Приложению № 2
к приказу от 25.12.2017г № 01-03/219
МБДОУ «Детский сад №29»
РЕГЛАМЕНТ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ МБДОУ «Детский сад №29»
СОДЕРЖАНИЕ
1 Общие положения ............................................................................................................................. 3
2 Обеспечение безопасности персональных данных в ИСПДн МБДОУ №29… .......................... 4
3 Основные направления и методы защиты информации в ИСПДн МБДОУ №29…. ................. 5
3.1 Защита информации от вредоносного программного обеспечения .......................................... 6
3.2 Защита персональных данных от несанкционированного доступа .......................................... 7
3.3 Защита персональных данных от несанкционированного и непреднамеренного
воздействия ...........................................................................................................................................8
3.4 Защита персональных данных от распространения неограниченному кругу лиц .................. 9
4 Порядок резервирования и восстановления работоспособности ИСПДн МБДОУ №29….. .... 10
4.1 Порядок реагирования на инцидент ............................................................................................ 10
4.2 Меры обеспечения непрерывности работы и восстановления ресурсов при
возникновении инцидентов ................................................................................................................ 10
4.2.1 Технические меры ...................................................................................................................... 10
4.2.2 Организационные меры ............................................................................................................. 11
5 Порядок обращения со средствами криптографической защиты информации ......................... 12
5.1 Состав СКЗИ .................................................................................................................................. 12
5.2 Учет используемых СКЗИ ............................................................................................................ 12
5.3 Допуск работников к СКЗИ ......................................................................................................... 12
5.3.1 Порядок оформления допуска к СКЗИ .................................................................................... 12
5.3.2 Порядок выдачи СКЗИ .............................................................................................................. 12
5.3.3 Порядок пересмотра прав допуска к СКЗИ ............................................................................. 13
5.3.4 Порядок прекращения прав допуска и изъятия СКЗИ из обращения ................................... 13
6 Порядок обращения с материальными носителями персональных данных .............................. 14
6.1 Порядок организации учёта машинных носителей, содержащих персональные данные 6.1.1 Порядок использования машинных носителей персональных данных ......................................... 14
6.1.2 Порядок хранения машинных носителей, содержащих персональные данные …………...15
6.1.3 Хранение носителей резервного копирования ........................................................................ 15
6.1.4 Порядок уничтожения машинных носителей, содержащих персональные данные ........... 15
6.2 Порядок уничтожения (стирания) персональных данных с машинного носителя ...... ……..15
6.3. Положение о комиссии по уничтожению носителей персональных данных МБДОУ №29
Приложение 1. Журнал учета применяемых в ИСПДн МБДОУ №11 средств защиты
информации ......................................................................................................................................... 26
Приложение 2. Журнал поэкземплярного учета применяемых в ИСПДн МБДОУ №29
криптографических (шифровальных) средств, эксплуатационной и технической
документации к ним ............................................................................................................................ 28
Приложение 3. Журнал учета машинных носителей персональных данных, обрабатываемых
в ИСПДн МБДОУ №29 ....................................................................................................................... 29
Приложение 4. Акт уничтожения машинных носителей персональных данных ......................... 30
Приложение 5. Порядок обеспечения антивирусной защиты ИСПДн МБДОУ №29….. ............ 31
Приложение 6. Порядок обеспечения парольной защиты ИСПДн МБДОУ №29….. .................. 34
Приложение 7. Журнал учета мероприятий по контролю за соблюдением режима защиты
персональных данных в МБДОУ №29…..………………………………………………….……….36
Приложение 8. Журнал учета съемных носителей персональных данных МБДОУ№29………..39
Приложение 9. Журнал учета процедур резервного копирования в МБДОУ№ 29……………....41
Приложение 10. План мероприятий по обеспечению защиты персональных данных в МБДОУ
«Детский сад №29»……………………………………………………………………………………44
1 ОБЩИЕ ПОЛОЖЕНИЯ
Настоящий Регламент обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных МБДОУ №11 (далее – Регламент) устанавливает и определяет основные организационные и технические меры по защите персональных данных, основные обязанности пользователей и должностных лиц, обрабатывающих персональные данные автоматизированным способом в информационной системе персональных данных МБДОУ №11 (далее – ИСПДн МБДОУ №29) и телекоммуникационных сетях МБДОУ №11 (далее - МБДОУ №29).
Требования Регламента являются обязательными для работников МБДОУ №29 и третьих лиц, которые допущены к работе с персональными данными (далее - ПДн).
При приеме на работу работники МБДОУ №29, допущенные к персональным данным, должны быть под расписку ознакомлены с требованиями настоящего Регламента, в части, касающейся их деятельности, информированы об ответственности за их нарушение.
Настоящий Регламент утверждается руководителем МБДОУ №11 и носит обязательный характер для всех работников МБДОУ №29.
2 ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИСПДН
МБДОУ «Детский сад №29»
Обеспечение безопасности ПДн в МБДОУ №29 достигается за счет выполнения требований нормативных актов Российской Федерации в сфере защиты персональных данных и выполнения требований, установленных во внутренних нормативных документах МБДОУ №29, всеми пользователями персональных данных.
Персональные данные субъектов ПДн, обрабатывающиеся в ИСПДн МБДОУ №29 подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в ИСПДн МБДОУ №29 обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства обработки и защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации (далее - РФ) требованиям, обеспечивающим защиту информации, относящейся к персональным данным.
Реализация требований по обеспечению безопасности персональных данных в информационных системах возлагается на структурное подразделение или лицо, ответственное за обеспечение безопасности ПДн в ИСПДн МБДОУ №29 совместно со структурными подразделениями, обрабатывающими персональные данные согласно Перечню должностей служащих, замещение которых предусматривает осуществление обработки ПД.
При обработке персональных данных в информационных системах ответственными лицами должно быть обеспечено:
проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременное обнаружение фактов несанкционированного доступа к персональным данным;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль обеспечения уровня защищенности персональных данных.
Мероприятия по обеспечению безопасности ПДн являются неотъемлемой частью работ по созданию ИСПДн МБДОУ №29. Меры по защите ПДн, обрабатываемых в МБДОУ №29 принимаются в соответствии с моделью угроз безопасности персональных данных при их обработке в ИСПДн, для каждой информационной системы персональных данных в частности.
В МБДОУ №29 разработан документ «Инструкция пользователя ИСПДн ». Данная инструкция закрепляет должностные обязанности пользователей, устанавливает единый порядок парольной защиты, правила работы в сетях общего доступа и международного информационного обмена на рабочем месте пользователя.
Контроль состояния защищенности ИСПДн МБДОУ №29 в целях поддержания требуемого уровня безопасности, а так же предотвращения наступления инцидентов информационной безопасности определены регламентом осуществления внутреннего контроля за обеспечением уровня защищенности ПДн и соблюдением условий использования средств защиты информации, а также соблюдением требований законодательства РФ по обработке ПДн в ИСПДн МБДОУ «Детский сад №29».
3 . ОСНОВНЫЕ НАПРАВЛЕНИЯ И МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ В
ИСПДН МБДОУ «Детский сад №29»
Структурное подразделение или назначенное лицо в МБДОУ №29, ответственное за обеспечение безопасности ПДн в ИСПДн МБДОУ №29 обязано организовывать работу по защите персональных данных, осуществлять методическое руководство проведением мероприятий по защите информации, а также контроль за эффективностью предусмотренных мер защиты информации на контролируемой территории.
Руководители подразделений МБДОУ №29 обязаны контролировать в подчиненных подразделениях выполнение работниками установленных общих требований по организации работы с персональными данными и предусмотренных организационных и технических мер по защите персональных данных в пределах своих полномочий.
Пользователи ИСПДн обязаны соблюдать правила обработки персональных данных в ИСПДн МБДОУ №29, и отвечают за обеспечение защиты информации согласно трудовому законодательству и нормативным актам МБДОУ №29. В своей работе с персональными данными пользователи руководствуются нормами настоящего положения, Инструкцией пользователя ИСПДн МБДОУ №29.
Лицо, ответственное за обеспечение безопасности ПДн, контролирует в пределах своей компетенции состояние защиты персональных данных с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки ее защищенности.
Повседневный и периодический (не реже одного раза в год) контроль за состоянием защиты персональных данных выполняется силами подразделений (штатных работников), обрабатывающих персональные данные согласно должностным обязанностям, и специалистов структурного подразделения МБДОУ №29, ответственного за обеспечение безопасности ПДн, в соответствии с «Регламентом осуществления внутреннего контроля за обеспечением уровня защищенности ПДн и соблюдением условий использования средств защиты информации», а также соблюдением требований законодательства РФ по обработке ПДн в ИСПДн МБДОУ №29.
Ежегодно отчитывается о состоянии защиты персональных данных в МБДОУ №29, а также об инцидентах в связи с не выполнением сотрудниками или третьими лицами требований и норм по защите персональных данных, в результате которых имелись или имеются реальные возможности их утечки, лицо, ответственное за обеспечение безопасности ПДн, лицу, ответственному за организацию обработки ПДн, а тот, соответственно, руководству МБДОУ №29.
В целях предотвращения несанкционированного доступа к техническим средствам обработки, хранения и передачи информации (далее - ТСПИ), их хищения и нарушения работоспособности ИСПДн МБДОУ №29 самостоятельно или с привлечением аутсорсинговых организаций обеспечивается охрана и физическая защита помещений объектов информатизации, в которых располагаются технические средства МБДОУ №29.
Защита персональных данных в ИСПДн МБДОУ №29 от актуальных угроз безопасности осуществляется по следующим основным направлениям:
от внедренных специальных электронных устройств;
от вредоносного кода;
от несанкционированного доступа;
от несанкционированного воздействия;
от непреднамеренного воздействия;
от разглашения;
от технических средств разведки (далее - TCP).
В качестве основных мер защиты персональных данных в МБДОУ №29 должностными лицами, обрабатывающими или защищающими персональные данные, а также подразделениями, осуществляющими эксплуатацию технических средства ИСПДн МБДОУ №29, должны выполняться:
а) документальное оформление и обновление «Перечня персональных данных,
обрабатываемых в ИСПДн с учетом специфики обработки ПДн МБДОУ №29.
б) разграничение доступа Пользователей1 и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) персональных данных и защиты информации;
в) ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникационное оборудование ИСПДн, а также хранятся носители персональных данных;
г) регистрация действий пользователей, обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
д) учет и надежное хранение машинных носителей персональных данных и их обращение, исключающее хищение, подмену и уничтожение;
е) резервирование технических средств, дублирование массивов и носителей информации ИСПДн;
ж) использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
з) использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
и) использование сертифицированных средств защиты информации по требованиям ФСТЭК России и ФСБ России;
к) размещение объекта защиты внутри контролируемой зоны на максимально возможном удалении от ее границ;
н) использование криптографически защищенных каналов связи при передаче конфиденциальной информации по открытым каналам связи;
о) размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
п) организация самостоятельно или силами сторонней организации физической защиты помещений и собственно технических средств обработки персональных данных с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации ИСПДн;
р) предотвращение внедрения в ИСПДн программ-вирусов, программных закладок;
Объем принимаемых мер защиты информации, в зависимости от возможного ущерба в случае ее утечки, определяют должностные лица, отвечающие за организацию и руководство работами по защите информации в МБДОУ №29.
3.1 Защита информации от вредоносного программного обеспечения
Организация антивирусной защиты информации в ИСПДн МБДОУ №29 достигается путем:
внедрения и применения средств антивирусной защиты информации;
обновления сигнатурных баз данных средств антивирусной защиты информации;
спланированных действий должностных лиц при обнаружении заражения информационных ресурсов ИСПДн МБДОУ №29 вирусным программным обеспечением.
Система антивирусной защиты ИСПДн включает в себя:
антивирусную защиту рабочих станций ИСПДн;
антивирусную защиту серверов и баз персональных данных ИСПДн;
Пользователями ИСПДн «НО» являются лица, использующий при обработке персональных данных средства автоматизированной обработки информации, в том числе средства вычислительной техники, программное обеспечение, электронные носители персональных данных и средства защиты информации
возможность автоматического обновления сигнатурных антивирусных баз и версий.
Организация работ по антивирусной защите информации возлагается на структурное подразделение или назначенное лицо «НО», ответственное за обеспечение безопасности ПДн, и должностных лиц, осуществляющих эксплуатацию объектов информатизации ИСПДн МБДОУ №29, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации - на лицо, ответственное за обеспечение безопасности ПДн.
Порядок применения средств антивирусной защиты устанавливается с учетом необходимости выполнения следующих требований:
а) пользователями ИСПДн:
периодическая проверка носителей информации (не реже одного раза в неделю) и обязательная проверка используемых в работе съемных носителей информации перед началом работы с ними на отсутствие программных вирусов;
внеплановая проверка носителей информации на отсутствие программных вирусов в случае одозрения на наличие программного вируса.
б) работниками подразделения, осуществляющего эксплуатацию ИСПДн:
обязательный входной контроль на отсутствие программных вирусов всех поступающих на объект информатизации съемных и встроенных носителей информации, информационных массивов и баз данных, программных средств общего и специального назначения;
восстановление __Ё¦Њ__P™_работоспособности программных средств и информационных массивов в случае их повреждения программными вирусами.
Порядок обеспечения антивирусной защиты закреплен в Приложении 5 настоящего Регламента.
К использованию в МБДОУ №29 допускаются только санкционированные структурным подразделением или назначенным работником МБДОУ №29, ответственным за обеспечение безопасности ПДн, антивирусные средства. Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке и руководством по эксплуатации
конкретного антивирусного программного продукта.
При обнаружении программных вирусов Пользователь ИСПДн обязан прекратить все работы на рабочем месте, поставить в известность Структурное подразделение МБДОУ №29 ответственное за обеспечение безопасности ПДн, и совместно с его специалистами принять меры к локализации и удалению вирусов с помощью имеющихся антивирусных средств защиты.
При функционировании автоматизированного рабочего места в качестве локальной рабочей станции вычислительной сети производится ее отключение от локальной сети, локализация и удаление программных вирусов в вычислительной сети.
|