О политике администрации Шараповского сельского поселения в отношении обработки персональных данных

177.5 Кб
скачать

34 от 07.06.2013

РФ
АДМИНИСТРАЦИЯ ШАРАПОВСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ ЗАПАДНОДВИНСКОГО РАЙОНА
ТВЕРСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

07.06.2013 д.Севостьяново № 34

О политике администрации Шараповского
сельского поселения в отношении
обработки персональных данных

В целях обеспечения защиты персональных данных граждан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», администрация Шараповского сельского поселения ПОСТАНОВЛЯЕТ:

1. Утвердить Политику администрации Шараповского сельского поселения в отношении персональных данных (приложение).

2. Контроль за исполнением настоящего постановления оставляю за собой.

3. Настоящее постановление вступает в силу со дня его официального обнародования и подлежит размещению на официальном сайте администрации поселения.

Глава администрации
Шараповского сельского поселения В.Е.Иванов

Приложение к постановлению администрации Шараповского сельского поселения
от 07.06.2013 г. № 34

ПОЛИТИКА
администрации Шараповского сельского поселения в отношении обработки персональных данных

1. Общие положения
1.1. Термины и определения
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персо-нальных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами органи-зующие и (или) осуществляющие обработку персональных данных, а также опре-деляющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или сово¬купность действий (операций), совершаемых с использованием средств автомати¬зации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, из¬менение), извлечение, использование, передачу (распространение, предоставле¬ние, доступ), обезличивание, блокирование, удаление, уничтожение персональ¬ных данных.
Автоматизированная обработка персональных данных - обработка пер¬сональных данных с помощью средств вычислительной техники.
Распространение персональных данных - действия, направленные на рас¬крытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на рас¬крытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработ¬ки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в ин-формационной системе персональных данных и (или) в результате которых унич-тожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации опре-делить принадлежность персональных данных конкретному субъекту персональ-ных данных.

Информационная система персональных данных - совокупность содер-жащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных - передача персональ¬ных данных на территорию иностранного государства органу власти иностранно¬го государства, иностранному физическому лицу или иностранному юридическо¬му лицу.
1.2. Назначение и правовая основа документа.
Политика администрации Шараповского сельского поселения Западнодвинского района Тверской области (да¬лее - администрация поселения ) определяет систему взглядов на проблему обеспече¬ния безопасности персональных данных и представляет собой систематизирован¬ное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется администрация в своей деятельности, а также основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности персональных данных.
Законодательной основой настоящей Политики являются Конституция Рос¬сийской Федерации, Гражданский, Уголовный и Трудовой кодексы Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных дан¬ных», Федеральный закон от 06.10.2003 №131-Ф3 «Об общих принципах органи¬зации местного самоуправления в Российской Федерации», законы, указы, поста¬новления, другие нормативные акты действующего законодательства Российской Федерации, документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности России.
Использование данной Политики в качестве основы для построения ком-плексной системы информационной безопасности персональных данных админи¬страции поселения позволит оптимизировать затраты на ее построение.
При разработке Политики учитывались основные принципы создания ком-плексных систем обеспечения безопасности информации, характеристики и воз-можности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информа¬ции.
Основные положения Политики базируются на качественном осмыслении вопросов безопасности информации и не затрагивают вопросов экономического (количественного) анализа рисков и обоснования необходимых затрат на защиту информации.
2. Объекты защиты
Основными объектами системы безопасности персональных данных в администрации поселения являются:
- информационные ресурсы с ограниченным доступом, содержащие персональные данные;
- процессы обработки персональных данных в информационной системе персональных данных администрации, информационные технологии, регламенты
и процедуры сбора, обработки, хранения и передачи информации, персонал раз-работчиков и пользователей системы и ее обслуживающий персонал;
- информационная инфраструктура, включающая системы обработки и
анализа информации, технические и программные средства ее обработки, передачи¬
и отображения, в том числе каналы информационного обмена и телекоммуни-кации, системы и средства защиты информации, объекты и помещения, в которых
расположены технические средства обработки персональных данных.
3. Цели и задачи обеспечения безопасности персональных данных
3.1. Интересы затрагиваемых субъектов информационных отношений.
Субъектами информационных отношений при обеспечении безопасности
персональных данных администрации поселения являются:
- администрация поселения, как собственник информационных ресурсов;
- руководство и сотрудники администрации поселения, в соответствии с воз¬ложенными на них функциями.
Перечисленные субъекты информационных отношений заинтересованы в обеспечении:
- своевременного доступа к необходимым им персональным данным (их доступности);
- достоверности (полноты, точности, адекватности, целостности) персо¬нальных данных;
- конфиденциальности (сохранения в тайне) персональных данных;
- защиты от навязывания им ложных (недостоверных, искаженных) пер¬сональных данных;
- разграничения ответственности за нарушения их прав (интересов) и ус¬тановленных правил обращения с персональными данными;
- возможности осуществления непрерывного контроля и управления про¬цессами обработки и передачи персональных данных;
- защиты персональных данных от незаконного распространения.
3.2. Цели защиты.
Основной целью, на достижение которой направлены все положения на¬стоящей Политики, является защита субъектов информационных отношений ад¬министрации района от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на персональные данные, их носители, процессы обработки и пере¬дачи.
Указанная цель достигается посредством обеспечения и постоянного под¬держания следующих свойств персональных данных:
- доступности персональных данных для легальных пользователей (устой¬чивого функционирования информационной системы администрации района, при котором пользователи имеют возможность получения необходимых персональ¬ных данных и результатов решения задач за приемлемое для них время);

- целостности и аутентичности (подтверждение авторства) персональных данных, хранимых и обрабатываемых в информационной системе администрации района и передаваемой по каналам связи;
- конфиденциальности - сохранения в тайне определенной части персо-нальных данных, хранимых, обрабатываемых и передаваемых по каналам связи.
Необходимый уровень доступности, целостности и конфиденциальности персональных данных обеспечивается соответствующими множеству значимых угроз методами и средствами.
3.3. Основные задачи системы обеспечения безопасности персональных данных.
Для достижения основной цели защиты и обеспечения указанных свойств персональных данных система обеспечения информационной безопасности адми¬нистрации района должна обеспечивать эффективное решение следующих задач:
- своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационной системы администрации рай-она;
- создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
- создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление нега-тивного влияния и ликвидация последствий нарушения безопасности информа-ции;
- защиту от вмешательства в процесс функционирования информационной системы администрации поселения посторонних лиц (доступ к информационным ре¬сурсам должны иметь только зарегистрированные в установленном порядке поль¬зователи);
- разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам администрации района (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необ¬ходимы конкретным пользователям для выполнения своих служебных обязанно¬стей), то есть защиту от несанкционированного доступа;
- обеспечение аутентификации пользователей, участвующих в информа-ционном обмене (подтверждение подлинности отправителя и получателя инфор-мации);
- защиту от несанкционированной модификации используемых в инфор-мационной системе администрации программных средств, а также защиту систе-мы от внедрения несанкционированных программ, включая компьютерные виру-сы;
- защиту информации ограниченного пользования от утечки по техниче-ским каналам при ее обработке, хранении и передаче по каналам связи.

3.4. Основные пути решения задач системы защиты.
Поставленные основные цели защиты и решение перечисленных выше за-дач достигаются:
- строгим учетом всех подлежащих защите ресурсов информационной системы администрации (информации, задач, документов, каналов связи, серве-ров, автоматизированных рабочих мест);
- журналированием действий персонала, осуществляющего обслуживание и модификацию программных и технических средств информационной системы;
- полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов администрации поселения по вопро¬сам обеспечения безопасности информации;
- подготовкой должностных лиц (сотрудников), ответственных за органи-зацию и осуществление практических мероприятий по обеспечению безопасности персональных данных и процессов их обработки;
- наделением каждого сотрудника (пользователя) минимально необходи-мыми для выполнения им своих функциональных обязанностей полномочиями по доступу к информационным ресурсам администрации поселения;
- четким знанием и строгим соблюдением всеми пользователями инфор-мационной системы администрации поселения требований организационно-распорядительных документов по вопросам обеспечения безопасности персо-нальных данных;
- персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей имеющего доступ к информацион-ным ресурсам администрации поселения;
- непрерывным поддержанием необходимого уровня защищенности эле-ментов информационной среды администрации поселения;
- применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
- эффективным контролем над соблюдением пользователями информаци¬онных ресурсов администрации требований по обеспечению безопасности ин¬формации;
- юридической защитой интересов администрации поселения при взаимодей¬ствии с внешними организациями (связанном с обменом персональными данны¬ми) от противоправных действий, как со стороны этих организаций, так и от не¬санкционированных действий обслуживающего персонала и третьих лиц.

<4. Основные принципы построения системы безопасности
персональных данных

Построение системы, обеспечения безопасности персональных данных ад¬министрации поселения, и ее функционирование должны осуществляться в соответ¬ствии со следующими основными принципами:
- законность;
- системность;
- комплексность;
- непрерывность;
- своевременность;
- преемственность и непрерывность совершенствования;
- разумная достаточность (экономическая целесообразность);
- персональная ответственность;
- минимизация полномочий;
- исключение конфликта интересов;
- взаимодействие и сотрудничество;
- гибкость системы защиты;
- открытость алгоритмов и механизмов защиты;
- простота применения средств защиты;
- обоснованность и техническая реализуемость;
- специализация и профессионализм;
- обязательность контроля.
4.1. Законность.
Предполагает осуществление защитных мероприятий и разработку системы безопасности персональных данных администрации поселения в соответствии с дей¬ствующим законодательством в области защиты персональных данных, а также других законодательных актов по безопасности информации РФ, с применением всех дозволенных методов обнаружения и пресечения правонарушений при рабо¬те с персональными данными. Принятые меры безопасности персональных дан¬ных не должны препятствовать доступу правоохранительных органов в преду¬смотренных законодательством случаях.
Все пользователи информационной системы администрации поселения должны иметь представление об ответственности за правонарушения в области обработки персональных данных.
4.2. Системность.
Системный подход к построению системы защиты информации в админи-страции поселения предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для пони¬мания и решения проблемы обеспечения безопасности персональных данных.
При создании системы защиты должны учитываться все слабые и наиболее уязвимые места информационной системы администрации района, а также харак¬тер, возможные объекты и направления атак на нее со стороны нарушителей (осо¬бенно высококвалифицированных злоумышленников). Система защиты должна строиться с учетом не только всех известных каналов проникновения и несанкционированного
доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
4.3. Комплексность.
Комплексное использование методов и средств защиты компьютерных сис-тем предполагает согласованное применение разнородных средств при построе-нии целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мера¬ми.
4.4. Непрерывность защиты.
Обеспечение безопасности персональных данных - процесс, осуществляе-мый руководством администрации поселения, администратором безопасности ин¬формационной системы и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок време¬ни или совокупность средств защиты, сколько процесс, который должен постоян¬но идти на всех уровнях внутри администрации и каждый сотрудник администра¬ции должен принимать участие в этом процессе. Деятельность по обеспечению информационной безопасности является составной частью повседневной деятель¬ности администрации. И ее эффективность зависит от участия руководства адми¬нистрации поселения в обеспечении информационной безопасности персональных данных.
Кроме того, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организацион¬ная (административная) поддержка (своевременная смена и обеспечение правиль¬ного хранения и применения имен, паролей, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления защиты.
4.5. Своевременность.
Предполагает упреждающий характер мер обеспечения безопасности пер-сональных данных, то есть постановку задач по комплексной защите персональ-ных данных и реализацию мер обеспечения безопасности персональных данных на ранних стадиях разработки информационных систем в целом и их систем за-щиты, в частности.
Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой информационной системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) систе-мы, обладающие достаточным уровнем защищенности.
4.6. Преемственность и совершенствование.

Предполагает постоянное совершенствование мер и средств защиты персо¬нальных данных на основе преемственности организационных и технических ре¬шений, кадрового состава, анализа функционирования информационной системы администрации района и системы ее защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигну¬того отечественного и зарубежного опыта в этой области.
4.7. Разумная достаточность (экономическая целесообразность).
Предполагает соответствие уровня затрат на обеспечение безопасности пер¬сональных данных ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Исполь¬зуемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы компонентов ин¬формационной системы администрации района. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.
Создать абсолютно непреодолимую систему защиты принципиально невоз¬можно. Пока персональные данные находятся в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств воз¬можно преодолеть любую защиту. Поэтому имеет смысл рассматривать некото¬рый приемлемый уровень обеспечения безопасности. Высокоэффективная систе¬ма защиты стоит дорого, использует при работе существенную часть ресурсов и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
4.8. Персональная ответственность.
Предполагает возложение ответственности за обеспечение безопасности персональных данных и системы их обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязан¬ностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
4.9. Минимизация полномочий.
Означает предоставление пользователям минимальных прав доступа в соот¬ветствии со служебной необходимостью. Доступ к персональным данным должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.
4.10. Исключение конфликта интересов (разделение функций).
Эффективная система обеспечения информационной безопасности предпо¬лагает четкое разделение обязанностей сотрудников и исключение ситуаций, ко¬гда сфера ответственности сотрудников допускает конфликт интересов. Сферы потенциальных конфликтов должны выявляться, минимизироваться, и находится под строгим независимым контролем. Реализация данного принципа предполагает,
что не один сотрудник не должен иметь полномочий, позволяющих ему еди-нолично осуществлять выполнение критичных операций. Наделение сотрудников полномочиями, порождающими конфликт интересов, дает ему возможность под¬тасовывать информацию в корыстных целях или с тем, чтобы скрыть проблемы или понесенные убытки. Для снижения риска манипулирования персональными данными и риска хищения, такие полномочия должны в максимально возможной степени быть разделены между различными сотрудниками или подразделениями администрации района. Необходимо проводить периодические проверки обязан¬ностей, функций и деятельности сотрудников, выполняющих ключевые функции, с тем, чтобы они не имели возможности скрывать совершение неправомерных действий. Кроме того, необходимо принимать специальные меры по недопуще¬нию сговора между сотрудниками.
4.11. Взаимодействие и сотрудничество.
Предполагает создание благоприятной атмосферы в коллективе админист-рации района. В такой обстановке сотрудники должны осознанно соблюдать ус-тановленные правила и оказывать содействие деятельности администратора безо¬пасности информационной системы персональных данных.
Важным элементом эффективной системы обеспечения безопасности пер-сональных данных в администрации района является высокая культура работы с информацией. Руководство администрации района несет ответственность за стро¬гое соблюдение этических норм и стандартов профессиональной деятельности, подчеркивающей и демонстрирующей персоналу на всех уровнях важность обес¬печения информационной безопасности администрации. Все сотрудники админи¬страции района должны понимать свою роль в процессе обеспечения информаци¬онной безопасности и принимать участие в этом процессе. Несмотря на то, что высокая культура обеспечения информационной безопасности не гарантирует ав¬томатического достижения целей, ее отсутствие создает больше возможностей для нарушения безопасности или не обнаружения фактов ее нарушения.
4.12. Гибкость системы защиты.
Система обеспечения информационной безопасности должна быть способна реагировать на изменения внешней среды и условий осуществления администра¬цией района своей деятельности. В число таких изменений входят:
- изменения организационной и штатной структуры администрации рай-она;
- изменение существующих или внедрение принципиально новых инфор¬мационных систем;
- новые технические средства.
Свойство гибкости системы обеспечения информационной безопасности избавляет в таких ситуациях от необходимости принятия кардинальных мер по полной замене средств и методов защиты на новые, что снижает ее общую стои-мость.
4.13. Открытость алгоритмов и механизмов защиты.
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной ор¬ганизации и алгоритмов функционирования ее подсистем. Знание алгоритмов ра¬боты системы защиты не должно давать возможности ее преодоления (даже авто¬рам). Это, однако, не означает, что информация об используемых системах и ме¬ханизмах защиты должна быть общедоступна.
4.14. Простота применения средств защиты.
Механизмы и методы защиты должны быть интуитивно понятны и просты в использовании. Применение средств и методов защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значи¬тельных дополнительных трудозатрат при обычной работе зарегистрированных пользователей, а также не должно требовать от пользователя выполнения рутин¬ных малопонятных ему операций.
4.15. Обоснованность и техническая реализуемость.
Информационные технологии, технические и программные средства, сред¬ства и меры защиты персональных данных должны быть реализованы на совре¬менном уровне развития науки и техники, обоснованы с точки зрения достижения заданного уровня безопасности информации и экономической целесообразности, а также должны соответствовать установленным нормам и требованиям по безо¬пасности персональных данных.
4.16. Специализация и профессионализм.
Предполагает привлечение к разработке средств и реализации мер защиты персональных данных специализированных организаций, наиболее подготовлен¬ных к конкретному виду деятельности по обеспечению безопасности информаци¬онных ресурсов, имеющих опыт практической работы и государственную лицен¬зию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подго¬товленными специалистами администрации района (администратором безопасно¬сти информационной системы персональных данных).
4.17. Обязательность контроля.
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил, обеспечения безопасности персо¬нальных данных, на основе используемых систем и средств защиты персональных данных, при совершенствовании критериев и методов оценки эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе приме¬нения средств оперативного контроля и регистрации и должен охватывать как не¬санкционированные, так и санкционированные действия пользователей.
Кроме того, эффективная система обеспечения информационной безопасно¬сти требует наличия адекватной и всеобъемлющей информации о текущем со¬стоянии процессов, связанных с движением информации и сведений о соблюдении установленных нормативных требований, а также дополнительной информации, имеющей отнесение к принятию решений. Информация должна быть надежной, своевременной, доступной и правильно оформленной.
Недостатки системы обеспечения информационной безопасности, выявленные сотрудниками администрации должны немедленно доводиться до сведения главы администрации и оперативного устранения. Вопросы, которые кажутся незначительными, когда отдельные процессы рассматриваются изолированно, при рассмотрении их наряду с другими аспектами могут указать на отрицательные тенденции, грозящие перерасти в крупные недостатки, если они не будут своевременно устранены.
5. Меры, методы и средства обеспечения требуемого уровня защиты информационных ресурсов
5.1. Меры обеспечения информационной безопасности
Все меры обеспечения безопасности информационной системы администрации поселения подразделяются на:
- правовые (законодательные);
- морально-этические;
- технологические;
- организационные (административные);
- физические;
- технические (аппаратурные и программные).
5.1.1.Законодательные (правовые) меры защиты.
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с персональными данными, закрепляющие права и обязанности участников информационных отношений в процессе их обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом информационной системы администрации района.
5.1.2. Морально-этические меры защиты.
К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как законодательство утвержденные нормативные акты, однако, их несоблюдение может привести к падению авторитета, престижа человека, группы лиц или администрации в целом. Морально-этические нормы бывают как неписанные, так и писанные, то есть оформленные в некоторой свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективе.
5.1.3. Технологические меры защиты.
К данному виду мер защиты относятся разного рода технологические реше-ния и приемы, основанные на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направлен-ные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий.
5.1.4. Организационные (административные) меры защиты.
Организационные (административные) меры защиты - это меры организа-ционного характера, регламентирующие процессы функционирования системы обработки персональных данных, использование ее ресурсов, деятельность об-служивающего персонала, а также порядок взаимодействия пользователей с сис-темой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
5.2. Формирование политики безопасности.
Главная цель административных мер, предпринимаемых на высшем управ¬ленческом уровне - сформировать политику в области обеспечения безопасности персональных данных (отражающую подходы к защите персональных данных) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состоя¬ние дел.
С практической точки зрения политику в области обеспечения безопасности персональных данных в администрации района целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие дея¬тельность администрации в целом. Политика верхнего уровня должна четко очер¬тить сферу влияния и ограничения при определении целей безопасности персо¬нальных данных, определить какими ресурсами (материальные, структурные, ор¬ганизационные) они будут достигнуты, и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью.
Политика нижнего уровня, определяет процедуры, и правила достижения целей и решения задач безопасности персональных данных и детализирует (рег-ламентирует) эти правила:
- каковы роли и обязанности должностных лиц, отвечающие за проведе-ние политики безопасности персональных данных;
- кто имеет права доступа к персональным данным, кто и при каких усло-виях может читать и модифицировать персональные данные и т.д.
Политика нижнего уровня должна:
- предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении информационных ресурсов;
- определять коалиционные и иерархические принципы и методы разделе¬ния секретов и разграничения доступа к персональным данным;
- выбирать программно-технические (аппаратные) средства противодействия НСД, аутентификации, авторизации, идентификации и других защитных ме¬ханизмов, обеспечивающих гарантии реализации прав и ответственности субъек¬тов информационных отношений.
- 5.3. Регламентация доступа в помещения.
Компоненты информационной системы администрации поселения должны размещаться в помещениях, находящихся под охраной или наблюдением, исклю-чающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении за-щищаемых ресурсов (документов, АРМ и т.п.). Уборка таких помещений должна производиться в присутствии ответственного сотрудника, за которым закреплены данные компоненты, с соблюдением мер, исключающих доступ посторонних лиц к защищаемым информационным ресурсам.
Во время обработки персональных данных в таких помещениях должен присутствовать только персонал, допущенный к работе с персональными данны-ми. Запрещается прием посетителей в помещениях, когда осуществляется обра-ботка персональных данных.
По окончании рабочего дня, помещения, в которых размещаются компонен-ты информационной системы администрации поселения, должны запираться на ключ.
В случае оснащения помещений средствами охранной сигнализации, а так¬же автоматизированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специ¬ально разрабатываемой инструкции.
5.4. Регламентация допуска сотрудников к использованию информацион¬ных ресурсов
В рамках разрешительной системы (матрицы) доступа устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях.
Допуск пользователей к работе с информационной системой администрации и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем должны производиться установ¬ленным порядком.
Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:
- каждый сотрудник пользуется только предписанными ему правами по
отношению к персональным данным, с которыми ему необходима работать в со¬ответствии с должностными обязанностями. Расширение прав доступа и предос¬тавление доступа к дополнительным информационных ресурсам, в обязательном порядке, должно согласовываться с администратором безопасности информаци¬онной системы персональных данных;
- глава поселения имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обя¬занностями.
Все сотрудники администрации района и обслуживающий персонал, долж¬ны нести персональную ответственность за нарушения установленного порядка обработки персональных данных, правил хранения, использования и передачи на¬ходящихся в их распоряжении защищаемых ресурсов системы. Каждый сотруд¬ник (при приеме на работу) должен подписывать обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению персо¬нальных данных администрации поселения.
Обработка персональных данных в компонентах информационной системы администрации поселения должна производиться в соответствии с утвержденными технологическими инструкциями.
5.5. Регламентация процессов обслуживания и осуществления модификации¬
аппаратных и программных ресурсов
В целях поддержания режима информационной безопасности аппаратно-программная конфигурация автоматизированных рабочих мест сотрудников ад-министрации поселения, с которых возможен доступ к ресурсам информационной системы, должна соответствовать кругу возложенных на данных пользователей функциональных обязанностей.
В компонентах информационной системы и на рабочих местах пользовате¬лей должны устанавливаться и использоваться лицензионные программные сред¬ства.
5.6. Обеспечение и контроль физической целостности (неизменности кон¬
фигурации) аппаратных ресурсов
Оборудование информационной системы, используемое для доступа и хра¬нения персональных данных, к которому доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к его компонентам должно закрываться.
5.7. Подбор и подготовка персонала, обучение пользователей
Пользователи информационной системы администрации поселения, а также руководящий и обслуживающий персонал должны быть ознакомлены со своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки персональных данных в администрации поселения.
Обеспечение безопасности персональных данных возможно только после выработки у пользователей определенной культуры работы, т.е. норм, обязатель-ных для исполнения всеми, кто работает с информационными ресурсами админи¬страции района. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу компонен¬тов информационной системы, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают инте¬ресы законных пользователей, владельцев или собственников.
Все пользователи информационной системы администрации поселения должны быть ознакомлены с организационно-распорядительными документами по обес¬печению безопасности персональных данных администрации поселения, в части, их касающейся, должны знать и неукоснительно выполнять инструкции и знать об¬щие обязанности по обеспечению безопасности персональных данных. Доведение требований указанных документов до лиц, допущенных к обработке защищаемых персональных данных, должно осуществляться под роспись.
5.8. Ответственность за нарушения установленного порядка пользования
ресурсами информационной системы администрации поселения.
Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной работы с персональными данны¬ми, должна определяться нанесенным ущербом, наличием злого умысла и други¬ми факторами по усмотрению главы поселения.
Для реализации принципа персональной ответственности пользователей за свои действия необходимы:
- индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора (login, Username), на базе которого будет осуществляться разграничение доступа в соответствии с принци¬пом обоснованности доступа;
- проверка подлинности пользователей (аутентификация) на основе паро¬лей;
- реакция на попытки несанкционированного доступа (сигнализация, бло¬кировка и т.д.).
5.9. Средства обеспечения безопасности персональных данных
Для обеспечения информационной безопасности администрации поселения ис¬пользуются следующие средства защиты:
- физические средства;
- технические средства;
- средства идентификации и аутентификации пользователей;
- средства разграничения доступа;
- средства обеспечения и контроля целостности;
- средства оперативного контроля и регистрации событий безопасности.
Средства защиты должны применяться ко всем ресурсам информационной
системы администрации поселения, независимо от их вида и формы представления информации в них.
5.9.1. Физические средства защиты
Физические меры защиты основаны на применении разного рода механиче¬ских, электронных или электронно-механических устройств и сооружений, спе¬циально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемым персональным данным, а также технических средств визу¬ального наблюдения, связи и охранной сигнализации.
Для обеспечения физической безопасности компонентов информационной системы администрации района необходимо осуществлять ряд организационных и технических мероприятий, включающих: проверку оборудования, предназна¬ченного для обработки персональных данных, на:
- наличие специально внедренных закладных устройств;
- введение дополнительных ограничений по доступу в помещения, пред-назначенные для хранения и обработки персональных данных;
- оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи.
5.9.2. Технические средства защиты
Технические (аппаратно-программные) меры защиты основаны на исполь-зовании различных электронных устройств и специальных программ и выпол-няющих (самостоятельно или в комплексе с другими средствами) функции защи-ты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
С учетом всех требований и принципов обеспечения безопасности персо-нальных данных по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:
- средства разграничения доступа к данным;
- средства регистрации доступа к компонентам информационной системы и контроля за использованием информации;
- средства реагирования на нарушения режима информационной безопас¬ности.
На технические средства защиты возлагается решение следующих основных задач:
- идентификация и аутентификация пользователей при помощи имен или специальных аппаратных средств (Advantor, Touch Memory, Smart Card и т.п.);
- регламентация и управление доступом пользователей в помещения, к физическим и логическим устройствам;
- защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;

- регистрация всех действий пользователя в защищенном журнале, нали¬чие нескольких уровней регистрации;
- защита данных системы защиты на файловом сервере от доступа пользо¬вателей, в чьи должностные обязанности не входит работа с информации, нахо¬дящейся на нем.
5.9.3. Средства идентификации и аутентификации пользователей
В целях предотвращения работы с ресурсами информационной системы ад¬министрации поселения посторонних лиц необходимо обеспечить возможность распознавания каждого легального пользователя (или групп пользователей). Для идентификации могут применяться различного рода устройства: магнитные кар¬точки, ключи, ключевые вставки, дискеты и т.п.
Аутентификация (подтверждение подлинности) пользователей также может осуществляться:
- путем проверки наличия у пользователей каких-либо специальных уст-ройств (магнитных карточек, ключей, ключевых вставок и т.д.);
- путем проверки знания ими паролей;
- путем проверки уникальных физических характеристик и параметров самих пользователей при помощи специальных биометрических устройств.
5.9.4. Средства разграничения доступа
Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.
Технические средства разграничения доступа должны по возможности быть составной частью единой системы контроля доступа:
- на контролируемую территорию;
- в отдельные помещения;
- к компонентам информационной среды администрации района и элемен¬там системы защиты персональных данных (физический доступ);
- к информационным ресурсам (документам, носителям информации, файлам, наборам данных, архивам, справкам и т.д.);
- к активным ресурсам (прикладным программам, задачам и т.п.);
- к операционной системе, системным программам и программам защиты.
5.9.5. Средства обеспечения и контроля целостности
Средства обеспечения целостности включают в свой состав средства ре-зервного копирования, программы антивирусной защиты, программы восстанов-ления целостности операционной среды и баз данных.
Средства контроля целостности информационных ресурсов системы пред-назначены для своевременного обнаружения модификации или искажения ресур¬сов системы. Они позволяют обеспечить правильность функционирования систе¬мы защиты и целостность хранимой и обрабатываемой информации.
Контроль целостности информации и средств защиты, с целью обеспечения неизменности информационной среды, определяемой предусмотренной техноло¬гией обработки, и защиты от несанкционированной модификации персональных данных должен обеспечиваться:
- средствами разграничения доступа (в помещения, к документам, к носи-телям информации, к серверам, логическим устройствам и т.п.);
- средствами электронной подписи;
- средствами подсчета контрольных сумм (для используемого программ-ного обеспечения).
5.9.6. Средства оперативного контроля и регистрации событий безопасности
Средства объективного контроля должны обеспечивать обнаружение и ре-гистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение безопасности и привести к возникновению кризисных ситуаций. Анализ собранной средствами регистрации информации по¬зволяет выявить факты совершения нарушений, их характер, подсказать метод его расследования и способы поиска нарушителя и исправления ситуации. Средства контроля и регистрации должны предоставлять возможности:
- ведения и анализа журналов регистрации событий безопасности (сис-темных журналов);
- получения твердой копии (печати) журнала регистрации событий безо-пасности;
- упорядочения журналов, а также установления ограничений на срок их хранения;
- оперативного оповещения администратора безопасности о нарушениях.
При регистрации событий безопасности в журнале должна фиксироваться
следующая информация:
- дата и время события;
- идентификатор субъекта, осуществляющего регистрируемое действие;
- действие (тип доступа).
5.10. Контроль эффективности системы защиты
Контроль эффективности защиты персональных данных осуществляется с целью своевременного выявления и предотвращения утечки персональных дан-ных за счет несанкционированного доступа, а также предупреждения возможных специальных воздействий, направленных на уничтожение персональных данных, разрушение средств информатизации. Контроль может проводиться привлекае-мыми для этой цели организациями, имеющими лицензию на этот вид деятельно¬сти.
Оценка эффективности мер защиты персональных данных проводится с ис¬пользованием технических и программных средств контроля на предмет соответ¬ствия установленным требованиям.