Расширенный поиск

Распоряжение Главы Администрации городского округа Саранск Республики Мордовия от 11.01.2011 № 1-р

 



                             РАСПОРЯЖЕНИЕ

            ГЛАВЫ АДМИНИСТРАЦИИ городского округа САРАНСК


                     от 11 января 2011 года N 1-р


               Об утверждении положения об обеспечении
               безопасности персональных данных при их
                 обработке в информационных системах
                 персональных данных в Администрации
                      городского округа Саранск
     

     Руководствуясь Федеральным  законом от 27 июля 2006 года N 152-ФЗ
"О персональных данных",  Постановлением Правительства РФ от 17 ноября
2007  года N 781 "Об утверждении Положения об обеспечении безопасности
персональных  данных  при  их  обработке  в  информационных   системах
персональных данных":
     1. Утвердить Положение об обеспечении  безопасности  персональных
данных  при их обработке в информационных системах персональных данных
в Администрации городского округа Саранск.
     2. Определить    ответственным   за   реализацию   вышеназванного
положения   Начальника   Управления    информатизации    Администрации
городского округа Саранск Ивашкова А.В.
     3. Ответственному, указанному в пункте 2 настоящего распоряжения,
в  срок  до 1 марта 2011 года разработать и представить на утверждение
Главе Администрации городского  округа  Саранск  План  мероприятий  по
обеспечению  безопасности  персональных  данных  при  их  обработке  в
информационных системах персональных данных в Администрации городского
округа Саранск.
     4. Контроль за исполнением настоящего постановления возложить  на
Руководителя   Аппарата   Администрации   городского   округа  Саранск
Цыганова В.В.
     

     Глава Администрации
     городского округа Саранск                             В.Ф. Сушков



     Утверждено
     распоряжением Главы Администрации
     городского округа Саранск
     от 11 января 2011 года N 1-р

                              ПОЛОЖЕНИЕ
               ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
          ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
                 ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ
                      ГОРОДСКОГО ОКРУГА САРАНСК
     
     1. Настоящее  Положение  устанавливает  требования  к обеспечению
безопасности персональных данных при  их  обработке  в  информационных
системах   персональных   данных,  представляющих  собой  совокупность
персональных  данных,   содержащихся   в   базах   данных,   а   также
информационных   технологий   и   технических   средств,   позволяющих
осуществлять обработку  таких  персональных  данных  с  использованием
средств автоматизации (далее - информационные системы).
     Под техническими средствами,  позволяющими осуществлять обработку
персональных   данных,  понимаются  средства  вычислительной  техники,
информационно-вычислительные комплексы  и  сети,  средства  и  системы
передачи,  приема  и обработки персональных данных (средства и системы
звукозаписи,  звукоусиления,  звуковоспроизведения,   переговорные   и
телевизионные   устройства,   средства   изготовления,   тиражирования
документов  и   другие   технические   средства   обработки   речевой,
графической,   видео-  и  буквенно-цифровой  информации),  программные
средства (операционные системы,  системы управления  базами  данных  и
т.п.),   средства  защиты  информации,  применяемые  в  информационных
системах.
     2. Безопасность  персональных данных достигается путем исключения
несанкционированного,  в том числе случайного,  доступа к персональным
данным,  результатом  которого  может  стать  уничтожение,  изменение,
блокирование,  копирование,  распространение  персональных  данных,  а
также иных несанкционированных действий.
     Безопасность персональных   данных    при    их    обработке    в
информационных   системах  обеспечивается  с  помощью  системы  защиты
персональных данных, включающей организационные меры и средства защиты
информации  (в  том  числе  шифровальные (криптографические) средства,
средства   предотвращения   несанкционированного    доступа,    утечки
информации по техническим каналам,  программно-технических воздействий
на  технические  средства  обработки  персональных  данных),  а  также
используемые   в  информационной  системе  информационные  технологии.
Технические    и    программные    средства    должны    удовлетворять
устанавливаемым   в   соответствии   с   законодательством  Российской
Федерации требованиям, обеспечивающим защиту информации.
     Для обеспечения безопасности персональных данных при их обработке
в информационных системах осуществляется защита речевой  информации  и
информации,    обрабатываемой   техническими   средствами,   а   также
информации,  представленной   в   виде   информативных   электрических
сигналов,   физических   полей,   носителей  на  бумажной,  магнитной,
магнитно-оптической и иной основе.
     3. Достаточность   принятых   мер   по  обеспечению  безопасности
персональных  данных  при  их  обработке  в  информационных   системах
оценивается при проведении государственного контроля и надзора.
     4. Работы по обеспечению безопасности персональных данных при  их
обработке в информационных системах являются неотъемлемой частью работ
по созданию информационных систем.
     5. Средства   защиты  информации,  применяемые  в  информационных
системах,  в   установленном   порядке   проходят   процедуру   оценки
соответствия.
     6. Информационные   системы    классифицируются    Администрацией
городского  округа  Саранск  в  зависимости  от  объема обрабатываемых
персональных данных и угроз  безопасности  жизненно  важным  интересам
личности, общества и государства.
     7. Обмен персональными данными при их обработке в  информационных
системах    осуществляется    по   каналам   связи,   защита   которых
обеспечивается путем реализации соответствующих организационных мер  и
(или) путем применения технических средств.
     8. Размещение информационных систем,  специальное оборудование  и
охрана  помещений,  в  которых ведется работа с персональными данными,
организация режима обеспечения безопасности в этих  помещениях  должны
обеспечивать  сохранность  носителей  персональных  данных  и  средств
защиты информации,  а также  исключать  возможность  неконтролируемого
проникновения или пребывания в этих помещениях посторонних лиц.
     9. Безопасность  персональных   данных   при   их   обработке   в
информационной  системе  обеспечивает  оператор  или уполномоченное им
лицо (на основе договора).  Существенным  условием  договора  является
обязанность   уполномоченного   лица   обеспечить   конфиденциальность
персональных  данных  и  безопасность  персональных  данных   при   их
обработке в информационной системе.
     10. При обработке персональных данных  в  информационной  системе
должно быть обеспечено:
     а) проведение   мероприятий,   направленных   на   предотвращение
несанкционированного доступа к персональным данным и (или) передачи их
лицам, не имеющим права доступа к такой информации;
     б) своевременное  обнаружение фактов несанкционированного доступа
к персональным данным;
     в) недопущение     воздействия     на     технические    средства
автоматизированной  обработки  персональных   данных,   в   результате
которого может быть нарушено их функционирование;
     г) возможность  незамедлительного   восстановления   персональных
данных,      модифицированных      или     уничтоженных     вследствие
несанкционированного доступа к ним;
     д) постоянный   контроль   за  обеспечением  уровня  защищенности
персональных данных.
     11. Мероприятия  по  обеспечению безопасности персональных данных
при их обработке в информационных системах включают в себя:
     а) определение  угроз  безопасности  персональных  данных  при их
обработке, формирование на их основе модели угроз;
     б) разработку  на основе модели угроз системы защиты персональных
данных,   обеспечивающей   нейтрализацию   предполагаемых   угроз    с
использованием   методов   и   способов  защиты  персональных  данных,
предусмотренных для соответствующего класса информационных систем;
     в) проверку  готовности средств защиты информации к использованию
с составлением заключений о возможности их эксплуатации;
     г) установку  и  ввод  в эксплуатацию средств защиты информации в
соответствии с эксплуатационной и технической документацией;
     д) обучение   лиц,   использующих   средства  защиты  информации,
применяемые в информационных системах, правилам работы с ними;
     е) учет применяемых средств защиты информации, эксплуатационной и
технической документации к ним, носителей персональных данных;
     ж) учет  лиц,  допущенных  к  работе  с  персональными  данными в
информационной системе;
     з) контроль  за  соблюдением условий использования средств защиты
информации,    предусмотренных    эксплуатационной    и    технической
документацией;
     и) разбирательство   и   составление   заключений    по    фактам
несоблюдения   условий   хранения   носителей   персональных   данных,
использования средств защиты  информации,  которые  могут  привести  к
нарушению    конфиденциальности   персональных   данных   или   другим
нарушениям,  приводящим к снижению  уровня  защищенности  персональных
данных,  разработку и принятие мер по предотвращению возможных опасных
последствий подобных нарушений;
     к) описание системы защиты персональных данных.
     12. Для разработки и  осуществления  мероприятий  по  обеспечению
безопасности  персональных  данных  при  их обработке в информационной
системе  оператором  или  уполномоченным   лицом   может   назначаться
структурное    подразделение    или   должностное   лицо   (работник),
ответственные за обеспечение безопасности персональных данных.
     13. Лица,  доступ которых к персональным данным, обрабатываемым в
информационной системе,  необходим для выполнения служебных (трудовых)
обязанностей,  допускаются  к  соответствующим  персональным данным на
основании списка, утвержденного оператором или уполномоченным лицом.
     
     Примечание.
     В официальном   тексте   документа,  видимо,  допущена  опечатка:
имеется в виду пункт 13 настоящего Положения, а не пункт 14.
     
     14. Запросы пользователей  информационной  системы  на  получение
персональных  данных,  включая  лиц,  указанных в пункте 14 настоящего
Положения,  а также факты предоставления персональных данных  по  этим
запросам  регистрируются автоматизированными средствами информационной
системы  в  электронном  журнале  обращений.  Содержание  электронного
журнала    обращений    периодически    проверяется   соответствующими
должностными лицами (работниками) оператора или уполномоченного лица.
     15. При обнаружении нарушений порядка предоставления персональных
данных    оператор    или    уполномоченное    лицо    незамедлительно
приостанавливают   предоставление  персональных  данных  пользователям
информационной системы до выявления причин нарушений и устранения этих
причин.
     16. Реализация требований по обеспечению безопасности  информации
в средствах защиты информации возлагается на их разработчиков.
     В отношении   разработанных   шифровальных    (криптографических)
средств    защиты    информации,   предназначенных   для   обеспечения
безопасности персональных данных при  их  обработке  в  информационных
системах,   проводятся   тематические   исследования   и   контрольные
тематические исследования в целях проверки  выполнения  требований  по
безопасности  информации.  При  этом  под тематическими исследованиями
понимаются    криптографические,     инженерно-криптографические     и
специальные  исследования  средств  защиты  информации  и  специальные
работы  с  техническими  средствами  информационных  систем,   а   под
контрольными  тематическими  исследованиями  - периодически проводимые
тематические исследования.

Информация по документу
Читайте также