Технологии защиты информации, применяемые в учреждении

Организационно-правовая защита

Правовое обеспечение

Перечень нормативных документов, регламентирующих деятельность в области защиты информации:

• а) Конституция РФ
• б) Гражданский кодекс РФ
• в) Трудовой кодекс РФ (гл. 14, ст.85−90)
• г) Законы РФ:

«О персональных данных» от 27 июля 2006 г. № 152-ФЗ (на основе изменений, внесенных Федеральным законом от 21.07.2014 N 216-ФЗ) д) Указы президента РФ:

«Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188.

• е) Постановления Правительства РФ:
  • 1) «О перечне сведений, которые не могут составлять коммерческую тайну» от 5 декабря 1991 г. № 35
  • 2) «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01 ноября 2012 г. № 1119
  • 3) «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 г. № 687
• ж) Приказы ФСТЭК России:

«О составе и содержании мер по обеспечению безопасности персональных данных в ИСПДн».

• и) Методические материалы ФСТЭК России:
  • 1) «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
  • 2) «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
• к) Методические материалы ФСБ:
  • 1) «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»
  • 2) «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»
• л) Приказ ФСТЭК РФ, ФСБ РФ, Мининформсвязи РФ:

«Об утверждении Порядка проведения классификации информационных систем» «55/86/20.

• м) Стандарты по защите от НСД к информации:
  • 1) ГОСТ Р 50 922−2006. «Защита информации. Основные термины и определения»
  • 2) ГОСТ Р 34.11−2012 «Информационная технология. Криптографическая защита информации. Функция хэширования»

Локальные нормативно-правовые акты:

• а) Документы, определяющие правила обработки персональных данных:
  • 1) Политика информационной безопасности;
  • 2) Концепция обеспечения безопасности информации в информационных системах муниципального образования города Иркутска;
  • 3) Положение о защите персональных данных администрации;
  • 4) Положение об обработке персональных данных в администрации;
  • 5) Положение о защите персональных данных работников администрации" (ознакомление под расписку);
  • 6) Приказ по администрации о проведении резервного копирования данных, находящихся на серверах учреждения (во исполнение Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»);
• б) Перечни ИС ПДн:

Перечень информационных систем персональных данных, собственником которых является администрация города Иркутска (Постановление Мэра города Иркутска «Об обеспечении учета информационных систем персональных данных»).

в) Должностная инструкция ответственного за организацию обработки ПДн:

пункт 5 «Ответственность»: за распространение и/или необеспечение защиты ПДн, находящихся в информационной системе.

г) Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных:

Приказ о доступе в помещение серверной комнаты.

• д) Назначение ответственного за организацию обработки персональных данных в Учреждении из числа служащих данного Учреждения:
  • 1) Приказ о назначении ответственных за обеспечение безопасности персональных данных;
  • 2) Приказ о назначении ответственных за сбор, обработку и хранение персональных данных и доступа к ним;
  • 3) приказы и распоряжения начальников департаментов и председателей комитетов о назначении ответственных лиц за взаимодействие с рабочей группой по реализации Плана мероприятий, направленных на защиту персональных данных в информационных системах персональных данных администрации города Иркутска.
• е) Инструкции:
  • 1) Инструкции по эксплуатации информационной системы администрации города Иркутска;
  • 2) Инструкция по удалению учетных записей пользователей по их идентификаторам;
  • 3) Инструкция по грифам доступа;
  • 7) Инструкция по настройке ЭЦП;
  • 8) Инструкция по обновлению кода;
  • 9) Инструкция по противопожарной безопасности при эксплуатации оборудования и проведении работ в серверной комнате и аккумуляторном помещении;
  • 10) Инструкция о действиях администратора при ЧП;
  • 11) Инструкция о мерах пожарной безопасности в административных зданиях и помещениях;
  • 12) Инструкция о действиях при пожаре;
  • 13) Инструкции по охране труда;
  • 14) Инструкция по серверной и аккумуляторному помещению;
  • 15) Инструкция при работе с КМА;
  • 16) Инструкция по оказанию первой доврачебной помощи;
  • 17) Инструкция по охране труда при работе на ПЭВМ;
  • 18) Инструкция по электробезопасности для работников учреждения;
  • 19) Инструкция о порядке действия при угрозе и возникновении ЧС террористического характера;
  • 20) Инструкция по делопроизводству в администрации
  • 21) Технологическая инструкция.

Другие документы:

• 1) Модель угроз информационной системы «1С:Зарплата и Кадры» (модель вероятного нарушителя);
• 2) Приказ о создании комиссии для определения классификации информационных систем персональных данных (на основании Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).

Типовые формы документов:

• 1) расписка об ознакомлении работника с Положением о защите персональных данных;
• 2) соглашение (обязательство) о неразглашении сведений конфиденциального характера, полученных в ходе исполнения служебных обязанностей;
• 3) письменное согласие субъекта персональных данных на получение его персональных данных у третьих лиц;
• 4) согласие субъекта персональных данных на обработку его персональных данных;
• 5) согласие субъекта персональных данных о включении информации о его персональных данных;
• 6) запрос о доступе субъекта персональных данных к своим персональным данным;
• 7) уведомление об уничтожении, (изменении, прекращении обработки, устранении нарушений персональных данных);
• 8) акт классификации информационной системы персональных данных;
• 9) уведомление о получении персональных данных субъекта персональных данных от третьих лиц.

Документы, подтверждающие приобретение лицензий:

• 1) акт приема-передачи неисключительного ограниченного права на лицензионное программное обеспечение Symantec Endpoint Protection (ПО:Symantec Endpoint Protection 11.0 BNDL STD LIC GOV BAND A BASIC 12 MO, ПО: Symantec Endpoint Protection 11.0 BASIC-12 MONTHS GOV BAND A, ПО: Symantec Endpoint Protection 11.0 BASIC-12 MONTHS GOV BAND A) (всех по 780шт) (итого 390 000)
• 2) спецификация на программно-аппаратные средства СЗИ (система защиты информации Zlock-Box, модуль системы защиты информации Zlock) (итого 98 100)
• 3) акт приема-передачи неисключительных прав на лицензионное программное обеспечение (лицензия WinSvrEnt 2008R2 RUS OLP NL Acdmc (P72−4 201), лицензия WinRmtDsktpSrvcsCAL 2008 RUS OLP NL Acdmc DvcCAL (6VC-1 054)) (итого 42 472)
• 4) акт приема-передачи на поставку лицензий на право неисключительного пользования программным продуктом (Windows Server Enterprise 2008 R2 RusGov OPEN Level A (P72−4 230), SQL Server Standart Edition 2008 R2 Russian Government OPEN 1 License Level 1 A Proc (228−9 481) (всех по 2шт) (итого 515 850))