|
Утверждено
приказом МКУ «МФЦ»
от «12» 05 2015 года № 40
ПОЛОЖЕНИЕ
о защите персональных данных в Муниципальном казенном учреждении муниципального образования город-курорт Пятигорск «Многофункциональный центр предоставления государственных и муниципальных услуг города Пятигорска»
-
Общие положения
-
Назначение документа
Настоящее Положение о защите персональных данных в Муниципальном казенном учреждении муниципального образования город-курорт Пятигорск «Многофункциональный центр предоставления государственных и муниципальных услуг города Пятигорска» (далее – МКУ «МФЦ») устанавливает порядок проведения мероприятий по защите персональных данных в ГИС «МФЦ».
-
Правовые основания
-
Настоящее положение о защите персональных данных в ГИС «МФЦ» (далее – Положение) разработано на основании следующих нормативных правовых и методических документов:
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
-
Область действия
Действие настоящего Положения распространяется на все процессы обработки и защиты информации ограниченного доступа в ГИС «МФЦ».
Настоящее Положение обязательно для соблюдения всеми работниками, допущенными к осуществлению обработки информации составляющей персональные данные в ГИС «МФЦ».
-
Мероприятия, проводимые для защиты информации
-
Для защиты информации, содержащейся в ГИС «МФЦ», проводятся следующие мероприятия:
формирование требований к защите информации, содержащейся в ГИС «МФЦ»;
разработка системы защиты информации ГИС «МФЦ»;
внедрение системы защиты информации ГИС «МФЦ»;
аттестация ГИС «МФЦ» по требованиям защиты информации и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной ГИС «МФЦ»;
обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС «МФЦ» или после принятия решения об окончании обработки информации.
-
Пересмотр документа
-
Пересмотр настоящего Положения должен осуществляться в следующих случаях, но не реже одного раза в три года:
в случае изменения процессов обработки и защиты информации ограниченного доступа в ГИС «МФЦ»;
при выявлении новых угроз безопасности информации и определении необходимости реализации дополнительных защитных мер;
при изменении действующих нормативных правовых актов в области защиты информации ограниченного доступа.
-
Система защиты информации
Обеспечение защиты информации составляющей персональные данные при ее обработке в ГИС «МФЦ» реализуется с помощью системы защиты информации ГИС «МФЦ» (далее – СЗИ ГИС «МФЦ»).
Задачами, решаемыми СЗИ ГИС «МФЦ», являются:
предотвращение неправомерного доступа, копирования, предоставления или распространения информации составляющей персональные данные, обрабатываемой в ГИС «МФЦ» (обеспечение конфиденциальности информации);
исключение неправомерного уничтожения или модифицирования информации составляющей персональные данные, обрабатываемой в ГИС «МФЦ» (обеспечение целостности информации);
исключение неправомерного блокирования информации составляющей персональные данные, обрабатываемой в ГИС «МФЦ» (обеспечение доступности информации).
Объектами защиты в ГИС «МФЦ» являются:
информация составляющая персональные данные, содержащаяся в информационной системе;
серверы и рабочие станции пользователей;
мобильные технические средства (ноутбуки);
машинные носители информации;
системы связи и передачи данных;
общесистемное, прикладное, специальное программное обеспечение;
средства защиты информации.
В рамках СЗИ ГИС «МФЦ» реализуются организационно-технические меры защиты информации от несанкционированного доступа и других неправомерных воздействий:
идентификация и аутентификация субъектов доступа и объектов доступа
(ИАФ);
управление доступом субъектов доступа к объектам доступа (УПД);
ограничение программной среды (ОПС);
защита машинных носителей информации (ЗНИ);
регистрация событий безопасности (РСБ);
антивирусная защита (АВЗ);
обнаружение вторжений (СОВ);
контроль (анализ) защищенности информации (АНЗ);
обеспечение целостности информационной системы и информации (ОЦЛ);
обеспечение доступности информации (ОДТ);
защита технических средств (ЗТС);
защита информационной системы, ее средств, систем связи и передачи данных (ЗИС);
выявление инцидентов и реагирование на них (ИНЦ);
управление конфигурацией информационной системы и системы защиты информации (УКФ).
Для обеспечения защиты информации, содержащейся в ГИС «МФЦ», применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
Для защиты мобильных устройств (ноутбуков выездных бригад) должны применяться те же меры защиты, что и для стационарных рабочих станций пользователей.
В рамках СЗИ ГИС «МФЦ» осуществляется контроль состояния и качества предоставления провайдером телекоммуникационных услуг:
включение в договоры (соглашение) с провайдером условий, прав, обязанностей, содержания и порядка контроля качества, предоставляемых услуг на передачу информации с использованием информационно-телекоммуникационных сетей связи;
мониторинг состояния и качества предоставления уполномоченным лицом (провайдером) услуг по передаче информации.
-
Лица, участвующие в обработке и защите информации ограниченного доступа в ГИС «МФЦ»
В МКУ «МФЦ» определен следующий перечень лиц, участвующих в обработке и защите информации ограниченного доступа в ГИС «МФЦ», и степень их участия:
Ответственный за организацию обработки персональных данных – работник МКУ «МФЦ», осуществляющий внутренний контроль за соблюдением требований законодательства РФ при обработке персональных данных в ГИС «МФЦ»;
Администратор информационной системы (Администратор ИС) – работник МКУ «МФЦ», обеспечивающий бесперебойное функционирование ГИС «МФЦ»;
Администратор информационной безопасности (Администратор ИБ) – работник МКУ «МФЦ», являющийся лицом, ответственным за защиту информации составляющей персональные данные, осуществляющий контроль и выполнение требований по информационной безопасности ГИС «МФЦ» и обеспечивающий функционирование системы защиты информации ГИС «МФЦ»;
Пользователь – работник МКУ «МФЦ», непосредственно осуществляющий обработку информации составляющей персональные данные в ГИС «МФЦ».
-
Лица, участвующие в обработке и защите информации составляющей персональные данные в ГИС «МФЦ», в своей деятельности руководствуются настоящим Положением, а также документами, указанными в Таблице 1.
-
Документы, регламентирующие порядок обработки и защиты информации составляющей персональные данные в ГИС «МФЦ»
С целью регламентации процессов обработки и защиты информации, составляющей персональные данные, в ГИС «МФЦ» приняты локальные акты в области защиты информации. Перечень локальных актов МКУ «МФЦ», регламентирующих порядок обработки и защиты информации составляющей персональные данные в ГИС «МФЦ», приведен в Таблице 1.
Таблица 1 — Перечень документов, регламентирующих порядок обработки и защиты информации составляющей персональные данные в ГИС «МФЦ»
№ п/п
|
Наименование документа
|
Описание документа
|
1.
|
Модель угроз и модель нарушителя безопасности информации
|
В документе определяются актуальные угрозы безопасности информации ГИС «МФЦ» и рассматриваются категории нарушителей
|
2.
|
Инструкция по организации учета, использования и уничтожения машинных носителей данных, предназначенных для обработки и хранения персональных данных
|
Документ определяет порядок хранения и уничтожения носителей информации составляющей персональные данные в МКУ «МФЦ»
|
3.
|
Инструкция администратора информационной безопасности
|
Документ устанавливает функции, права и обязанности администратора информационной безопасности ГИС «МФЦ»
|
5.
|
Инструкция по резервному копированию и восстановлению массивов информации
|
Документ устанавливает порядок резервного копирования в ГИС «МФЦ»
|
6.
|
Инструкция по использованию антивирусных средств
|
Документ устанавливает регламент применения средств антивирусной защиты в ГИС «МФЦ»
|
7.
|
Инструкция по организации парольной защиты
|
Документ устанавливает регламент генерации, использования и смены паролей в ГИС «МФЦ»
|
8.
|
Инструкция по обеспечению безопасности и защиты информации от несанкционированного доступа
|
Документ устанавливает общие положения работы пользователей в государственной информационной системе для обеспечения безопасности и защиты информации от НСД
|
9.
|
Инструкция по обработке персональных данных без использования средств автоматизации
|
Документ устанавливает особенности организации и меры по обеспечению безопасности при обработке персональных данных без использования средств автоматизации
|
10.
|
Регламент о предоставлении прав доступа к персональным данным
|
Документ определяет порядок предоставления доступа к персональным данным сотрудникам МКУ «МФЦ», а так же органам государственного управления и другим организациям, взаимодействующим с МКУ «МФЦ»
|
11.
|
Регламент реагирования на запросы субъектов персональных данных
|
Документ определяет порядок действий на запросы субъектов к персональным данным обрабатываемых в ГИС «МФЦ»
|
12.
|
Регламент обмена/выдачи информацией (к договору между организациями)
|
Документ определяет порядок обмена (выдачи) персональными данными между «МКУ МФЦ» и третьим лицам, а так же органам государственного управления и другим организациям, взаимодействующим с МКУ «МФЦ»
|
-
Ответственность за нарушение порядка обработки и защиты информации составляющей персональные данные
-
Виды дисциплинарных взысканий, порядок их применения и снятия установлены главой 30 ТК РФ и Правилами внутреннего трудового распорядка МКУ «МФЦ».
Согласно статье 24 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении норм, регулирующих обработку ПДн, несут дисциплинарную, административную, гражданскую, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
К административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах и за нарушение правил защиты информации могут привлекаться как само МКУ «МФЦ» и его должностные лица, так и конкретные работники, исполняющие соответствующие трудовые функции.
Лица, виновные в нарушении правил обработки или защиты информации составляющей персональные данные, могут привлекаться к административной ответственности по следующим основаниям:
неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих его права и свободы, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП);
нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП);
нарушение правил защиты информации (ст. 13.12 КоАП);
разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
-
Уголовная ответственность за нарушение правил обработки информации составляющей персональные данные может наступить в следующих случаях:
неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию, либо копирование компьютерной информации (ст. 272 УК РФ);
создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации (ст. 273 УК РФ);
нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб или повлекшее тяжкие последствия (ст.274 УК РФ).
незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан (ст. 137 УК РФ);
неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ).
|
