Главная  Правовые акты  Действующие правовые акты  Приказ от 24.09.2013 № 78

Приказ от 24.09.2013 № 78

word.gif скачать в формате Word                                                                                      Приложения к приказу 


А Д М И Н И С Т Р А Ц И Я
АЛТАЙСКОГО КРАЯ
ГЛАВНОЕ УПРАВЛЕНИЕ ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ АЛТАЙСКОГО КРАЯ

П Р И К А З
24.09.2013 № 78
г.Барнаул

О внесении изменений в приказ Главного управления имущественных отношений Алтайского края от 11.01.2012 № 6 «Об организации работы с персональными данными»
В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ
«Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»,
в целях совершенствования организации работы и проведения мероприятий
по защите персональных данных при их обработке в информационных системах персональных данных в Главном управлении имущественных отношений Алтайского края
п р и к а з ы в а ю:
1. Внести в приказ Главного управления имущественных отношений Алтайского края от 11.01.2012 № 6 «Об организации работы с персональными данными» следующие изменения и дополнения:
в Положение об обеспечении безопасности персональных данных
при их обработке в информационных системах персональных данных Главного управления имущественных отношений Алтайского края:
пункт 1.1 изложить в следующей редакции: «1.1. Положение
об обеспечении безопасности персональных данных при их обработке
в информационных системах персональных данных Главного управления имущественных отношений Алтайского края (далее - Положение) разработано
в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях
и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ
«О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации
от 21.03.2012 № 211 «Об утверждении перечня мер, направленных
на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии
с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке
в информационных системах персональных данных», приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке
в информационных системах персональных данных» и другими нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.»;
в пункте 2.4 слова «должностное лицо, ответственное за обеспечение безопасности персональных данных» заменить словами «ответственного
за организацию обработки персональных данных»;
пункт 2.5 изложить в следующей редакции: «2.5. Лица, доступ которых
к персональным данным, обрабатываемым в ИС персональных данных, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка лиц, допущенных к сведениям, содержащим конфиденциальную информацию
и персональные данные, с указанием помещений, в которых осуществляется обработка, и прав доступа к информационным и техническим ресурсам.»;
пункт 2.7 исключить;
пункты 2.8, 2.9 соответственно считать пунктами 2.7, 2.8;
раздел 4 изложить в следующей редакции:
«4. Методы и способы защиты информации в информационных системах персональных данных
4.1. Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного
или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.2. В целях определения мер защиты персональных данных должна быть разработана модель угроз безопасности персональных данных, обрабатываемых в ИС персональных данных, проведена оценка актуальных угроз безопасности персональных данных.
Модель угроз безопасности персональных данных корректируется
при изменении состава основных технических средств и условий эксплуатации ИС персональных данных отделом информатизации Главного управления имущественных отношений Алтайского края.
4.3. Для обеспечения принятого уровня защищенности персональных данных при обработке в ИС персональных данных необходимо выполнить следующие требования:
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц,
не имеющих права доступа в эти помещения;
обеспечение сохранности носителей персональных данных;
утверждение документа, определяющего перечень лиц, доступ которых
к персональным данным, обрабатываемым в информационной системе, необходим для исполнения ими служебных (трудовых) обязанностей;
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации
в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
4.4. Для обеспечения принятого уровня защищенности персональных данных при обработке в ИС персональных данных должны быть реализованы следующие мероприятия, входящие в состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных, с учетом актуальных угроз безопасности персональных данных
и применяемых информационных технологий:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся
и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.
4.5. В целях обеспечения безопасности персональных данных оператором должны быть разработаны организационно-распорядительные
и организационно-методические документы по обеспечению безопасности
и конфиденциальности персональных данных, обрабатываемых в ИС:
правила рассмотрения запросов субъектов персональных данных
или их представителей;
правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
порядок доступа сотрудников Главного управления имущественных отношений Алтайского края в помещения, в которых ведется обработка персональных данных;
перечень информационных систем персональных данных Главного управления имущественных отношений Алтайского края;
перечни персональных данных, обрабатываемых в Главном управлении имущественных отношений Алтайского края;
типовая форма обязательства о неразглашении сведений конфиденциального характера и персональных данных;
типовая форма согласия на обработку персональных данных;
типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
список лиц, допущенных к сведениям, содержащим конфиденциальную информацию и персональные данные, с указанием помещений, в которых осуществляется обработка, и прав доступа к информационным и техническим ресурсам;
инструкция ответственного за организацию обработки персональных данных в Главном управлении имущественных отношений Алтайского края;
инструкция администратора информационной безопасности;
инструкция по работе пользователей в автоматизированной системе;
инструкция по проведению антивирусного контроля
в автоматизированной системе;
инструкция по организации парольной защиты в автоматизированной системе;
инструкция по организации работы с электронными носителями персональных данных и другой конфиденциальной информации;
порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в автоматизированной системе;
инструкция о порядке технического обслуживания, ремонта, модернизации технических средств, входящих в состав автоматизированной системы Главного управления имущественных отношений Алтайского края;
инструкция о порядке удаления (изменения) персонифицированных записей из (в) информационных систем.
Лица, уполномоченные осуществлять обработку персональных данных, несут ответственность за защиту персональных данных в порядке, предусмотренном действующим законодательством Российской Федерации.»;
пункт 5.1 изложить в следующей редакции: «5.1. Начальник Главного управления имущественных отношений Алтайского края:
назначает ответственного за организацию обработки персональных данных в Главном управлении имущественных отношений Алтайского края;
назначает администратора информационной безопасности Главного управления имущественных отношений Алтайского края;
утверждает организационно-распорядительные документы
по обеспечению безопасности и конфиденциальности персональных данных;
утверждает расходы на финансовое, материально–техническое и иное обеспечение мероприятий по защите персональных данных при их обработке
в ИС персональных данных Главного управления имущественных отношений Алтайского края;
принимает решения о необходимости проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.»;
пункт 5.3 изложить в следующей редакции: «5.3. Ответственный
за организацию обработки персональных данных в Главном управлении имущественных отношений Алтайского края:
осуществляет координацию организационных мероприятий, направленных на обеспечение защиты персональных данных при их обработке в ИС персональных данных;
осуществляет методическое руководство сотрудников Главного управления имущественных отношений Алтайского края, имеющих доступ
к персональным данным, в вопросах обеспечения безопасности персональных данных;
отвечает за поддержание необходимого уровня безопасности объектов защиты, является уполномоченным на проведение работ по технической защите информации и поддержанию достигнутого уровня защиты ИС персональных данных и ее ресурсов на этапах эксплуатации и модернизации;
осуществляет внутренний контроль за соблюдением требований законодательства Российской Федерации, организационно-распорядительных документов по обеспечению безопасности персональных данных
при их обработке в ИС и правил обработки персональных данных в Главном управлении имущественных отношений Алтайского края, в том числе требований к защите персональных данных;
участвует в планировании мероприятий по защите информации, контролирует их выполнение и эффективность;
утверждает организационно-методические документы по обеспечению безопасности и конфиденциальности персональных данных;
утверждает список лиц, допущенных к сведениям, содержащим конфиденциальную информацию и персональные данные, с указанием помещений, в которых осуществляется обработка, и прав доступа
к информационным и техническим ресурсам;
обеспечивает проведение служебных расследований по фактам
и попыткам несанкционированного доступа к ИС персональных данных;
отвечает за организацию расследований причин и условий появления нарушений безопасности ИС персональных данных, разработку предложений по устранению недостатков и предупреждению подобного рода нарушений.»;
пункт 5.4 изложить в следующей редакции: «5.4. Пользователь
ИС персональных данных:
отвечает за установленный порядок использования технического
и программного обеспечения, а также применение технических и программных средств защиты информации;
соблюдает требования руководящих документов по обеспечению безопасности информации;
соблюдает утвержденную разрешительную систему доступа
к техническим средствам и информации, обрабатываемой в ИС персональных данных;
немедленно докладывает администратору информационной безопасности и информирует ответственного за организацию обработки персональных данных о фактах и попытках несанкционированного доступа к обрабатываемой (хранящейся) информации в ИС персональных данных.»;
пункт 6.2. изложить в следующей редакции: «Текущий контроль выполнения организационных мероприятий, направленных на обеспечение защиты персональных данных при их обработке в ИС персональных данных, осуществляется ответственным за организацию обработки персональных данных и администратором информационной безопасности ИС персональных данных.»;
раздел 6 дополнить пунктом 6.3 следующего содержания: «Проверки соответствия обработки персональных данных установленным требованиям
к защите персональных данных при их обработке в ИС персональных данных организуются и проводятся комиссией самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже
1 раза в 3 года на основании приказа начальника Главного управления.».
2. Начальнику отдела информатизации Сусловой С.В. опубликовать на официальном сайте Главного управления имущественных отношений Алтайского края и разместить на общедоступном сетевом ресурсе Главного управления имущественных отношений Алтайского края настоящий приказ.
3. Контроль за исполнением настоящего приказа возложить на заместителя начальника Главного управления имущественных отношений Алтайского края, ответственного за организацию обработки персональных данных Комиссарова М.Ю.
 
 
Начальник Главного управления                                                А.М. Тютюнник