(ссылка на НМД)

Результирующий документ

Примечание

1.

Назначение оператором ответственного за организацию обработки ПДн

п.1ч.1 ст.18.1 ФЗ №152 от 27.07.2006г.;

п.1а ПП РФ № 211 от 21.03.2012г.;

п.п.14, 15 ПП РФ № 1119 от 01.11.2012г.

1)Приказ о назначении ответственного за организацию обработки ПДн;

2)Должностная инструкция ответственного за организацию обработки ПДн;

3)Приказ о проведении работ по защите ПДн

п.14 ПП РФ № 1119 для обеспечения

2 и 3 уровней защищенности ПДн

2.

Создание структурного подразделения, ответственного за обеспечение безопасности ПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

п.16б ПП РФ № 1119 от 01.11.2012г.

1)Положение о структурном подразделении, ответственном за обеспечение безопасности ПДн при их обработке в ИСПДн;

2)Приказ о возложении на структурное подразделение функций по обеспечению безопасности ПДн

Для обеспечения

1 уровня защищенности ПДн

3.

Издание оператором документов, определяющих политику в отношении обработки ПДн

ст.18.1, 19 п.1 ФЗ №152 от 27.07.2006г.;

п.1б ПП РФ № 211 от 21.03.2012г.;

п.3 ПП РФ № 1119 от 01.11.2012г.

1)Положение об организации обработки ПДн;

2)Политика в отношении организации обработки ПДн;

3)Положение об обеспечении безопасности ПДн при их обработке в ИСПДн

 

3.1.

Опубликование документов, определяющих политику в отношении обработки ПДн на официальном сайте

ст.18.1 п.2 ФЗ №152 от 27.07.2006г.;

п.2 ПП РФ № 211 от 21.03.2012г.

Только для государственных и муниципальных органов

4.

Разработка правил обработки и обеспечения безопасности персональных данных, осуществляемой без использования средств автоматизации

ПП РФ № 687 от 15.09.2008 г.

 

Раздел в Положении об обеспечении безопасности ПДн

 

5.

Инвентаризация информационных ресурсов, включающая:

а) определение подлежащих защите ПДн;

б) информационных систем персональных данных, имеющихся в организации (учреждении);

в) должностей сотрудников, предусматривающих осуществление обработки ПДн

 

п.1б, 1е ПП РФ № 211 от 21.03.2012г.;

п.6 ч.1 ст.18.1 ФЗ № 152 от 27.07.2006г.

1) Перечень персональных данных, подлежащих защите в государственном или муниципальном органе (учреждении, организации);

2) Перечень ИСПДн, обрабатывающих персональные данные в государственном или муниципальном органе (учреждении, организации);

3) Перечень должностей сотрудников, замещение которых предусматривает осуществление обработки ПДн;

4) Должностные обязанности сотрудников, допущенных к обработке ПДн

5) Журнал учета инструктажей по правилам обработки ПДн

Для государственных и муниципальных органов.

Перечни утверждаются приказами с указанием ф.и.о. конкретных лиц, допущенных к обработке ПДн

6.

Определение правил доступа сотрудников в помещения, в которых ведется обработка ПДн

п.1б ПП РФ № 211 от 21.03.2012г.

 

1)Правила доступа сотрудников в помещения, предназначенные для обработки ПДн;

2)Список сотрудников, допущенных в помещения, предназначенных для обработки ПДн

 

7.

Определение правил работы с обезличенными ПДн

п.1б ПП РФ № 211 от 21.03.2012г.;

приказ Роскомнадзора № 996 от 05.09.2013г.;

1)Правила работы с обезличенными ПДн;

2)Перечень должностей сотрудников, ответственных за проведение обезличивания ПДн

Методические рекомендации Роскомнадзора от 13.12.2013г. о применении приказа № 996 по обезличиванию ПДн

8.

Установление контролируемой зоны организации (учреждения) и расположения ИСПДн относительно ее границ

п.13а ПП РФ № 1119 от 01.11.2012г.

 

1)Приказ о контролируемой зоне;

2) План контролируемой зоны организации (учреждения);

3)Перечень помещений, в которых производится обработка ПДн

 

9.

Определение правил рассмотрения запросов субъектов ПДн или их представителей

ч.1 и 3 ст.20 ФЗ № 152 от 27.07.2006г.

п.1б ПП РФ № 211 от 21.03.2012г.

Правила рассмотрения запросов субъектов ПДн или их представителей

 

10.

Осуществление внутреннего контроля и аудита соответствия обработки и защиты ПДн требованиям НМД

п.1 ч.4 ст.18.1 ФЗ № 152 от 27.07.2006г.;

п.п.1б, 1д ПП РФ № 211 от 21.03.2012г.

1)Приказ о назначении комиссии, осуществляющей внутренние проверки состояния обработки и защиты ПДн;

2)Правила осуществления внутренних проверок;

3) План внутренних проверок

4)Отчет о результатах проведения внутренней проверки

 

11.

Получение согласия  субъекта (в т.ч. письменного) на обработку его персональных данных

ч.1 ст.9, ч.3 ст.16, ч.2 ст.18 ФЗ № 152 от 27.07.2006г.;

п.1б ПП РФ № 211 от 21.03.2012г.

1)Типовая форма письменного согласия субъекта на обработку его ПДн;

2)Типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн;

3)Типовая форма обязательства сотрудника, осуществляющего обработку ПДн, прекратить обработку ПДн, ставшим известными ему в связи с исполнением служебных обязанностей, в случае расторжения с ним государственного или муниципального контракта

 

12.

Определение мест хранения материальных носителей ПДн

п.п.13,15 ПП РФ № 687 от 15.09.2008г.;

п.10 ПП РФ № 687 от 15.09.2008г.;

 

ПП РФ № 512 от 06.07.2008г. (для носителей биометрических ПДн)

 

1)Приказ об утверждении мест хранения материальных носителей ПДн;

2)Приказ о комиссии по уничтожению ПДн;

3)Акт об уничтожении ПДн субъектов;

4)Журнал учета материальных носителей, предназначенных для хранения ПДн

5)Журнал учета выдачи материальных носителей, содержащих ПДн

 

13.

Уведомление территориального органа Роскомнадзора о начале обработки ПДн

ст.22 ФЗ № 152 от 27.07.2006г.

Уведомление о начале обработки ПДн

 

14.

Учет проверок органами государственного контроля

ст.16 ч.8 ФЗ № 294 от 26.12.2008г.

Журнал учета проверок юридического лица, проводимыми органами государственного контроля (надзора)

 

15.

Определение актуальных угроз безопасности персональных данных при их обработке в ИСПДн, включая частные модели угроз для каждой ИСПДн

 

п.п.2.1, 5,7 ст.19 ФЗ № 152

от 27.07.2006г.;

п.7 ПП РФ № 1119 от 01.11.2012г. ;

 «Методика определения актуальных угроз безопасности ПДн …»

от 14.02.2008г. (ФСТЭК);

«Базовая модель угроз безопасности ПДн …»

от 15.02.2008г. (ФСТЭК);

«Методические рекомендации по обеспечению с помощью криптосредств

безопасности персональных данных…», (ФСБ) от 21.02.2008г. № 149/5-144 (в случае применения СКЗИ)

Модель угроз (частная модель угроз) безопасности персональных данных и модель нарушителя при их обработке в ИСПДн органа исполнительной власти, организации (учреждения)

Нормативные правовые акты (модели угроз) согласно п.7 ст.19 ФЗ № 152 от 27.07.2006г.

подлежат согласованию с ФСТЭК и ФСБ

16.

Классификация ИСПДн, обрабатывающих персональные данные и определение уровней защищенности ПДн

п.2 ч.2 ФЗ № 152 от 27.07.2006г.;

п.8 ПП РФ № 1119 от 01.11.2012г.

1)Приказ о назначении комиссии для проведения классификации ИСПДн;

2)Акт определения уровней защищенности ПДн

 

17.

Выбор мер по обеспечению безопасности ПДн для установленного уровня защищенности:

п.9 приказа ФСТЭК

 № 21 от 18.02.2013г.; Методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России  11.02.2014г.

1)Описание технологического процесса обработки ПДн в ИСПДн;

2)Техническое задание на создание системы защиты ПДн;

 

При признании актуальными угроз утечки информации по техническим каналам, в качестве методического документа при реализации мер защиты рекомендуется применять СТР-К

17.1.

Определение базового набора мер

17.2.

Адаптация базового набора мер

17.3.

Уточнение адаптированного базового набора мер

17.4.

Дополнение уточненного адаптированного базового набора мер

18.

Приобретение (закупка) и установка совокупности используемых в ИСПДн сертифицированных технических, программных и программно-технических СЗИ (СКЗИ) в зависимости от актуальных угроз безопасности ПДн и применяемых информационных технологий

ст.19 п.2.3 ФЗ № 152

от 27.07.2006г.;

п.п. 4, 13г ПП РФ № 1119 от 01.11.2012г.;

п.12 приказа ФСТЭК

№ 21 от 18.02.2013г.

 

1) Сертификаты ФСТЭК или ФСБ (СКЗИ);

2) Акты установки средств защиты

 

Для установки и настройки СЗИ возможно привлечение организаций, имеющих  лицензию ФСТЭК.

Для установки, настройки и сопровождения СКЗИ обязательно наличие лицензии ФСБ

19.

Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн

ст.19 п.2.8 ФЗ № 152 от 27.07.2006г.;

п.п.15, 16а ПП РФ № 1119 от 01.11.2012г.

1)Разрешительная система доступа (матрица) пользователей к информационным, аппаратным и программным ресурсам ИСПДн;

2)Приказ об использовании электронных журналов, включая их перечень и лиц, допущенных к ним

п. 2)

для 2 и 1 уровней защищенности ПДн

20.

Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации ИСПДн

п.1.6 ст.19 ФЗ № 152 от 27.07.2006г.

1) Приказ о назначении администратора ИСПДн и администратора безопасности ИСПДн;

2) Инструкция администратора безопасности ИСПДн;

3) Инструкция администратора ИСПДн;

4) Список лиц (пользователей), допущенных к обработке ПДн;

5) Список лиц, допущенных к эксплуатации  ИСПДн (обслуживающий персонал);

6) Инструкция пользователя при работе в ИСПДн;

7) Инструкция пользователя по обеспечению безопасности обработки ПДн, при возникновении внештатных ситуаций

 

21.

Разработка эксплуатационной документации на ИСПДн и СЗИ, а также организационно-распорядительной документации по защите информации

п.1 ст.18.1ФЗ № 152 от 27.07.2006г.;

п.1в ПП РФ № 211 от 21.03.2012г.;

«Типовые требования

по организации и обеспечению функционирования шифровальных

(криптографических) средств» (ФСБ) № 149/6/6-622 от 21.02.2008 г.;

п.13 приказа ФАПСИ

№ 152 от 13.06.2001г.

Приказ ФСБ от 10 июля 2014 г. N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

1)Приказ о назначении подразделения (сотрудника), ответственного за выполнение работ по криптографической защите ПДн (в случае использования СКЗИ);

2) Перечень по учету применяемых СЗИ, эксплуатационной и технической документации к ним;

4) Инструкция по обеспечению антивирусной защиты в ИСПДн;

5) Инструкция по организации парольной защиты в ИСПДн;

6) Положение (инструкция) о резервировании и восстановлении работоспособности ТС и ПО, баз данных и СЗИ ПДн;

7) Инструкция по порядку учета и хранения съемных носителей конфиденциальной информации;

8) Технический паспорт на ИСПДн;

9) Технический паспорт на ЗП (при наличии функции голосового ввода ПДн);

10) Журнал учета средств защиты информации;

11) Журнал учета машинных носителей информации (ПДн);

12) Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним;

13) Журнал учета ключевых носителей (СКЗИ);

14)Журнал инструктажей лиц, использующих СКЗИ, работе с ними

Перечень разрабатываемых документов является рекомендуемым

22.

Оценка (контроль) эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн (не реже 1 раза в 3 года)

п.2.4 ст.19 ФЗ № 152 от 27.07.2006г.;

п.6 приказа ФСТЭК

№ 21 от 18.02.2013г.;

п.17 ПП РФ № 1119

от 01.11.2012г.;

ГОСТ РО 0043-003-2012;

ГОСТ РО 0043-004-2013

1)Аттестат соответствия

2)Заключение по результатам аттестационных испытаний (контроля)

3)Протоколы контроля эффективности

Оценка эффективности может проводиться оператором самостоятельно или на договорной основе организацией, имеющей лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации.

Оценка (контроль) эффективности в форме аттестации является рекомендуемой мерой. В случае признания ИСПДн -  ГИС (МИС), аттестация является обязательной

23.

Состав мер обеспечения безопасности ПДн:

23.1.

Идентификация и аутентификация субъектов и объектов доступа

п.8.1 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

В качестве детализирующего организационные и технические меры, рекомендуется применять методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России от 11.02.2014г.

 

При признании актуальными угроз утечки информации по техническим каналам, в качестве методического документа при реализации мер защиты рекомендуется применять СТР-К

(ЗТС.1 приложения к приказу ФСТЭК № 21 от 18.02.2013г.)

 

 

23.2.

Управление доступом субъектов к объектам доступа

п.8.2 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

23.3.

Ограничение программной среды

п.8.3 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

23.4.

Защита машинных носителей информации, на которых хранятся и (или) обрабатываются ПДн

п.8.4 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

23.5.

Регистрация событий безопасности

п.8.5 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

23.6.

Антивирусная защита

п.8.6 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

23.7.

Обнаружение (предотвращение) вторжений

п.8.7 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

23.8.

Контроль (анализ) защищенности

п.8.8 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

23.9.

Обеспечение целостности информационной системы и ПДн

п.8.9 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

23.10

Обеспечение доступности ПДн

п.8.10 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

23.11

Защита среды виртуализации

п.8.11 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

23.12

Защита технических средств

п.8.12 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.;

СТР-К;

Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам

Протокол оценки (контроля)  эффективности

23.13

Защита информационной системы, ее средств, систем связи и передачи данных

п.8.13 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.

Протокол оценки (контроля)  эффективности

23.14

Выявление инцидентов, которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности ПДн, и реагирование на них

п.8.14 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.;

п.18.2 приказа ФСТЭК № 17 от 11.02.2013г. (для ГИС)

Журнал учета инцидентов

23.15

Управление конфигурацией информационной системы и системы защиты ПДн

п.8.15 и приложение к приказу ФСТЭК № 21 от 18.02.2013г.;

п.18.3 приказа ФСТЭК № 17 от 11.02.2013г. (для ГИС)

 

           

 

 

III. Ответственность за  нарушения законодательства в области защиты информации ограниченного доступа

 

6.1. В соответствии со ст.17 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите и информации», нарушение требований в области защиты информации ограниченного доступа влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. 

6.2. Уголовная ответственность (штраф, лишение свободы) предусмотрена:

- за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ст.138 УК РФ);

- за отказ в предоставлении гражданину информации (ст.140 УК РФ);

- за незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст.183 УК РФ);

- за неправомерный доступ к компьютерной информации (ст.272 УК РФ);

- за создание, использование и распространение вредоносных программ для ЭВМ (ст.273 УК РФ);

- за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274 УК РФ);

- за разглашение государственной тайны (ст.283 УК РФ) и утрату документов, содержащих государственную тайну (ст.284 УК РФ).

6.3. Административная ответственность (предупреждение, административный штраф) установлена:

- за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст.13.11 КоАП РФ, гл.14 ТК РФ);

- за нарушение правил защиты информации (ст.13.12 КоАП РФ);

- за незаконную деятельность в области защиты информации (ст.13.13 КоАП РФ);

- за разглашение информации с ограниченным доступом (ст.13.14 КоАП РФ);

- за осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии) (ст.19.20 КоАП РФ).

6.4. Гражданская ответственность (возмещение причиненного ущерба) наступает, если в силу нарушения правил работы с информацией нарушаются имущественные или личные неимущественные права лица, к которому эта информация имеет отношение (ст.ст.15,16 ГК РФ, ст.243 п.7 ТК РФ). Формы гражданской ответственности предусмотрены в ст.12 ГК РФ.

6.5. Дисциплинарная ответственность (замечание, выговор, увольнение) применяется к лицу, в трудовые обязанности которого входило соблюдение или обеспечение соблюдения правил работы с информацией (ст.90 ТК РФ). Виды дисциплинарных взысканий предусмотрены в ст.192 ТК РФ.

 

 

 

Приложение

 

Перечень основных нормативно-правовых и методических документов в области

защиты информации ограниченного доступа в Российской Федерации

 

Федеральные законы (Законы Российской Федерации):

  1.  «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ (ред. от 28.12.2013);
  2.  «О персональных данных» от 27 июля 2006 г. № 152-ФЗ (ред. от 23.07.2013);

 

Указы и распоряжения Президента Российской Федерации:

  1.  «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» от 17 марта 2008 г. № 351;

 

Нормативные правовые акты Правительства Российской Федерации:

  1. Постановление Правительства РФ от 18 мая 2009 г. № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»;
  2. Постановление Правительства РФ «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных и телекоммуникационных систем с использованием шифровальных (криптографических) средств …» от 16 апреля 2012 г. № 313;

 

Организационно-распорядительные документы по технической защите информации:

  1.  «Положение о Федеральной службе по техническому и экспортному контролю»,  утверждено Указом Президента Российской Федерации от 16 августа 2004 года № 1085;
  2. «Положение о сертификации средств защиты информации по требованиям безопасности информации», утверждено приказом председателя Гостехкомиссии России от 27 октября 1995 года № 199;
  3. «Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено председателем Гостехкомиссии России 25 ноября 1994 года;

Руководящие и специальные нормативные документы по технической защите информации:

  1.  «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утверждены приказом Гостехкомиссии России от 30 августа 2002 года   № 282;
  2. Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
  3. Федеральная служба безопасности Российской Федерации (№ 416). Федеральная служба по техническому и экспортному контролю (№ 489). Приказ от 31 августа 2010 года «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»;
  4. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  5. Методический документ «Меры защиты информации в государственных информационных системах», утвержден ФСТЭК России 11.02.2014г.

 

 

Документы по защите персональных данных

  1. Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  2. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  3. Постановление Правительства Российской Федерации от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» (ред. от 27.12.2012);
  4. Постановление Правительства Российской Федерации от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (ред. от 20.07.2013);
  5. Федеральная служба по техническому и экспортному контролю «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года;
  6. Федеральная служба по техническому и экспортному контролю «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года;
  7. Приказ ФСТЭК России от 18.02.2013г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  8. Федеральная служба безопасности России. 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
  9. Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия. Приказ от 28 марта 2008 г. № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
  10. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Наши События

zamdirektora-novgorodenergo-stal-glavoj-soletskogo-rajona

?
Направляемые сообщения не являются обращениями граждан, рассматриваемыми в порядке, установленном Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
 
Расскажите о проблеме
Написать сообщение

  

v-novgorodskoj-oblasti-v-testovom-rezhime-zarabotal-vechevoj-kolokol.jpg

P-75_logotip  

0_glav

Full_color

фап 2   

Без названия

ggvb.jpg

logoNB

Снимок

НПА 

Реализация указов Президента   

Портал государственных услуг Российской Федерации  

защита прав

200x200_logo@2x

 

 
 
 
© 2010 Администрация Солецкого муниципального района Новгородской области
МЕТОДИЧЕСКИЕ МАТЕРИАЛЫ
Яндекс.Метрика
<-----Sputnik_Veb_Stat----->