Методические рекомендации по организации защиты
advertisement
Методические рекомендации исполнительным органам государственной власти, городским округам и муниципальным районам Кемеровской области по организации защиты персональных данных Кемерово 2013 г. Методические рекомендации подготовлены: ООО «Просистем» г. Кемерово, ул. Волгоградская, д.43, оф.305 тел./факс 8(3842) 56-14-24, 56-15-75 E-mail: bbk@p-system.ru 2 Содержание 1. Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных .................................................................................................................................................. 3 2. Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн .................................................................................................... 5 3.Приказ о создании комиссии по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных .................. 6 4. Приказ о выделении помещений для обработки персональных данных ........................... 8 5. Инструкции по порядку учета и хранению съемных носителей конфиденциальной информации (персональных данных) в организации и подведомственных учреждениях ...................................................................................................................................... 10 6. Положение о порядке обработки и обеспечении безопасности персональных данных в организации и подведомственных учреждениях .................................................................... 17 7. Инструкции о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации информационных систем персональных данных в организации и подведомственных учреждениях ................................................................................................... 27 8. Руководство пользователя по обеспечению безопасности ИСПДн в организации и подведомственных учреждениях ................................................................................................... 32 9. Руководство администратора по обеспечению безопасности ИСПДн в организации и подведомственных учреждениях ............................................................................................... 39 10. Журнал учета съемных носителей конфиденциальной информации (персональных данных) .................................................................................................................. 43 11. Журнал регистрации и учета обращений субъектов персональных данных ................ 44 12. Журнал учета средств криптографической защиты информации .................................. 45 13. Журнал учета ключевых носителей ....................................................................................... 46 15. Журнал сертифицированных средств защиты информации ............................................ 47 16. Перечень автоматизированных и информационных систем, обрабатывающих конфиденциальную информацию и персональные данные организации ............................ 48 17. Список лиц, допущенных в защищаемое помещение ......................................................... 49 18. Список лиц, допущенных к работе на АС (ИСПДн) ........................................................... 50 19. Список сотрудников, допущенных к работе с персональными данными ...................... 51 20. Акт определения уровня защищённости персональных данных ..................................... 52 3 1. Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных На бланке организации ПРОЕКТ ПРИКАЗА С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказываю: 1. Назначить ответственным за организацию работ и обеспечение безопасности персональных данных ________________________ (Ф.И.О., должность (должностное лицо из числа заместителей)). 2. Выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных возложить на (подразделение или должностное лицо). 3. В срок до ____________ назначенным лицам разработать и внедрить: – план мероприятий по обеспечению защиты персональных данных; – перечень персональных данных, подлежащих защите и объем персональных данных; – положение о порядке обработки и обеспечении безопасности персональных данных; – определить уровни защищенности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) с оформлением акта; – частную модель угроз для каждой ИСПДн; – матрицу доступа сотрудников к персональным данным; – журнал учета используемых сертифицированных технических средств защиты информации, эксплуатационной и технической документации к ним; – порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ; – журнал учета съемных носителей конфиденциальной информации; – журнал регистрации и учета обращений субъектов персональных данных; – инструкцию администратора безопасности ИСПДн; 4 – инструкцию пользователя по обеспечению безопасности ИСПДн; – инструкцию по организации антивирусной защиты в локальной вычислительной сети. 4. Руководителям структурных подразделений в срок до _____________ представить ответственному за обеспечение безопасности персональных данных списки сотрудников, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей. 5. Ответственному за выполнение работ по обеспечению безопасности персональных данных организовать учет носителей персональных данных. 6. Запретить сотрудникам, имеющим доступ к персональным данным, использовать для хранения и обработки персональных данных носители информации, не поставленные на учет в установленном порядке. 7. ____________________ (Ф.И.О., должность) юридического отдела урегулировать вопросы законности обработки персональных данных субъектов, разработать типовую форму письменного согласия субъектов персональных данных на обработку их персональных данных. 8. ____________________ (Ф.И.О., должность) отдела кадров провести работу по учету персональных данных сотрудников и обеспечить их безопасность при неавтоматизированной обработке. 9. Приказ довести до сотрудников, обрабатывающих персональные данные. 10. Контроль за выполнением требований настоящего приказа оставляю за собой. Руководитель И.О.Фамилия 5 2. Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн На бланке организации ПРОЕКТ ПРИКАЗА С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказываю: 1. Назначить ответственным за выполнение работ по технической и криптографической защите ПДн _________________________(Ф.И.О., должность). 2. В рамках проведения данных работ функции по администрированию средств криптографической защиты персональных данных возложить на (подразделение или должностное лицо). 3. Контроль за выполнением требований настоящего приказа возложить на ________________________. Руководитель И.О.Фамилия 6 3.Приказ о создании комиссии по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных На бланке организации ПРОЕКТ ПРИКАЗА В соответствии с Федеральным законом Российской Федерации от 27.06.2006 № 152-ФЗ «О персональных данных» и в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказываю: 1. Утвердить состав Комиссии по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) (Приложение № 1). 2. В срок до __________________ Комиссии определить уровень защищенности персональных данных при их обработке в ИСПДн с оформлением акта. 3. При определении уровня защищенности персональных данных Комиссии руководствоваться требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Контроль за выполнением настоящего приказа оставляю за собой. 7 Приложение № 1 к приказу от ________ 2013 г. № ___ СОСТАВ КОМИССИИ ___________________ Председатель Комиссии – руководитель __________________ Члены Комиссии: ________________________________________________________________________ ________________________________________________________________________ ________________________________________________________________________ ________________________________________________________________________ ________________________________________________________________________ ________________________________________________ 8 4. Приказ о выделении помещений для обработки персональных данных На бланке организации ПРОЕКТ ПРИКАЗА С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказываю: 1. Утвердить список помещений, предназначенных для обработки персональных данных (далее – ПДн) согласно приложению №1 к настоящему приказу. 2. Руководителям структурных подразделений в срок до _____________ представить ответственному за обеспечение защиты информации списки сотрудников для организации допуска сотрудников в указанные помещения (приложение №2). 3. Установить, что ответственность за режим безопасности в помещении и правильность использования установленных в нем технических средств несет лицо, которое постоянно в нем работает, и руководитель структурного подразделения. 4. В нерабочее время указанные помещения должны закрываться на ключ и сдаваться под охрану. 5. Установка нового оборудования, мебели и т.п. или замена их, а также ремонт помещения должны проводиться только по согласованию с подразделением (специалистом) по защите информации организации. 6. Контроль за соблюдением требований по защите информации возложить на _______________________. 7. Контроль за выполнением настоящего приказа возложить на ________________________. Руководитель Ф.И.О. 9 Приложение №1 к приказу руководителя организации от ____. _________ 201_ г. № _____ Перечень защищаемых помещений № п/п 1 2 Наименование помещения Кабинет главного бухгалтера, помещение № 510 Кабинет начальника отдела кадров, помещение № 301 Адрес и место расположения 10 5. Инструкции по порядку учета и хранению съемных носителей конфиденциальной информации (персональных данных) в организации и подведомственных учреждениях __________________________________________________________ (наименование организации) УТВЕРЖДАЮ Руководитель организации ________________________ «__» ____________ 201_ г. Типовая форма инструкции по порядку учета и хранению съемных носителей конфиденциальной информации (персональных данных) в организации и подведомственных учреждениях Кемерово 2013 11 1. Общие положения 1.1. Настоящее Положение разработано в соответствии с Федеральным законом № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации», ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью» и другими нормативными правовыми актами, и устанавливает порядок использования носителей информации, предоставляемых органом исполнительной власти (далее наименование ОИВ) для использования в ИС. 1.2. Действие настоящего Положения распространяется на сотрудников организации, подрядчиков и третью сторону. 2. Основные термины, сокращения и определения 1. Администратор ИС – технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО и оборудования вычислительной техники. 2. АРМ – автоматизированное рабочее место пользователя (ПК с прикладным ПО) для выполнения определенной производственной задачи. 3. ИБ – информационная безопасность – комплекс организационнотехнических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации. 4. ИС – информационная система – система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники. 5. Носитель информации – любой материальный объект, используемый для хранения и передачи электронной информации. 6. Паспорт ПК – документ, содержащий полный перечень оборудования и программного обеспечения АРМ. 7. ПК – персональный компьютер. 8. ПО – Программное обеспечение вычислительной техники. 9. ПО вредоносное – ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации. 12 10. ПО коммерческое – ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе. 11. Пользователь – работник Организации, использующий мобильные устройства и носители информации для выполнения своих служебных обязанностей. 3. Порядок использования носителей информации 3.1. Под использованием носителей информации в ИС организации понимается их подключение к инфраструктуре ИС с целью обработки, приема/передачи информации между ИС и носителями информации. 3.2. В ИС допускается использование только учтенных носителей информации, которые являются собственностью организации и подвергаются регулярной ревизии и контролю. 3.3. К предоставленным организации носителям конфиденциальной информации предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС). 3.4. Носители конфиденциальной информации предоставляются сотрудникам организации по инициативе Руководителей структурных подразделений в случаях: необходимости выполнения вновь принятым работником своих должностных обязанностей; возникновения у сотрудника организации производственной необходимости. 3.5. Процесс предоставления сотрудникам организации носителей конфиденциальной информации состоит из следующих этапов: 4. Порядок учета, хранения и обращения со съемными носителями конфиденциальной информации (персональных данных), твердыми копиями и их утилизации. 4.1. Все находящиеся на хранении и в обращении съемные носители с конфиденциальной информацией (персональными данными) в органе исполнительной власти подлежат учёту. 13 4.2. Каждый съемный носитель с записанными на нем конфиденциальной информацией (персональными данными) должен иметь этикетку, на которой указывается его уникальный учетный номер. 4.3. Учет и выдачу съемных носителей конфиденциальной информации (персональных данных) осуществляют сотрудники структурных подразделений, на которых возложены функции хранения носителей персональных данных. Факт выдачи съемного носителя фиксируется в журнале учета съемных носителей конфиденциальной информации. 4.4. Сотрудники организации получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета. 5. При использовании сотрудниками носителей конфиденциальной информации необходимо: 5.1. Соблюдать требования настоящего Положения. 5.2. Использовать носители информации исключительно для выполнения своих служебных обязанностей. 5.3. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения. 5.4. Бережно относится к носителям конфиденциальной информации. 5.5. Обеспечивать физическую безопасность носителей информации всеми разумными способами. 5.6. Извещать администраторов ИС о фактах утраты (кражи) носителей конфиденциальной информации. 6. При использовании носителей конфиденциальной информации запрещено: 6.1. Использовать носители конфиденциальной информации в личных целях. 6.2. Передавать носители конфиденциальной информации другим лицам (за исключением администраторов ИС). 6.3. Хранить съемные носители с конфиденциальной информацией (персональными данными) вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам; 14 6.4 Выносить съемные носители с конфиденциальной информацией (персональными данными) из служебных помещений для работы с ними на дому и т. д. 7.1. Любое взаимодействие (обработка, прием/передача информации) инициированное сотрудником организации между ИС и неучтенными (личными) носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администраторами ИС заранее). Администратор ИС оставляет за собой право блокировать или ограничивать использование носителей информации. 7.2. Информация об использовании сотрудником организации носителей информации в ИС протоколируется и, при необходимости, может быть предоставлена Руководителям структурных подразделений, а также Руководителю организации. 7.3. В случае выявления фактов несанкционированного и/или нецелевого использовании носителей конфиденциальной информации инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем организации. 7.4. По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Организации и действующему законодательству. 7.5. Информация, хранящаяся на носителях конфиденциальной информации, подлежит обязательной проверке на отсутствие вредоносного ПО. 7.6. При отправке или передаче конфиденциальной информации (персональных данных) адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка конфиденциальной информации (персональных данных) адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. 7.7. Вынос съемных носителей конфиденциальной информации (персональных данных) для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения. 7.8. В случае утраты или уничтожения съемных носителей конфиденциальной информации (персональных данных) либо разглашении содержащихся в них 15 сведений немедленно ставится в известность начальник соответствующего структурного подразделения. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей конфиденциальной информации (персональных данных). 7.9. Съемные носители конфиденциальной информации (персональных данных), пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется «уполномоченной комиссией». По результатам уничтожения носителей составляется акт по прилагаемой форме 7.10. В случае увольнения или перевода работника в другое структурное подразделение, предоставленные носители конфиденциальной информации изымаются. 8. Ответственность 8.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами организации. 16 Типовая форма акта «УТВЕРЖДАЮ» ____________________ «____ »__________ 200 г. АКТ уничтожения съемных носителей персональных данных Комиссия, наделенная полномочиями приказом ______________________ от №___ в составе: ________________________________________________________________________________ (должности, ФИО) провела отбор съемных носителей конфиденциальной информации (персональных данных), подлежащих дальнейшему хранению: № п/п Дата Учетный номер съемного носителя не Примечание Всего съемных носителей_______________________________________(цифрами и прописью) На съемных носителях уничтожена конфиденциальная информация путем стирания ее на устройстве гарантированного уничтожения информации (механического уничтожения, сжигания и т.п.). Перечисленные съемные носители уничтожены ________________________________________________________________________ путем (разрезания, демонтажа и т.п.) , _______________________________________________________________________ Председатель комиссии Члены комиссии (ФИО) Подпись Дата Подпись Дата 17 6. Положение о порядке обработки и обеспечении безопасности персональных данных в организации и подведомственных учреждениях __________________________________________________________ (наименование организации) УТВЕРЖДАЮ Руководитель организации ________________________ «__» ____________ 201_ г. Типовая форма положения о порядке обработки и обеспечении безопасности персональных данных в организации и подведомственных учреждениях Кемерово 2013 18 1. Общие положения 1.1. Настоящее Положение разработано в соответствии Федеральным законом Российской Федерации от 27.06.2006 № 152-ФЗ «О персональных данных», в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и устанавливает единый порядок обработки персональных данных в органе исполнительной власти и их подведомственных учреждениях. В целях настоящего Положения используются следующие термины и понятия: персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. 2. Основные условия проведения обработки персональных данных 2.1. Обработка персональных данных осуществляется: - после получения согласия субъекта персональных данных, составленного по форме согласно приложению №1 к настоящему Положению, за исключением случаев, предусмотренных статьи 6 Федерального закона; - после направления уведомления об обработке персональных данных в 19 Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по городу Кемерово, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона; - после принятия необходимых мер по защите персональных данных. 2.2. В органе исполнительной власти и подведомственных им учреждениях приказом руководителя назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных. 2.3. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашение информации, содержащей персональные данные, по форме согласно приложению №2 к настоящему Положению. 2.4. Запрещается: - обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке; - осуществлять ввод персональных данных под диктовку. 3. Порядок определения защищаемой информации 3.1. Орган исполнительной власти создает в пределах своих полномочий, установленных в соответствии с федеральными законами, городские ИСПДн, в целях обеспечения реализации прав объектов персональных данных. 3.2. В органе исполнительной власти на основании «Перечня сведений конфиденциального характера», утвержденного Указом Президента Российской Федерации 6 марта 1997 года № 188, определяется и утверждается перечень сведений ограниченного доступа, не относящихся к государственной тайне (далее - конфиденциальной информации) и перечень информационных систем персональных данных. 3.3. На стадии проектирования каждой ИСПДн определяются цели и содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных 20 4. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации 4.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти. 4.2. Оператором осуществляется определение уровня защищенности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" в зависимости от типа и объема обрабатываемых персональных данных, а так же типа угроз. 4.3. Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". 4.4. Не допускается обработка персональных данных в ИСПДн с использованием средств автоматизации при отсутствии: - утвержденных организационно-технических документов о порядке эксплуатации ИСПДн, включающих акт по определению уровня защищенности персональных данных при их обработке в ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, и других нормативных и методических документов; - настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации; 21 - охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных; 5. Порядок обработки персональных данных без использования средств автоматизации 5.1. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) в соответствии с требованиями Постановления Правительства РФ от от 15 сентября 2008 г. N 687 «Об утверждении положения об особенностях обработки персональных данных , осуществляемой без использования средств автоматизации» и может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации. 5.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных. 5.3. При неавтоматизированной обработке персональных данных на бумажных носителях: - не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы; - персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков); - документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных; - дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных. 5.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия: а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели 22 неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных; в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. 5.5. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации. 5.6. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке. 5.7. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных, составленном по форме согласно приложению №3 к настоящему Положению. К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных. 5.8. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если 23 электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. 5.9. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность. 5.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 6. Ответственность должностных лиц Гражданские государственные служащие, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации. 24 Приложение №1 к Положению о порядке обработки персональных данных в организации и подведомственных учреждениях Форма СОГЛАСИЕ на обработку персональных данных г. Кемерово «___» _________ ____г. Я, _____________________________________________________________________________, (Ф.И.О) ________________________________ серия _______ № _______ выдан ___________________ (вид документа, удостоверяющего личность) _______________________________________________________________________________, (когда и кем) проживающий (ая) по адресу :______________________________________________________ _______________________________________________________________________________, настоящим даю свое согласие на обработку __________________________________________ ________________________________________________________________________________ (наименование и адрес оператора (организации) моих персональных данных и подтверждаю, что, давая такое согласие, я действую своей волей и в своих интересах. Согласие дается мною для целей ________________________________________________________________________________ (цель обработки персональных данных) и распространяется на следующую информацию: _____________________________________ ________________________________________________________________________________ _______________________________________________________________________________. (перечень персональных данных) Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с моими персональными данными с учетом федерального законодательства. В случае неправомерного использования предоставленных мною персональных данных согласие отзывается моим письменным заявлением. Данное согласие действует с «__» ________ ____ г. по «__» ________ ____ г. ______________________________ (Ф.И.О., подпись лица, давшего согласие) 25 Приложение №2 к Положению о порядке обработки персональных данных в организации и подведомственных учреждениях Форма ОБЯЗАТЕЛЬСТВО о неразглашении информации, содержащей персональные данные Я,________________________________________________________________________, (Ф.И.О. государственного гражданского служащего) исполняющий (ая) должностные обязанности по замещаемой должности ________________________________________________________________________________ _________________________________________________________________________ , (должность, наименование структурного подразделения ) предупрежден (а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства: 1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей. 2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику. 3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды. 4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных. 5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные. Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации. _________________________________ (фамилия, инициалы) «_________»______________ ____г. ____________ (подпись) 26 Приложение №3 к Положению о порядке обработки персональных данных в организации и подведомственных учреждениях Форма ___________________________________________________ _______________________________________________ (наименование организации) Начат «___» _________ ____ г. Окончен «___» _________ ____ г. На _______________ листах ЖУРНАЛ учета электронных носителей персональных данных Учетный номер Дата постановки на учет Вид электронного носителя, место его хранения (размещения) 1 2 3 Ответственный за использование и хранение Ф.И.О. подпись дата 4 5 6 27 7. Инструкции о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации информационных систем персональных данных в организации и подведомственных учреждениях __________________________________________________________ (наименование организации) УТВЕРЖДАЮ Руководитель организации ________________________ «__» ____________ 201_ г. Типовая форма инструкции о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации информационных систем персональных данных в организации и подведомственных учреждениях Кемерово 2013 28 Назначение и область действия Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ определяет действия (далее – Инструкция), связанные с функционированием ИСПДн организации _________, меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн. Целью настоящего документа является превентивная защита элементов ИСПДн от предотвращения потери защищаемой информации. Задачей данной Инструкции является: определение мер защиты от потери информации; определение действий восстановления в случае потери информации. Действие настоящей Инструкции распространяется на всех пользователей организации, имеющих доступ к ресурсам ИСПДн, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе: системы жизнеобеспечения; системы обеспечения отказоустойчивости; системы резервного копирования и хранения данных; системы контроля физического доступа. Пересмотр настоящего документа осуществляется по мере необходимости, но не реже раза в два года. Ответственным сотрудником за реагирование на инциденты безопасности, приводящие к потере защищаемой информации, назначается Администратор ИСПДн ____________ (указать наименование ИСПДн). Ответственным сотрудником за контроль обеспечения мероприятий по предотвращению инцидентов безопасности, приводящих к потере защищаемой информации, назначается Администратор безопасности ____________ (указать наименование ИСПДн). Порядок реагирования на инцидент В настоящем документе под Инцидентом понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн, а так же потерей защищаемой 29 информации. Происшествие, вызывающее инцидент, может произойти: В результате непреднамеренных действий пользователей. В результате преднамеренных действий пользователей и третьих лиц. В результате нарушения правил эксплуатации технических средств ИСПДн. В результате возникновения внештатных ситуаций и обстоятельств непреодолимой силы. Все действия в процессе реагирования на Инцидент должны документироваться ответственным за реагирование сотрудником в «Журнале по учету мероприятий по контролю». В кратчайшие сроки, не превышающие одного рабочего дня, ответственные за реагирование сотрудники организации (Администратор безопасности, Администратор и Оператор ИСПДн), предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с вышестоящим руководством. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении инцидентов Технические меры К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения Инцидентов, такие как: системы жизнеобеспечения; системы обеспечения отказоустойчивости; системы резервного копирования и хранения данных; системы контроля физического доступа. Системы жизнеобеспечения ИСПДн включают: пожарные сигнализации и системы пожаротушения; системы вентиляции и кондиционирования; системы резервного питания. Все критичные помещения организации (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы 30 средствами пожарной сигнализации и пожаротушения. Для выполнения требований по эксплуатации (температура, относительная влажность воздуха) программно-аппаратных средств ИСПДн в помещениях, где они установлены, должны применяться системы вентиляции и кондиционирования воздуха. Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИСПДн, сетевое и коммуникационное оборудование, а также наиболее критичные рабочие станции должны подключаться к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания: локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных компьютеров; источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения; дублированные системы электропитания в устройствах (серверы, концентраторы, мосты и т. д.); резервные линии электропитания в пределах комплекса зданий; аварийные электрогенераторы. Системы обеспечения отказоустойчивости: кластеризация; технология RAID. Для обеспечения отказоустойчивости критичных компонентов ИСПДн при сбое в работе оборудования и их автоматической замены без простоев должны использоваться методы кластеризации. Могут использоваться следующие методы кластеризации: для наиболее критичных компонентов ИСПДн должны использоваться территориально удаленные системы кластеров. Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, которые (кроме RAID-0) применяют дублирование данных, хранимых на дисках. Система резервного копирования и хранения данных, должна 31 обеспечивать хранение защищаемой информации на твердый носитель (ленту, жесткий диск и т.п.). Организационные меры Резервное копирование и хранение данных должно осуществлять на периодической основе: для обрабатываемых персональных данных – не реже раза в неделю; для технологической информации – не реже раза в месяц; эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы ИСПДн – не реже раза в месяц, и каждый раз при внесении изменений в эталонные копии (выход новых версий). Данные о проведение процедуры резервного копирования, должны отражаться в специально созданном журнале учета. Носители, на которые произведено резервное копирование, должны быть пронумерованы: номером носителя, датой проведения резервного копирования. Носители должны храниться в несгораемом шкафу или помещении оборудованном системой пожаротушения. Носители должны храниться не менее года, для возможности восстановления данных. Ответственность Ответственность за поддержание установленного в настоящей Инструкции порядка проведения резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных возлагается на Администратора безопасности информации в органе исполнительной власти. 32 8. Руководство пользователя по обеспечению безопасности ИСПДн в организации и подведомственных учреждениях __________________________________________________________ (наименование организации) УТВЕРЖДАЮ Руководитель организации ________________________ «__» ____________ 201_ г. Типовая форма руководства пользователя по обеспечению безопасности ИСПДн в организации и подведомственных учреждениях Кемерово 2013 33 1. Общие положения 1.1. Пользователь ИСПДн (далее – Пользователь) осуществляет обработку персональных данных в информационной системе персональных данных. 1.2. Пользователем является каждый сотрудник организации, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты. 1.3. Пользователь несет персональную ответственность за свои действия. 1.4. Пользователь в своей работе руководствуется настоящей инструкцией, Политикой информационной безопасности организации, руководящими и нормативными документами ФСТЭК России и регламентирующими документами организации ________ (наименование). 1.5. Методическое руководство работой пользователя ответственным за обеспечение защиты персональных данных. осуществляется 34 2. Должностные обязанности Пользователь обязан: 2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации. 2.2. Выполнять на автоматизированном рабочем месте (АРМ) только те процедуры, которые определены для него в Положении о разграничении прав доступа к обрабатываемым персональным данным. 2.3. Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а также руководящих и организационнораспорядительных документов. 2.4. Соблюдать требования парольной политики (раздел 3). 2.5. Соблюдать правила при работе в сетях общего доступа и (или) международного обмена – Интернет и других (раздел 4). 2.6. Экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты). 2.7. Обо всех выявленных нарушениях, связанных с информационной безопасностью организации, а так же для получений консультаций по вопросам информационной безопасности, необходимо обратиться в _____________ по внутреннему телефону _______. 2.8. Для получения консультаций по вопросам работы и настройке элементов ИСПДн необходимо обращаться к Администратору ИСПДн по внутреннему телефону __________. 2.9. Пользователям запрещается: Разглашать защищаемую информацию третьим лицам. 35 Копировать защищаемую информацию на внешние носители без разрешения своего руководителя. Самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств. Несанкционированно открывать общий доступ к папкам на своей рабочей станции. Запрещено подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства. Отключать (блокировать) средства защиты информации. Обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн. Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн. Привлекать посторонних лиц для производства ремонта или настройки АРМ, без согласования с ответственным за обеспечение защиты персональных данных. 2.10. При отсутствии визуального контроля за рабочей станцией: доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш <Ctrl><Alt><Del> и выбрать опцию <Блокировка>. 2.11. Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий, в рамках возложенных, в пределах возложенных на него функций. 36 3. Организация парольной защиты 3.1. Личные пароли доступа к элементам ИСПДн выдаются пользователям Администратором информационной безопасности или Администратором ИСПДн. 3.2. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в 3 месяца. 3.3. Правила формирования пароля: Пароль не может содержать имя учетной записи пользователя или какую-либо его часть. Пароль должен состоять не менее чем из 8 символов. В пароле должны присутствовать символы трех категорий из числа следующих четырех: прописные буквы английского алфавита от A до Z; строчные буквы английского алфавита от a до z; десятичные цифры (от 0 до 9); символы, не принадлежащие алфавитно-цифровому набору (например, !, $, #, %). Запрещается использовать в качестве пароля имя входа в систему, простые пароли типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения своей личности и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе. Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов; Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.); Запрещается выбирать пароли, которые уже использовались ранее. 37 3.4. Правила ввода пароля: Ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан. Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.). 3.5. Правила хранение пароля: Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах. Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем. 3.6. Лица, использующие паролирование, обязаны: четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию. своевременно сообщать Администратору информационной безопасности об утере, компрометации, несанкционированном изменении несанкционированном изменении сроков действия паролей. паролей и 38 4. Правила работы в сетях общего доступа и (или) международного обмена 4.1. Работа в сетях общего доступа и (или) международного обмена (сети Интернет и других) (далее – Сеть) на элементах ИСПДн, должна проводиться при служебной необходимости. 4.2. При работе в Сети запрещается: Осуществлять работу при отключенных средствах защиты (антивирус и других). Передавать по Сети без использования средств защиты каналов связи. Запрещается скачивать из Сети программное обеспечение и другие файлы. Запрещается посещение сайтов сомнительной репутации (порно-сайты, сайты содержащие нелегально распространяемое ПО и другие). Запрещается нецелевое использование подключения к сети. 39 9. Руководство администратора по обеспечению безопасности ИСПДн в организации и подведомственных учреждениях __________________________________________________________ (наименование организации) УТВЕРЖДАЮ Руководитель организации ________________________ «__» ____________ 201_ г. Типовая форма руководства администратора по обеспечению безопасности ИСПДн в организации и подведомственных учреждениях Кемерово 2013 40 1. Общие положения 1.1. Администратор ИСПДн (далее – Администратор) назначается приказом руководителя организации. 1.2. Администратор подчиняется ___________________. 1.3. Администратор в своей работе руководствуется настоящей инструкцией, Политикой информационной безопасности организации, руководящими и нормативными документами ФСТЭК России и регламентирующими документами организации ________ (наименование). 1.4. Администратор отвечает за обеспечение устойчивой работоспособности элементов ИСПДн и средств защиты, при обработке персональных данных. 1.5. Методическое руководство работой Администратора осуществляется ответственным за обеспечение защиты персональных данных. 41 2. Должностные обязанности Администратор обязан: 2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации. 2.2. Обеспечивать установку, настройку и своевременное обновление элементов ИСПДн: программного обеспечения АРМ и серверов (операционные системы, прикладное и специальное ПО); аппаратных средств; аппаратных и программных средств защиты. 2.3. Обеспечивать работоспособность элементов ИСПДн и локальной вычислительной сети. 2.4. Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов. 2.5. Обеспечивать функционирование и поддерживать работоспособность средств защиты в рамках возложенных на него функций. 2.6. В случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе средств защиты информации, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности. 2.7. Проводить периодический контроль принятых мер по защиты, в пределах возложенных на него функций. 2.8. Хранить, осуществлять прием и выдачу персональных паролей пользователей, осуществлять контроль за правильностью использования персонального пароля Оператором ИСПДн. 2.9. Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации. 2.10. Информировать ответственного за обеспечение защиты персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн. 42 2.11. Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн или средств защиты. 2.12. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки персональных данных, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации. Вышедшие из строя элементы и блоки средств вычислительной техники заменяются на элементы и блоки, прошедшие специальные исследования и специальную проверку. 2.13. Присутствовать при выполнении технического обслуживания элементов ИСПДн, сторонними физическими людьми и организациями. 2.14. Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий. 2.15. Не допускать к работе на рабочих станциях и серверах структурного подразделения посторонних лиц; 2.16. Осуществлять контроль монтажа оборудования структурного подразделения специалистами сторонних организаций; 2.17. Участвовать в приемке для нужд структурного подразделения новых программных средств; 2.18. Обобщать результаты своей деятельности и готовить предложения по ее совершенствованию; 2.19. При изменении конфигурации автоматизированной системы вносить соответствующие изменения в паспорт АС, обрабатывающей информацию ограниченного доступа; 43 10. Журнал учета съемных носителей конфиденциальной информации (персональных данных) Типовая форма журнала учета съемных носителей конфиденциальной информации (персональных данных) Тип/ёмкость машинного № Регистрационный носителя п/п номер/дата персональных данных 1 2 3 … N Номер экземпляра/ количество экземпляров Сведения об уничтожении Место хранения Расписка в машинных Место установки Ответственное Расписка в машинного обратном приеме носителей (использования)/ должностное получении (ФИО, носителя (ФИО, подпись, персональных дата установки лицо (ФИО) подпись, дата) персональных дата) данных, стирании данных информации (подпись, дата) 44 11. Журнал регистрации и учета обращений субъектов персональных данных Типовая форма журнала регистрации и учета обращений субъектов персональных данных Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных ИСПДн «_________________________» № ФИО Иванов И.И. Сидоров С.С. Дата 01.10.2010 01.10.2010 Петров П.П. 01.10.2010 Цель Информирование Прекращение обработки Уточнение ПДн в 45 12. Журнал учета средств криптографической защиты информации Типовая форма журнала учета средств криптографической защиты информации Журнал начат «____» ____________________ 200__ г. Должность ______________________ / ФИО должностного лица / Журнал завершен «____» ____________________ 200__ г. Должность ______________________ / ФИО должностного лица/ На _____ листах № п/п 1 Наименован ие СКЗИ 2 Регистрац ионный номер СКЗИ 3 Отметка о получении От кого Дата и получен номер ы сопрово дительного письма 4 5 Отметка о выдаче Ф.И.О. пользовател я СКЗИ, производив шего подключени е (установку) Дата подключени я (установки) и подписи лиц, Произведш их подключени е (установку) 6 7 Отметка о подключении (установке) СКЗИ Ф.И.О. Дата Номера пользовате Подключе аппаратны ля СКЗИ, ния х средств, производи (установки в которые вшего )и установле подключен подписи ны или к ие лиц, которым (установку произведш подключен ) их ы СКЗИ подключен ие (установку ) 8 9 10 Отметка об изъятии СКЗИ из аппаратных средств ИСПДН Дата изъятия Ф.И.О. Номер акта (уничтожени пользователя или я) СКЗИ, расписка об производивш уничтожении его изъятие (уничтожени е 11 12 13 Примеч ание 14 46 13. Журнал учета ключевых носителей Типовая форма журнала учета ключевых носителей Журнал начат «____» ____________________ 200__ г. Должность ______________________ / ФИО должностного лица / Журнал завершен «____» ____________________ 200__ г. Должность ______________________ / ФИО должностного лица/ На _____ листах № п/п Номера экземпляров (криптографические номера) ключевых документов Номера серий криптографических ключей Наименование СКЗИ Отметка о получении От кого Дата и получены номер сопроводительного письма Отметка о выдаче Ф.И.О. Дата пользователя Отметка об уничтожении ключевых документов Дата Ф.И.О. Номер акта уничтожения пользователя или расписка СКЗИ, об производившего уничтожении уничтожение 47 15. Журнал сертифицированных средств защиты информации Типовая форма журнала учета сертифицированных средств защиты информации, эксплуатационной и технической документации к ним Номер п/п Индекс и наименование средства защиты информации Серийный (заводской) номер Номер специального защитного знака Наименование организации, установившей СЗИ Место установки 1 СЗИ1 EAV-03569286 А 479355 ИСПДн «______» 2 СЗИ2 455355 B 455355 ИСПДн «______» 3 Инструкция по эксплуатации СЗИ1 4 Выдана ответственному _______________ Примечание Сертификат ФСТЭК России № ____, действителен до _________ Сертификат ФСТЭК России № ____, действителен до _________ ФИО Подпись 48 16. Перечень автоматизированных и информационных систем, обрабатывающих конфиденциальную информацию и персональные данные организации Типовая форма перечня автоматизированных и информационных систем, обрабатывающих конфиденциальную информацию и персональные данные организации № п/п 1 2 Название АС (ИСПДн) АС «Корпоративн ая сеть Управления» АИС «Кадры» Класс системы Тип обработки ПДн 1Г Многополь зовательска я, с разграниче нием прав К2 Многополь зовательска я, с разграниче нием прав Состав серверного и прикладного ПО Кол-во АРМ 250 120 Кол-во сервер ов Операци онная система Прикладное ПО Защищаемые информационн ые ресурсы КИ и ПДн 10 Windows XP, Server 2003 - Локальный ресурс, Сервер приложений 5 Windows XP, Server 2003 АИС «Кадры» База данных Описание каналов передачи данных ЛВС без подключения к Internet. Передача данных по выделенные каналам связи без шифрования ЛВС без подключения к Internet. Передача данных по выделенные каналам связи с шифрованием. Структура распределе нная распределе нная Местонахож дение ИСПДн 49 17. Список лиц, допущенных в защищаемое помещение УТВЕРЖДАЮ Руководитель организации ________________________________ «__» ____________ 20__ г. Типовая форма списка лиц, допущенных в защищаемое помещение №______ № п/п 1 № отдела Должность Фамилия и инициалы 2 3 4 5 6 7 8 9 10 11 12 13 Начальник _____________________ “____” _______ 20__ г. 50 18. Список лиц, допущенных к работе на АС (ИСПДн) УТВЕРЖДАЮ Руководитель организации ________________________________ «__» ____________ 20__ г. Типовая форма списка лиц, допущенных к работе на АС (ИСПДн) ________________ № п/п 1 № отдела Должность Фамилия и инициалы 2 3 4 5 6 7 8 9 10 11 12 13 Начальник _____________________ “____” _______ 20__ г. 51 19. Список сотрудников, допущенных к работе с персональными данными УТВЕРЖДАЮ Руководитель организации ________________________________ «__» ____________ 20__ г. Типовая форма списка сотрудников, допущенных к работе с персональными данными № п/п ФИО Должность Порядковые номера ПДн (в соответствии с «Перечнем ПДн, обрабатываемых в организации, к которым допущен сотрудник Начальник _____________________ “____” _______ 20__ г. 52 20. Акт определения уровня защищённости персональных данных Типовая форма акта определения уровня защищенности персональных данных при их обработке в информационных системах персональных данных ________________________________________________________ (наименование ИСПДн) ________________________________________________________ (организация) ________________________________________________________ (местоположение) Комиссия в составе: Председатель – _____________________________________________________ Члены комиссии ___________________________________________________ __________________________________________________________________ __ Рассмотрев исходные данные об информационной системе персональных данных, согласно Постановлению Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", комиссией были выявлены следующие исходные данные об ИСПДн «_______»: Тип ИСПДн Категории субъектов Иные Не сотрудников категории персональных Сотрудников данных Количество субъектов Более 100 000 Менее чем 100 000 Более 100 000 Менее чем 100 000 Тип актуальных угроз 1 тип 2 тип 3 тип УЗ 1 УЗ 2 УЗ 3 УЗ 1 УЗ 3 УЗ 4 УЗ 1 УЗ 3 УЗ 4 УЗ 1 УЗ 3 УЗ 4 Структура информационной системы: АВТОНОМНАЯ (локальная информационная система, распределенная информационная система); Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена: НЕТ (ДА); Режим обработки персональных данных: МНОГОПОЛЬЗОВАТЕЛЬСКИЙ (ОДНОПОЛЬЗОВАТЕЛЬСКИЙ); Режим разграничения прав доступа пользователей информационной системы: 53 БЕЗ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА (С РАЗГРАНИЧЕНИЕМ ПРАВ ДОСТУПА); Местонахождение технических средств: В ПРЕДЕЛАХ РОССИЙСКОЙ ФЕДЕРАЦИИ. На основании анализа исходных данных, комиссия РЕШИЛА: Информационной системе персональных данных ______________ установить уровень защищенности: _. Председатель комиссии: ________________________ Члены комиссии: ________________________ подписи «__» __________ 20__г.