Департамент образования города Москвы
согласовано
|
|
УТВЕРЖДАЮ
|
Начальник 2-го управления
ФСТЭК России
|
|
Руководитель Департамента образования города Москвы
|
_____________А.В. Куц
|
|
_________ И. И. Калина
|
«____»_________________2010 г.
|
|
«____»_______________2010 г.
|
Методические рекомендации для организации защиты информации
при обработке персональных данных в государственных образовательных учреждениях города москвы
На листах
Москва, 2010
Лист согласования
Согласовано
Должность
|
Ф.И.О.
|
Подпись
|
Дата
|
Первый заместитель руководителя Департамента образования города Москвы
|
М.Ю. Тихонов
|
|
|
Начальник юридического управления
|
Л.А. Дорофеева
|
|
|
Заместитель начальника Управления государственной службы и кадров Департамента образования города Москвы
|
Д.В. Тузов
|
|
|
Ректор Московского института открытого образования
|
А. Л. Семенов
|
|
|
Проректор Московского института открытого образования
|
И. В. Ященко
|
|
|
Разработано
Наименование подразделения
|
Ф.И.О.
|
Подпись
|
Дата
|
Руководитель проекта ЦИБ МИОО
|
Т.М. Пономарев
|
|
|
Ведущий консультант-аналитик ЦИБ МИОО
|
Д.О. Дудко
|
|
|
Консультант-аналитик ЦИБ МИОО
|
С.А. Кортиков
|
|
|
Консультант-аналитик ЦИБ МИОО
|
М.В. Сафронова
|
|
|
Консультант-аналитик ЦИБ МИОО
|
Е.О. Короткова
|
|
|
Технический писатель ЦИБ МИОО
|
А.С. Айрапетьян
|
|
|
Содержание
Лист согласования 2
Согласовано 2
Разработано 2
Термины и определения 7
Обозначения и сокращения 13
Введение 14
1 Основные обязанности учреждений, эксплуатирующих ИСПДн 16
2 Алгоритм организации системы защиты персональных данных 17
3 Обработка персональных данных в Учреждениях в соответствии с 152-ФЗ «О персональных данных» 19
4 Автоматизированная и неавтоматизированная обработка в Учреждениях 23
5 Владелец ИСПДн Учреждения 25
6 Типизация ИСПДн учреждения 27
6.1 Типы учреждений 27
6.2 ИСПДн бухгалтерии и кадрового учета 28
6.3 Обязательные ИСПДн от вышестоящих организаций 28
6.4 Собственные ИСПДн 29
6.5 Автоматизированное рабочее место 30
6.6 Локальная информационная система 31
6.7 Распределенная информационная система 33
6.8 Таблица типизации ИСПДн 34
7 Рекомендации по классификации ИСПДн Учреждений, выбору модели угроз и нарушителя 37
обрабатываются исключительно свойственные для данной совокупности технических средств категории ПДн; 38
ставятся цели обработки ПДн, отличные от целей обработки Пдн в других сегментах сети. 38
7.1 Разработка и утверждение Акта классификации 39
выделить категорию обрабатываемых в информационной системе персональных данных – Хпд; 44
определить объем обрабатываемых персональных данных (количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе) – Хнпд; 44
выявить характеристики безопасности персональных данных, обрабатываемых в информационной системе. 44
8 Уведомление уполномоченного органа по защите прав субъектов персональных данных 47
9 Определение действующих механизмов защиты 50
автоматизированные рабочие места (АРМ). В данном типе ИСПДн данные обрабатываются на одном компьютере. Данные не выкладываются в общий доступ в сеть; 50
локальные информационные системы (ЛИС). ИСПДн данного типа характеризуются обработкой на нескольких компьютерах связанных между собой локальной вычислительной сетью (ЛВС) Учреждения; 50
распределенные информационные системы (РИС). Данный тип ИСПДн характеризуется либо территориальной распределенностью ЛВС Учреждения (например, в нескольких зданиях), либо осуществлением обработки с помощью удаленного доступа к ИСПДн. Большинство ИСПДн Учреждений относится к АРМ и ЛИС. 50
10 Рекомендации по выполнению нормативно-организационных мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений 60
10.1 Приказ о введении режима обработки персональных данных 60
10.2 Положение о порядке обработки персональных данных 61
10.3 Приказ о подразделении по защите информации 61
10.4 Положение о подразделении по защите информации 62
10.5 Положение о разграничении прав доступа к обрабатываемым персональным данным 62
10.6 Приказ о проведении внутренней проверки 63
10.7 Модели угроз безопасности персональных данных 63
10.8 Акт классификации информационной системы, обрабатывающей персональные данные 72
10.9 Перечень персональных данных, подлежащих защите 73
10.10 Инструкция пользователя ИСПДн 73
10.11 Инструкция администратора ИСПДн 74
10.12 Инструкция администратора безопасности ИСПДн 74
10.13 План мероприятий по обеспечению защиты ПДн 75
10.14 План внутренних проверок состояния защиты персональных данных 79
10.15 Приказ о назначении ответственных лиц за обработку ПДн 79
10.16 Приказ об утверждении мест хранения материальных носителей персональных данных 80
10.17 Приказ об Электронном журнале обращений пользователей информационной системы к персональным данным 80
10.18 Концепция информационной безопасности 80
10.19 Рекомендации по разработке Политики информационной безопасности 81
10.20 Проект договора о поручении обработки персональных данных третьим лицам 81
10.21 Согласие субъекта на обработку персональных данных 81
10.22 Согласие законного представителя на обработку персональных данных подопечного 82
10.23 Согласие сотрудника на обработку персональных данных 82
10.24 Соглашение о неразглашении персональных данных 82
10.25 Отчет о результатах проведения внутренней проверки 82
10.26 Рекомендации по разработке уведомления в территориальный орган Роскомнадзора 83
10.27 Декларация соответствия 83
10.28 Акт об уничтожении персональных данных субъекта(-ов) персональных данных 83
10.29 Рекомендации по разработке Порядка резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ 84
10.30 Положение об Электронном журнале обращений пользователей информационной системы к ПДн 84
11 Рекомендации по выполнению нормативно-организационных мероприятий по обеспечению безопасности персональных данных, обрабатываемых неавтоматизированным способом 86
12 Рекомендации по ведению необходимых форм учета 87
12.1 Набор бланков предоставления сведений, отказа в предоставлении, уведомлений, разъяснений 87
12.2 Набор бланков уведомления уполномоченного органа по защите прав субъектов ПДн 94
12.3 Набор шаблонов требований, запросов, возражений и заявлений субъектов ПДн 98
12.4 Комплект форм учета, предусмотренный нормативными правовыми актами и методическими документами регуляторов 99
13 Рекомендации по понижению класса ИСПДн 103
14 Рекомендации по применению программно-аппаратных средств защиты персональных данных в ИСПДн Учреждений 109
14.1 Обязательные технические мероприятия 109
14.2 Технические мероприятия, выполняемые для распределенных систем и при подключение к сетям общего пользования 109
15 Рекомендации по проведению аттестационных испытаний и по декларированию соответствия для ИСПДн Учреждений 120
16 Рекомендации в случае создания новых ИСПДн 122
17 Рекомендации по прохождению проверок контролирующих органов 123
возникновение угрозы причинения вреда жизни, здоровью граждан; 124
причинение вреда жизни, здоровью граждан; 124
нарушение прав потребителей (в случае поступления в адрес Службы или ее территориального органа обращений и заявлений граждан и (или) юридических лиц по вопросам, связанным с нарушением прав потребителей при предоставлении Оператором услуги, в рамках которой осуществляется обработка персональных данных). 125
содержащиеся в уведомлении об обработке персональных данных, поступивших от Оператора и фактической деятельности Оператора; 125
о фактах, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Роскомнадзор или его территориальный орган; 125
о наличии у Оператора письменного согласия субъекта персональных данных на обработку его персональных данных; 125
о соблюдении требований конфиденциальности при обработке персональных данных; 126
о фактах уничтожения Оператором персональных данных субъектов персональных данных по достижении цели обработки; 126
локальные акты Оператора, регламентирующие порядок и условия обработки персональных данных; 126
об иной деятельности, связанной с обработкой персональных данных. 126
17.1 Общие рекомендации 128
17.2 Рекомендации в случае прихода проверки 131
18 Часто задаваемые вопросы 132
19 Список использованных источников 139
|
