Политика ИБ налоговой инспекции

Содержание
Описание объекта защиты информации: .............................................................. 2
Техническое обеспечение организации ............................................................ 9
Сбор и хранение данных .................................................................................. 10
Схема информационных потоков организации .................................................. 12
Модель угроз безопасности информации организации .................................... 14
Политика ИБ организации.................................................................................... 18
1. Общие положения ......................................................................................... 18
2.
Цели политики управления доступом .................................................... 19
3.
Основные принципы управления доступом .......................................... 20
4. Активы информационной безопасности как объекты доступа
(политика учёта активов ИБ) ........................................................................... 21
Правила управления доступом (политика управления доступом) ............... 23
Правила управления учётными записями пользователей (политика
идентификации и аутентификации) ................................................................ 29
Управление паролями пользователей (парольная политика) ........................ 32
Удалённый доступ пользователей (политика использования мобильной
вычислительной техники) ................................................................................ 35
Политика в области персональных данных ........................................................ 37
1. Общие положения ......................................................................................... 37
2. Категории субъектов персональных данных .............................................. 41
3. Условия и порядок обработки персональных данных субъектов
персональных данных в связи с реализацией служебных или трудовых
отношений .......................................................................................................... 43
Описание объекта защиты информации:
Межрегиональная инспекция ФНС России по Южному федеральному
округу является территориальным органом Федеральной налоговой службы и
входит в единую централизованную систему налоговых органов.
Инспекция имеет сокращенное наименование: МИ ФНС России по
ЮФО.
Инспекция располагается по адресу: г. Ростов-на-Дону, Ворошиловский
пр-кт, 54.
Инспекция является территориальным органом, осуществляющим
функции по контролю и надзору за соблюдением законодательства Российской
Федерации о налогах и сборах, за правильностью исчисления, полнотой и
своевременностью внесения в соответствующий бюджет налогов и сборов,
предусмотренных
законодательством
Российской
Федерации,
за
правильностью исчисления, полнотой и своевременностью внесения в
соответствующий
бюджет
иных
обязательных
платежей,
также
за
соблюдением валютного законодательства Российской Федерации в пределах
компетенции налоговых органов.
Виды деятельности отделов Межрегиональной инспекции ФНС России
по Южному федеральному округу:
1)
Отдел финансового и общего обеспечения (далее — Отдел)
является структурным подразделением МИ ФНС России по ЮФО.
Основные задачи Отдела:

организация и обеспечение единой системы делопроизводства и
документооборота в Инспекции, включая единый порядок учета и регистрации
входящих и исходящих документов;

обеспечение
автоматизированного
учета
и
контроля
за
прохождением, исполнением и оформлением документов в установленные
сроки в соответствии с требованиями делопроизводства;

организационно-техническое и информационно-аналитическое
обслуживание деятельности руководителя Инспекции и его заместителей;

организация работы архива Инспекции, включая подготовку
номенклатуры дел, подлежащих передаче в архив, их хранение и оперативное
использование служебной информации;

организация работы с обращениями, жалобами заявлениями и
предложениями граждан, обеспечение деятельности приемной руководителя
Инспекции и его заместителей;

организация
коммунально-эксплуатационного,
технического,
транспортного, социально-бытового, материально- технического обеспечения
согласно утвержденным нормативам.

осуществление полномочий получателя бюджетных средств,
определенных Бюджетным Кодексом Российской Федерации, и финансовоэкономическое обеспечение условий функционирования Инспекции;

средств
разработка и реализация мер по эффективному использованию
Федерального
бюджета,
и
средств,
полученных
от
предпринимательской и иной приносящий доход деятельности, направляемых
в соответствии с действующим законодательством на содержание и
материально- техническое развитие Инспекции.
2)
Отдел финансового аудита и контроля.
Деятельность Отдела финансового аудита и контроля:

подготовка по запросу Управления заключений по жалобам;

рассмотрение жалоб физических и юридических лиц на акты
нижестоящих налоговых органов, действия (бездействие) их должностных лиц
в связи с осуществлением налоговыми органами полномочий, установленных
федеральными законами, нормативными правовыми актами Президента
Российской Федерации или Правительства Российской Федерации, по
результатам, рассмотрения которых выносится решение;

рассмотрение возражений (разногласий) налогоплательщиков
(налоговых агентов, плательщиков сборов) по актам выездных налоговых
проверок, назначенных и проведенных управлением ИФНС России по
результатам рассмотрения, которых подготавливается экспертное заключение
об обоснованности (необоснованности) доводов налогоплательщика;

налоговый
налогоплательщикам
кодекс
право
Российской
обжаловать
Федерации
акты
предоставляет
налоговых
органов
ненормативного характера, действия или бездействие их должностных лиц в
вышестоящий налоговый орган (вышестоящему должностному лицу) или в
суд;

обжалование
осуществляется
путем
подачи
жалобы
вышестоящему лицу налогового органа, должностными лицами которого
совершены обжалуемые действия, либо в вышестоящий налоговый орган или
суд.
3)
Отдел внутреннего аудита.
Основные задачи отдела внутреннего аудита:

прием налогоплательщиков ежедневно в течение всего рабочего
дня без перерыва;

организация работы по приему отчетности, в т. ч. по
представлению налоговой и бухгалтерской отчетности налогоплательщиками
в электронном виде;

проведение регистрации и оперативной передачи на обработку в
соответствующие подразделения Инспекции документов, полученных от
юридических и физических лиц, их уполномоченных представителей, о также
документов, полученных по телекоммуникационным каналам связи;

информирование налогоплательщиков о задачах, направлениях и
результатах действия налоговых органов;

контроль
за
соблюдением
законодательства
об
учете
налогоплательщиков, об идентификационных номерах, об учете сведений о
счетах налогоплательщиков в кредитных организациях;

осуществление
взаимодействия
информации (далее СМИ) и с общественностью;
со
средствами
массовой

выдача или отправление по ТКС налогоплательщикам или их
уполномоченным представителям документов по вопросам, относящимся к
компетенции Отдела, а также остальных документов, подготовленных
другими подразделениями Инспекции.
4)
Отдел информационно-аналитической работы.
Основные задачи отдела информационно-аналитической работы:

прием от сторонних организаций информационных массивов;

организация и контроль приема, передачи информационных
массивов через уполномоченных лиц (операторов связи);

ввод, обработка и передача по принадлежности информационных
массивов, поступающих от сторонних организаций, уполномоченных лиц и
вышестоящих подразделений ФНС России;

участие в подготовке соглашений об информационном обмене со
сторонними организациями и уполномоченными лицами в части порядка
обмена и формата передаваемой информации;

организация
хранения
архивов
принятой
и
обработанной
является
структурным
информации.
5)
Контрольно-аналитический отдел.
Общие положения:

Контрольно-аналитический
отдел
подразделением МИ ФНС России по ЮФО;

Отдел в своей деятельности руководствуется инструкциями на
рабочие места, утвержденными ФНС России;

Положение об Отделе утверждается руководителем Инспекции.
6)
Отдел судебного урегулирования налоговых споров.
Основные задачи Отдела судебного урегулирования налоговых споров:

контроль за соблюдением налогоплательщиками, плательщиками
сборов и налоговыми агентами, состоящими на учете в Инспекции,
законодательства о налогах и сборах и принятых в соответствии с ним
нормативных правовых актов, правильностью исчисления, полнотой и
своевременностью внесения в соответствующие бюджеты и государственные
внебюджетные фонды налогов, сборов и иных обязательных платежей;

планирование выездных налоговых проверок;

организация и проведение выездных налоговых проверок по
соблюдению, законодательства о налогах и сборах в соответствии с
ежеквартальными планами проведения выездных налоговых проверок;

осуществление взаимодействия с правоохранительными и иными
контролирующими органами по предмету деятельности Отдела.

урегулирование задолженности по налогам, сборам и другим
платежам в бюджетную систему Российской Федерации посредством
проведения в соответствии с решениями, принятыми Правительством
Российской Федерации, реструктуризации задолженности, а также контроль за
выполнением налогоплательщиками условий предоставления. отсрочек
(рассрочек), налоговых кредитов, инвестиционных налоговых кредитов;

урегулирование задолженности по налогам, сборам и другим
платежам в бюджетную систему Российской Федерации посредством
применения комплекса мер принудительного взыскания;

урегулирование задолженности по налогам, сборам и другим
платежам в бюджетную систему Российской Федерации, списанным с
расчетных счетов налогоплательщиков, но не зачисленным на счета по учету
доходов бюджетов;

выявление излишне уплаченных или излишне взысканных сумм и
проведение их зачета (возврата);

организация работы по инициированию процедуры банкротства
должников, списание безнадежной к взысканию задолженности.
7)
Правовой отдел.
Основные задачи Правового отдела:

обеспечение правовыми средствами реализации Инспекций
законодательства о налогах и сборах, норм и положений Кодекса об
административных правонарушениях, законодательство о государственной
регистрации
юридических
лиц,
о
государственном
регулировании
производства и оборота алкогольной и табачной продукции, а также
нормативных правовых актов ФНС России и Управления;

представление и защита законных прав и интересов Инспекции в
судебных, правоохранительных и иных органах;

подготовка проектов решений по результатам налоговых проверок.
Основными функциями юридического отдела являются: проведение правовой
экспертизы документов, подготавливаемых в Инспекции, и оказание правовой
помощи
подразделениям
Инспекции
по
вопросам
применения
законодательства РФ;

рассмотрение,
систематизация
и
анализ
жалоб
налогоплательщиков;

подготовка проектов решений по результатам налоговых проверок;

осуществление
производства,
участие
и
юридическое
сопровождение дел о налоговых и административных правонарушениях,
нарушениях законодательства о налогах и сборах;

оформление и предъявление в суды общей юрисдикции и
арбитражные суды исков по всем основаниям;

участие в подготовке и подготовка ответов на письменные запросы
налогоплательщиков; формирование установленной отчётности по предмету
деятельности Отдела;

подготовка
информационных
материалов
для
руководства
Инспекции по вопросам, которые находятся в компетенции Отдела;

введение в установленном порядке делопроизводства, хранение и
сдача в архив документов отдела.
Инспекция имеет следующих сотрудников:

Начальник инспекции, занимающийся головным управлением
организации;

Юристы,
которые
консультированием клиентов;
занимаются
подготовкой
документов
и

Бухгалтеры, которые занимаются учетом финансовых операций
компании и клиентов, составлением отчетности и контролем за финансовыми
потоками;

IT-специалисты, консультанты и сотрудники ФКУ, которые
занимаются обеспечением безопасности и защитой информации компании и
ее
клиентов,
разработкой
и
поддержкой
информационных
систем,
поддержанием компьютерной техники в надлежащем состоянии;

Специалисты по кадрам, которые занимаются набором персонала,
подбором квалифицированных специалистов, обучением и развитием
персонала.
Инспекция осуществляет следующие полномочия в установленной
сфере деятельности:

контроль за соблюдением законодательства о налогах и сборах, а
также принятых в соответствии с ним нормативных правовых актов,
правильностью исчисления, полнотой и своевременностью внесения налогов
и сборов, а в случаях, предусмотренных законодательством Российской
Федерации, — за правильностью исчисления, полнотой и своевременностью
внесения в соответствующий бюджет иных обязательных платежей;

контроль за осуществлением валютных операций резидентами и
нерезидентами, не являющимися кредитными организациями; контроль за
соблюдением требований к контрольно-кассовой технике, порядком и
условиями ее регистрации и применения, а также полнотой учета выручки
денежных средств;

государственную регистрацию юридических лиц, физических лиц
в качестве индивидуальных предпринимателей и крестьянских (фермерских)
хозяйств;

технику,
регистрирует в установленном порядке контрольно-кассовую
используемую
предпринимателями
Федерации;
в
организациями
соответствии
с
и
индивидуальными
законодательством
Российской

ведет в установленном порядке учет всех налогоплательщиков на
подведомственной территории;
Техническое обеспечение организации
Техническое обеспечение налоговой инспекции включает следующее:
1.
Компьютеры и периферийные устройства (принтеры, сканеры) для
работы с документами и информацией;
2.
Системы защиты информации и безопасности данных, такие как
антивирусное программное обеспечение, брандмауэры, системы резервного
копирования данных (Kasperskiy на каждом ПК и серверах, компьютеры
системного администратора и ИБ-специалиста с установленным необходимым
ПО, SecretNet и др.);
3.
Интернет-сервисы для получения доступа к законодательству,
базам данных, судебной практике и другой информации и связи с клиентами
(Консультант Плюс, Гарант и др.);
4.
Система управления, обработки и хранения клиентских данных
для хранения информации о клиентах и их делах (СХД на основе сервера);
5.
Телефонная система для связи с клиентами.
Информационные ресурсы (ИР) в налоговых органах Российской
Федерации разделяются на четыре основные группы:

ИР по государственной регистрации и учету юридических и
физических лиц;

ИР по формам налоговой отчетности, ежегодно утверждаемым
приказом ФНС России;

ИР, формируемые на основе сведений, получаемых из внешних
источников;

вспомогательные ИР.
Наиболее важными с точки зрения обеспечения выполнения функций,
возложенных на органы ФНС, являются следующие ИР:

АИС Налог 3 – автоматизированная информационная система
ФНС России;

Lotus – система электронного документооборота;

База данных ЭОД – система электронной обработки данных;
Базы данных «Банковские счета», «Недействительные паспорта»,
«Статистическая налоговая отчетность», «Суды», «Кадры» и другие.
Сбор и хранение данных
В центральном аппарате и территориальных органах ФНС России
осуществляется обработка персональных данных гражданских служащих
ФНС России и лиц, состоящих с ними в родстве (свойстве), в связи с
рассмотрением вопросов: о предоставлении единовременной субсидии на
приобретение жилого помещения (далее - субсидия), о предоставлении
служебного жилого помещения (далее - служебное жилое помещение) и о
формировании списков граждан, имеющих право быть принятыми в члены
жилищно-строительных кооперативов (далее - списки членов ЖСК).
Перечень персональных данных, подлежащих обработке в связи с
предоставлением субсидии, служебного жилого помещения, формированием
списков членов ЖСК включает в себя:
1) фамилию, имя, отчество (при наличии) (в том числе прежние
фамилии, имена и (или) отчества (при наличии), дату, место и причину их
изменения);
2) вид, серию, номер документа, удостоверяющего личность гражданина
Российской Федерации, наименование органа и код подразделения органа (при
его наличии), выдавшего его, дату выдачи;
3) адрес и дату регистрации (снятия с регистрационного учета) по месту
жительства (месту пребывания), адрес фактического проживания;
4) сведения о семейном положении, составе семьи и о близких
родственниках (отец, мать, братья, сестры и дети), а также о муже (жене), в том
числе бывших;
5) персональные данные, содержащиеся в выписке из домовой книги,
копиях финансового лицевого счета, свидетельства о браке, свидетельства о
рождении ребенка (детей), трудовой книжки, документов о наличии в
собственности гражданского служащего ФНС России и (или) членов его семьи
жилых
помещений,
кроме
жилого
помещения,
в
котором
они
зарегистрированы (с предоставлением при необходимости их оригиналов),
документа, подтверждающего право на дополнительную площадь жилого
помещения (в случаях, когда такое право предоставлено законодательством
Российской Федерации);
6) иные персональные данные, ставшие известными в связи с
рассмотрением вопросов о предоставлении субсидии, служебного жилого
помещения или формированием списков членов ЖСК.
Схема информационных потоков организации
Информационное и функциональное взаимодействие узлов АИС
"Налог" ФНС России осуществляется на основе интегрированных (логически
единых) баз данных, обеспечивающих должностных лиц структурных
подразделений ФНС России, а также подключенных налогоплательщиков (их
представителей) требуемой информацией.
Информационное взаимодействие налоговых органов осуществляется:

между структурными подразделениями налогового органа - в
пределах одного налогового органа;

между налоговыми органами ФНС России различного уровня;

между
налоговым
органом
и
другими
организациями
и
ведомствами, включая налогоплательщиков, и физическими лицами.
Информационное
подразделениями
взаимодействие
одного
налогового
между
органа
структурными
представлено
обменом
документами на бумажных носителях, электронными образами этих
документов и электронными документами. Обмен файлами документов
осуществляется по ЛВС, используя систему электронного документооборота
(СЭД), средства внутренней электронной почты, веб-доступ к ресурсам сети,
совместно используемые каталоги файловых систем, FTP-обмен, доступ к
базам данных налогового администрирования.
Информационное
взаимодействие
между
налоговыми
органами
осуществляется как по вертикали иерархии организационного подчинения, так
и по горизонтали. Обусловлено это тем, что иерархия функций налогового
администрирования включает в себя административные, методические,
плановые, контрольно-аналитические процессы, учет платежей, проведение
выездных поверок, мониторинг недоимок и др., которые требуют в общем
случае организации как вертикальных (восходящих и нисходящих), так и
горизонтальных информационных потоков.
Схема информационных потоков инспекции представлена на рисунке 1.
Рисунок 1 – Схема информационных потов организации
Модель угроз безопасности информации организации
Под угрозами безопасности информации понимается совокупность
условий и факторов, создающих потенциальную или реальную опасность
утечки
защищаемой
информации,
несанкционированных
и
(или)
непреднамеренных воздействий на нее. Систематизация угроз в Базовой
модели проведена по виду нарушаемого свойства безопасности информации:
1) угрозы нарушения конфиденциальности:

хищение (утечка, перехват, съем) информации и средств ее
обработки;

утрата (неумышленная потеря) информации, средств ее обработки;

разглашение информации;
2) угрозы нарушения целостности информации:

модификация (искажение) информации;

отрицание подлинности информации;

навязывание ложной информации;
3) угрозы нарушения доступности информации:

блокирование информации;

уничтожение информации и средств ее обработки и хранения.
Моделирование процессов нарушения безопасности информации
осуществляется применительно к объекту информатизации на основе
рассмотрения логической цепочки взаимодействия при реализации угрозы:
"угроза - источник угрозы - уровень реализации - уязвимость последствия".
В качестве источников угроз могут выступать как субъекты (личность),
так и объективные проявления. Источники угроз могут находиться как внутри
объекта информатизации - внутренние, так и вне его - внешние. Все источники
угроз делятся на классы, обусловленные типом носителя угрозы (источника
угрозы):

антропогенные источники угроз, обусловленные действиями
субъекта, которые могут быть квалифицированы как умышленные или
случайные проступки;

техногенные источники угроз, обусловленные техническими
средствами и определяемые технократической деятельностью человека;

стихийные
источники
угроз,
обусловленные
природными
явлениями, которые невозможно предусмотреть или возможно предусмотреть,
но невозможно предотвратить при современном уровне человеческого знания
и возможностей.
Угрозы могут быть реализованы только при наличии каких-либо слабых
мест - уязвимостей, присущих объекту информатизации и могут быть
объективными, субъективными или случайными.
Для
объектов
информатизации
налоговых
органов
основными
актуальными источниками угроз безопасности информации для всех или части
ИР являются:

иностранные технические разведки (для КСИИ выше 3-го уровня
и сведений, содержащих государственную тайну) (антропогенные, внешние);

террористы, криминальные элементы (антропогенные, внешние);

компьютерные
злоумышленники,
осуществляющие
целенаправленные деструктивные воздействия, в том числе с использованием
компьютерных вирусов и других типов вредоносных кодов (антропогенные,
внешние);

поставщики
материалов,
услуг,
в
программно-технических
том
числе провайдеры
средств,
расходных
телематических
услуг
(антропогенные, внешние);

подрядчики, осуществляющие монтаж, пусконаладочные работы
оборудования ИС налоговых органов и его ремонт (антропогенные, внешние);

работники
налоговых
органов,
являющиеся
легальными
участниками процессов обработки информации и действующие вне рамок
предоставленных полномочий (антропогенные, внутренние);

работники
налоговых
органов,
являющиеся
легальными
участниками процессов обработки информации и действующие в рамках
предоставленных полномочий (антропогенные, внутренние);

неблагоприятные события природного характера, в том числе
пожары, стихийные бедствия, магнитные бури, природные катаклизмы
(стихийные);

аварии
неблагоприятные события техногенного характера, в том числе
на
средствах
инженерных
коммуникаций,
средствах
телекоммуникационной инфраструктуры, сбои и отказы оборудования
(техногенные).
Для объектов налоговых органов актуальными уязвимостями являются:

потенциальная подверженность района размещения объектов
налоговых органов воздействию природных и техногенных факторов, в том
числе
критично
географическое
гидрологическая
близкое
расположение
положение
и
объекта
и
сейсмологическая
техногенных
сооружений,
климатические
обстановка,
условия,
повреждения
жизнеобеспечивающих коммуникаций;

ошибки в проектировании объектов информатизации налоговых
органов и телекоммуникационной инфраструктуры ФНС России, влияющие на
их отказоустойчивость и катастрофоустойчивость, в том числе сбои
электроснабжения, физический износ оборудования и сооружений, малое
время наработки на отказ оборудования и ПО;

физические,
моральные,
психологические
особенности
работников, создающие предпосылки террористического или криминального
воздействия,
озлобленность,
в
том
числе:
обида),
антагонистические
неудовлетворенность
отношения
своим
(зависть,
положением,
неудовлетворенность действиями руководства (взыскание, увольнение),
психологическая несовместимость, психические отклонения, стрессовые
ситуации, физическое состояние субъекта (усталость, болезненное состояние),
психосоматическое состояние субъекта;

недостатки в организации охраны и технической укрепленности
объектов налоговых органов, в том числе нарушения режима охраны и защиты
(доступа на объект, доступа к техническим средствам), нарушения режима
эксплуатации технических средств (энергообеспечения, жизнеобеспечения);

восприимчивость программного обеспечения к вредоносным
программным кодам и компьютерным вирусам;

том
числе
наличие уязвимостей программного и аппаратного обеспечения, в
оставление
разработчиком
(умышленное
или
случайное)
возможностей несанкционированной модификации программного кода,
использования среды программирования АИС, программных вызовов;

сбои и отказы технических средств, ошибки при подготовке и
использовании программного обеспечения;

наличие уязвимостей (слабостей) СиЗИ;

несоответствующая
утвержденной
документации
настройка
конфигурации программного и аппаратного обеспечения, в том числе средств
и систем защиты информации, отсутствие контроля их изменения,
некомпетентные действия работников при конфигурировании и управлении
программными средствами и оборудованием;

некачественная (неполная) регламентация в договорах (контактах)
вопросов взаимодействия с поставщиками и подрядчиками (обязанности,
ответственность);

несоответствие регламентов деятельности текущему состоянию
объекта защиты и неконтролируемость исполнения работниками ФНС России
регламентов своей деятельности, в том числе инсталляции нештатного
программного обеспечения, нарушения порядка обработки и обмена
информацией, хранения и уничтожения носителей информации, уничтожения
производственных отходов и брака.
Актуальной считается угроза, которая может быть реализована при
обработке информации в ИС налоговых органов и представляет опасность для
защищаемой информации.
Политика ИБ организации
1. Общие положения
1.1.
Настоящая политика определяет цели и задачи в области
обеспечения защиты информации, а также общие намерения и направления
при управлении доступом к активам информационной безопасности
информационной системы ИТ-инфраструктура ФНС России.
1.2.
Под
активами
информационной
безопасности
ИТ-
инфраструктуры ФНС России понимаются информационные, программные и
технические ресурсы ИТ-инфраструктуры ФНС России (в том числе
сопровождаемые или администрируемые ФКУ «Налог-Сервис» ФНС России),
которые могут потерять частично или полностью свойства информационной
безопасности (конфиденциальность, доступность или целостность) при
реализации угроз.
1.3.
Настоящая
политика
является
элементом
Политики
информационной безопасности ФНС России и содержит:

политику учёта активов информационной безопасности (Раздел 4);

политику управления доступом (Раздел 0);

политику идентификации и аутентификации пользователей
(Раздел 0);

парольную политику (Раздел 0);

политику использования мобильной вычислительной техники
ИТ-инфраструктуры ФНС России (Раздел 0).
1.4.
В рамках настоящей политики в качестве получателей прав
доступа к активам информационной безопасности ИТ-инфраструктуры ФНС
России (субъектов доступа, пользователей) рассматриваются:

сотрудники налоговых органов;

работники подведомственных ФНС России организаций;

привлекаемые в рамках Государственных контрактов или иных
договоров специалисты и эксперты;

компоненты ИТ-инфраструктуры ФНС России (процессы).
Вопросы управления доступом пользователей (сотрудников или
процессов) иных организаций и налогоплательщиков (граждан Российской
Федерации) в рамках настоящей Политики не рассматриваются.
1.5.
Настоящая политика разработана на основании и в развитие:

Концепции
информационной
безопасности
Федеральной
налоговой службы, утвержденной приказом ФНС России от 13.01.2012
№ ММВ-7-4/6@;

ФНС
Концепции системы управления информационной безопасностью
России,
утвержденной
приказом
ФНС
России
от
24.02.2014
№ ММВ-7-6/66@.
1.6.
Настоящая политика создана и должна пересматриваться с учётом
требований технологических процессов ФНС России и задач информационной
безопасности.
2.
Цели политики управления доступом
Целями настоящей политики являются:

предотвращение
несанкционированного
доступа
к
активам
информационной безопасности;

предотвращение нарушений прав субъектов данных при обработке
информации;

недопущение
деструктивного
воздействия
на
технические
средства обработки информации;

недопущение деструктивного информационного воздействия на
информацию.
Основные принципы управления доступом
3.
3.1.
Обоснованность доступа: должны существовать объективные
причины, зафиксированные установленным порядком в соответствующих
документах (соглашениях, регламентах, порядках, должностных инструкциях
и др.), обуславливающие необходимость предоставления конкретному
пользователю доступа к активу с определёнными полномочиями.
3.2.
Разграничение прав доступа: субъектам доступа предоставляются
только те права, которые необходимы ему для выполнения возложенных на
него функциональных обязанностей.
3.3.
Однозначность управления доступом: перечень активов и прав к
ним, доступных пользователю, определяется набором типовых ролей
(полномочий, шаблонов, профилей), описанных в эксплуатационной или иной
документации на соответствующий актив информационной безопасности.
3.4.
Документированность: управление (предоставление, изменение,
блокировка, аннулирование) правами доступа к активам осуществляется
исключительно
на
основании
установленной
формы
на
документа
(заявки,
иного
предоставление/изменение
прав
обращения
доступа),
содержащей всю необходимую информацию для её однозначного и
правильного выполнения.
3.5.
Требования к мерам защиты информации, реализуемые при
осуществлении доступа (требования к применяемым средствам защиты
информации и организационным мероприятиям), должны соответствовать
законодательству Российской Федерации, в том числе приказам Федеральной
службы по техническому и экспортному контролю от 11.02.2013 г. № 17 и от
18.02.2013 г. № 21.
Активы информационной безопасности как объекты доступа
4.
(политика учёта активов ИБ)
4.1.
Настоящая политика регулирует процессы управления доступом к
следующим активам информационной безопасности ИТ-инфраструктуры
ФНС России, являющимися объектами доступа:

информационные ресурсы ИТ-инфраструктуры ФНС России;

оборудование ИТ-инфраструктуры ФНС России (серверные
комплексы,
рабочие
станции
пользователей,
технические
средства
ввода/вывода информации, комплексы сканирования документов, принтеры,
средства хранения и архивирования данных, программно-аппаратные средства
удостоверяющего центра, источники бесперебойного питания);

телекоммуникационные сети и системы (активное и пассивное
коммуникационное оборудование, система управления, мониторинга и
обслуживания сетевой инфраструктуры);

программные
средства
(операционные
системы,
системы
управления базами данных, другое общесистемное, специальное и прикладное
программное обеспечение);

средства защиты информации (СЗИ);

средства
обеспечения
жизнедеятельности
объектов
(гарантированные и бесперебойные системы электропитания и заземления
объектов, системы пожарной и охранной сигнализации, электронные системы
контроля и управления доступом на территорию и в помещения, системы
громкоговорящей связи и оповещения, системы кондиционирования,
отопления, вентиляции и пожаротушения);

информация в электронном виде - электронные сообщения
(электронные документы и информационные массивы, в том числе удалённые
архивы);

информация на материальных носителях:

бумажные носители информации (документы);

машинные
носители
информации
(магнитные,
магнитооптические, оптические, USB-накопители, карты памяти различных
типов и др.).
4.2.
Все активы информационной безопасности должны учитываться,
иметь назначенного владельца (рекомендации по определению владельца для
различных активов определены в Ошибка! Источник ссылки не найден.), а
информация, обрабатываемая с использованием актива, должна быть
классифицирована.
При
необходимости
(обязательно
для
активов
централизованных компонент ИТ-инфраструктуры ФНС России – ЦОДов)
должны быть определены ограничения – определение групп субъектов
доступа.
4.3.
В рамках учёта активов информационной безопасности требуется
определить ответственного за поддержку соответствующих мер и средств
контроля и управления. Реализация определённых мер и средств контроля и
управления при необходимости может быть делегирована ответственным, но
ответственность за надлежащую защиту активов при этом не снимается.
4.4.
В
отношении
активов
информационной
безопасности,
реализующих предоставление доступа в соответствии с ролями доступа,
определение
владельца,
классификация
информации
и
определение
ограничений проводится в отношении каждой из ролей доступа.
4.5.
При учёте активов в виде ролей доступа централизованно
предоставляемого информационного ресурса (АИС «Налог-3» или ФИР) в
территориальных налоговых органах и подведомственных организациях в
качестве владельцев назначаются структурные подразделения данных
организаций.
4.6.
Владелец актива несёт ответственность за:

классификацию
информационной
информации;
информации,
безопасности,
связанных
в
том
со
числе
средствами
в
активах
обработки

определение
и
периодический
пересмотр
ограничений
и
классификаций доступа, принимая в расчёт применимые политики управления
доступом.
4.7.
При учёте активов допускается обозначать группы активов,
действующих вместе, для обеспечения функции, такой как «услуга». В данном
случае владелец «услуги» является ответственным за поставку «услуги» и
функционирование активов, которые обеспечивают данную «услугу».
4.8.
Информация актива информационной безопасности должна быть
классифицирована,
чтобы
определить
необходимость,
приоритеты
и
предполагаемую степень защиты при обработке информации.
4.9.
Информация
классифицируется
в
в
ИТ-инфраструктуре
соответствии
с
ФНС
Концепцией
России
информационной
безопасности исходя из законодательных требований как:

общедоступная информация:

публичная информация;

служебная информация;

служебная информация ограниченного распространения;

информация ограниченного доступа:

налоговая тайна;

персональные данные;

банковская тайна;

первичные статистические данные.
Правила управления доступом (политика управления доступом)
4.10. Доступ к активам информационной безопасности предоставляется
субъектам
доступа
(в
том
числе
процессам),
прошедшим
этапы
идентификации и аутентификации, в соответствии с Разделом 0 настоящей
Политики. Исключение могут составлять действия, указанные в Перечне
действий пользователей, разрешённых до прохождения ими процедур
идентификации и аутентификация (Ошибка! Источник ссылки не
4.11. Доступ
к
информации,
относящейся
к
информации
ограниченного распространения и информации ограниченного доступа,
а также к активам, являющимся средствами обработки информации
такой
классификации,
допускается
только
для
авторизованных
субъектов доступа.
4.12. Необходимость
авторизации
доступа
может
быть
определена владельцем и в отношении общедоступной информации и
активов, являющихся средствами обработки информации указанной
классификации. Данная необходимость должна быть определена в
отношении активов в случае необходимости обеспечения целостности и
доступности информации.
4.13. Настоящая
политика
предусматривает
следующие
стандартные категории учётных записей (пользователей):

Непривилегированные учётные записи – по умолчанию для
всех пользователей (субъектов доступа) ИТ-инфраструктуры ФНС
России, которым не делегированы права привилегированных учётных
записей;

Привилегированные учётные записи – для администраторов
ИТ-инфраструктуры ФНС России и системных компонент:

Учётные
пользователей,
записи
системных
уполномоченных
на
администраторов
выполнение
–
для
действий
по
управлению (администрированию) инфраструктурой системы;

Учётные
записи
администраторов
учётных
записей
(доступа) – для пользователей, уполномоченных на выполнение
действий по управлению учётными записями и их правами в ИТинфраструктуре ФНС России;

Учётные
записи
администраторов
безопасности
-
для
пользователей, уполномоченных на выполнение действий по управлению
средствами защиты информации;

Технологические
(сервисные)
учётные
записи
–
для
общесистемных компонент ИТ-инфраструктуры ФНС России.
4.14. Должно быть обеспечено разграничение между отдельными
должностными лицами следующих полномочий:

по обработке информации (пользователей);

по администрированию актива ИБ (системные администраторы);

по управлению системой защиты информации (администратор
безопасности);

по
контролю
(мониторингу)
за
обеспечением
уровня
защищённости информации;

по обеспечению функционирования ИТ-инфраструктуры ФНС
России.
4.15. Администратором, имеющим права по передаче полномочий по
администрированию
информационной
системы
и
системы
защиты
информации другим лицам и осуществляющим контроль за использованием
переданных полномочий (Супервизором) в ИТ-инфраструктуре ФНС России
является структурное подразделение ЦА ФНС России, в полномочия которого
входит. организация и координация процессов управления информационной
безопасностью
4.16. Процессы предоставления доступа к активам информационной
безопасности требующим авторизации субъектов доступа осуществляются с
учётом разделения следующих полномочий:

по запросу доступа;

по авторизации доступа;

по администрированию доступа.
4.17. Запрос доступа:

в отношении сотрудников налоговых органов и работников
подведомственных ФНС России организаций:

отдела
для сотрудников должностью ниже заместителя начальника
–
запрос
доступа
осуществляется
начальником
соответствующего отдела;

для сотрудников с должностью заместитель начальника
отдела и выше – запрос доступа осуществляется пользователем
самостоятельно;

в отношении привлекаемых в рамках Государственных
контрактов или иных договоров специалистов и экспертов запрос
доступа осуществляется руководителем (уполномоченном лицом)
организации, с которой непосредственно заключён Государственный
контракт или договор;

запрос
в отношении компонента ИТ-инфраструктуры (процесса)
доступа
осуществляется
начальником
структурного
подразделения, являющегося владельцем актива информационной
безопасности, к которому относится данный компонент.
4.18. Авторизация (подтверждение) доступа:

в отношении сотрудников Центрального аппарата ФНС
России подтверждение доступа осуществляется совместно:

начальником структурного подразделения ЦА ФНС России
к которому относится пользователь;

начальником структурного подразделения ЦА ФНС России,
в функции которого входит организация обеспечения выполнения
нормативно-правовых документов по защите конфиденциальных
сведений и персональных данных;

начальником структурного подразделения ЦА ФНС России,
являющимся владельцем актива (объекта доступа);

в отношении сотрудников территориальных налоговых органов и
работников подведомственных ФНС России организаций подтверждение
доступа осуществляется совместно:

начальником структурного подразделения, в функции которого
входит
организация
обеспечения
выполнения
нормативно-правовых
документов по защите конфиденциальных сведений и персональных данных
(в случае, если доступ запрашивается для пользователя одной организации к
активу, относящемуся к другой организации, то авторизация доступа
осуществляется начальниками соответствующих структурных подразделений
в обеих организациях);

начальником
структурного
подразделения,
являющимся
владельцем актива (объекта доступа);

руководителем или заместителем руководителя организации, к
которой относится пользователь;

в отношении привлекаемых в рамках Государственных контрактов
или иных договоров специалистов и экспертов подтверждение доступа
осуществляется совместно:

или
руководителем или уполномоченным лицом налогового органа
подведомственной
ФНС
России
организации,
заключившей
соответствующий Государственный контракт (договор);

начальником
структурного
подразделения,
являющимся
владельцем актива (объекта доступа);

начальником структурного подразделения налогового органа или
подведомственной ФНС России организации, в функции которого входит
организация обеспечения выполнения нормативно-правовых документов по
защите конфиденциальных сведений и персональных данных.
4.19. Администрирование доступа осуществляется пользователями ИТинфраструктуры ФНС России, уполномоченными на выполнение действий по
управлению правами доступа к соответствующему активу (администраторы
доступа).
4.20. Возможности администратора доступа администрировать
собственные права доступа должны быть ограничены, в случае наличия
такой технической возможности.
4.21. Запрос,
авторизация
и
администрирование
доступа
осуществляются при условии заверения всеми ответственными лицами
указанных действий личной подписью или квалифицированной
электронной
подписью. Хранение указанных
подписей
должно
обеспечиваться администраторами доступа на срок не менее двух лет
после отзыва (окончания) прав доступа.
4.22. Запрос и авторизация доступа могут быть оформлены как
заявка, матрица доступа (допускается использование должностей и
категорий
пользователей
вместо
конкретных
идентификаторов
пользователей) или как иной документ при условии соблюдения
принципов документированности. Допускается объединение учётных
записей в группу пользователей.
4.23. Права доступа в отношении пользователей, у которых
изменились должностные обязанности (переведённых на другую
должность) или уволившихся, должны быть немедленно пересмотрены
(отменены – в случае увольнения) администраторами доступа.
4.24. Права доступа в отношении привилегированных учётных
записей должны регистрироваться администраторами доступа в
соответствующих журналах и пересматриваться не менее двух раз в три
месяца.
4.25. Должна
несанкционированной
быть
обеспечена
загрузки
блокировка
нештатной среды
попыток
(операционной
системы) на активах ИБ, а также контроль целостности системного
программного обеспечения и аппаратных компонент активов.
4.26. В случае неактивности пользователя при доступе к активу
более 1 (одного) часа в рамках одного сеанса (в случае технической
возможности для реализации), данный сеанс доступа должен быть
заблокирован.
4.27. В централизованном сегменте ИТ-инфраструктуры ФНС России
рекомендуется осуществлять управление информационными потоками при
передаче информации между устройствами, сегментами, включающее:

фильтрацию
информационных
потоков
в
соответствии
с
установленными правилами управления потоками;

разрешение передачи информации только по установленным
маршрутам (профилям приложений);

изменение (перенаправление) маршрута передачи информации;

запись во временное хранилище информации для анализа и
принятия решения о возможности её дальнейшей передачи.
4.28. Управление информационными потоками в рамках пункта 4.27
должно осуществляться на основе атрибутов (меток) безопасности, связанных
с передаваемой информацией, источниками и получателями информации.
Правила управления учётными записями пользователей (политика
идентификации и аутентификации)
4.29. При идентификации пользователей должны использоваться
уникальные идентификаторы, позволяющие отследить действия конкретных
пользователей в конкретный момент времени (повторное использование
одного идентификатора различными субъектами доступа должно быть
исключено).
4.30. Использование общих учётных записей (учётных записей,
которыми
пользуется
минимизировано
и
несколько
пользователей)
обосновываться
особенностью
должно
быть
выполнения
технологических процессов и технической реализации актива. Учёт
использования общих учётных записей конкретным пользователем должен
выполняться за счёт реализации организационных мер (ведение журналов и
пр.).
4.31. Аутентификация пользователей в ИТ-инфраструктуре ФНС
России допускается:

с использованием пароля, соответствующего Разделу 0 настоящей
Политики;

с
использованием
средств
криптографической
защиты
информации и усиленной электронной подписи с применением сертификата
ключа проверки электронной подписи, выданного Удостоверяющим центром
ФНС России;

активам,
исключительно для доступа к общедоступной информации и
являющимся
средствами
обработки
информации
указанной
классификации, допускается по согласованию с владельцем использование
для аутентификации иной информации в электронном виде (например, в виде
файла или ссылки в электронном сообщении);

с использованием сертифицированных по требованиям ИБ
электронных идентификаторов;

с
одновременным
использованием
нескольких
вышеперечисленных способов (многофакторная аутентификация);

по служебному удостоверению или документу, удостоверяющему
личность (паспорт Российской Федерации).
4.32. Процедуры
регистрации
и
блокировки
учётных
записей
пользователей (и других пользовательских идентификаторов) должны быть
формально учтены. В организации должен быть назначен ответственный за
создание, присвоение и блокировку идентификаторов, а также за временное
хранение, выдачу и инициализацию аутентификационной информации.
4.33. Соответствующими администраторами учётных записей должна
проводиться периодическая (не менее двух раз в три месяца) проверка и
блокирование избыточных пользовательских идентификаторов (учётных
записей).
Под
избыточными
пользовательскими
идентификаторами
понимаются неиспользуемые более 45 дней, либо задублированные (при
использовании
в
одной
системе
учётных
записей
нескольких
идентификаторов, связанных с одним субъектом доступа).
4.34. Пользователи ИТ-инфраструктуры ФНС России при получении
аутентификационной информации в обязательном порядке должны под
роспись ознакомиться с настоящей политикой. При этом особое внимание
пользователя необходимо обратить на обязанности пользователя (Ошибка!
Источник ссылки не найден.).
4.35. Число разрешённых неудачных попыток аутентификации должно
быть ограничено:

для учётных записей пользователей – не более 3 в час;

для привилегированных учётных записей – не более 3 в сутки.
После превышения указанного количества, устройство с которого
осуществлялись попытки аутентификации должно быть заблокировано (при
наличии технической возможности).
4.36. Попытки аутентификации в ИТ-инфраструктуре ФНС России
должны записываться и храниться.
4.37. Процедура
регистрации
(создания
идентификационной
информации) в системе должна быть спроектирована так, чтобы свести к
минимуму возможность несанкционированного доступа.
4.38. Необходимо, чтобы процедура начала сеанса раскрывала минимум
информации о системе, во избежание оказания какой-либо ненужной помощи
неавторизованному пользователю.
4.39. При вводе паролей в информационной системе, они не должны
отображаться на экране.
4.40. Многократное использование одного идентификатора для доступа
к одному активу должно быть ограничено.
4.41. При аутентификации пароли (и иная аутентификационная
информация) не должны передаваться в открытом виде по сети.
4.42. В случае компрометации аутентификационной информации
администраторами учётных записей должны быть приняты все меры по
блокированию действий соответствующих учётных записей до проведения
процедур
по
замене
аутентификационной
информации.
По
факту
компрометации аутентификационной информации должны быть проведены
мероприятия по выявлению причин компрометации и её последствий.
4.43. Для идентификации и аутентификации в ИТ-инфраструктуре ФНС
России рекомендуется использовать единый сервис.
4.44. В
ИТ-инфраструктуре
до
начала
информационного
взаимодействия (передачи защищаемой информации от устройства к
устройству) должна осуществляться идентификация и аутентификация
устройств (технических средств обработки информации).
4.45. Идентификация устройств осуществляется по логическим именам
устройств (доменным именам).
4.46. Аутентификация устройств обеспечивается с использованием
протоколов аутентификации.
4.47. В ИТ-инфраструктуре ФНС России рекомендуется осуществлять
идентификацию и аутентификацию объектов файловой системы, запускаемых
и исполняемых модулей, объектов систем управления базами данных,
объектов,
создаваемых
прикладным
и
специальным
программным
обеспечением, иных объектов доступа с использованием свидетельств
подлинности информации.
Управление паролями пользователей (парольная политика)
4.48. Выдача паролей пользователю осуществляется исключительно
при условии ознакомления пользователя под роспись с обязанностями по
соблюдению
требований
информационной
Источник ссылки не найден.).
безопасности
(Ошибка!
4.49. Должностные
лица
(администраторы
учётных
записей),
ответственные за хранение, выдачу, инициализацию и блокировку паролей в
организациях должны быть назначены.
4.50. Создание (смена) паролей может:

осуществляться
самостоятельно
пользователем
-
предпочтительный вариант;

осуществляться администратором учётных записей – в случае
особенности технологического процесса, в том числе при использовании
общих учётных записей.
4.51. В случае самостоятельной смены пользователем личных паролей,
администратором учётных записей первоначально или повторно (в случае
утери) предоставляется временный пароль, который подлежит немедленной
принудительной замене пользователем после его первого использования для
доступа.
4.52. Регламентами и порядками доступа к активам должны быть
предусмотрены меры проверки личности пользователя, прежде чем ему будет
предоставлен новый, заменяющий или временный пароль.
4.53. В случае управления паролями администратором учётных
записей, администратором обеспечивается запись новых и замещающих
паролей на парольной карте и их безопасное хранение в запечатанном виде на
всё время использования пароля.
4.54. Пароли следует выдавать пользователям безопасным способом
(обеспечивающим их конфиденциальность).
4.55. Пароли должны быть уникальны для каждого пользователя, не
должны быть легко угадываемыми. Пароли должны формироваться с учётом
следующих требований (для непривилегированных учётных записей):

Минимальная длина паролей – 8 символов;

Содержание в пароле буквенных символов латинского алфавита –

Наличие не менее одного цифрового символа – да;
да;

Содержание в пароле букв верхнего и нижнего регистра – да;

Содержание в пароле специальных символов (@,#,$,%,^) – да;

Минимальное отличие от предыдущего пароля – 2 символа.
4.56. Для привилегированных учётных записей должны соблюдаться
следующие требования:

Минимальная длина паролей – 12 символов;

Содержание в пароле буквенных символов латинского алфавита –

Наличие не менее одного цифрового символа – да;

Содержание в пароле букв верхнего и нижнего регистра – да;

Содержание в пароле специальных символов (@,#,$,%,^) – да;

Минимальное отличие от предыдущего пароля – 3 символа.
да;
4.57. Пароли непривилегированных учётных записей должны меняться
не реже 1-го раза в 60 календарных дней; привилегированных учётных записей
- не реже 1-го раза в 90 календарных дней.
4.58. Пользователи должны подтверждать получение паролей.
4.59. Хранение (и иная обработка) паролей в ИТ-инфраструктуре ФНС
России должно производиться только в защищённой форме (с использованием
СКЗИ – в электронной форме, и применением организационных мер – в иных
случаях).
4.60. Пароли поставщика (разработчика/изготовителя), установленные
по умолчанию, должны быть изменены после инсталляции в ИТинфраструктуре
ФНС
России
лицом,
осуществившем
указанную
инсталляцию, после чего на парольной карте переданы соответствующему
администратору учётных записей.
4.61. Пользователи обязаны обеспечить конфиденциальность паролей,
в том числе избегать запись паролей (например, на бумаге, в файле
программного обеспечения или карманных устройствах), если не может быть
обеспечено безопасное хранение и способ хранения не утверждён.
4.62. Пользователи обязаны сообщать администратору доступа о всех
признаках возможной компрометации пароля.
4.63. Запрещается использование одного и того же пароля для работы в
ИТ-инфраструктуре ФНС России и для личных целей (для доступа к личной
электронной почте, для доступа к социальным сетям, личным аккаунтам в
интернет-магазинах и прочее).
Удалённый доступ пользователей (политика использования мобильной
вычислительной техники)
4.64. Удалённый доступ пользователей к активам информационной
безопасности, опубликованным в сети общего пользования Интернет,
возможен исключительно для активов, к котором запрещён пользовательский
внутренний доступ (из пределов ИТ-инфраструктуры ФНС России), и только
в отношении активов, не требующих авторизации.
4.65. В случае необходимости предоставления удалённого доступа к
активам, требующим авторизации, или активам, к которым одновременно
осуществляется доступ пользователей из пределов информационной системы,
должны выполняться следующие требования:

на мобильной вычислительной технике должны быть реализованы
необходимые меры защиты информации;

удалённый доступ должен осуществляться исключительно по
защищённым с использованием сертифицированного СКЗИ каналам связи;

должна
использоваться
многофакторная
(двухфакторная)
аутентификация;

перечень ip-адресов в сети Интернет с которого предоставляется
доступ к активам, должен быть ограничен.
4.66. При
удалённом
доступе
пользователь
обязан
обеспечить
необходимую защиту места дистанционной работы в отношении, например,
хищения оборудования и информации, несанкционированного раскрытия
информации, несанкционированного удаленного доступа к внутренним
системам организации или неправильного использования оборудования.
4.67. Виды работ, которые могут быть осуществлены удалённо, время
работы, классификацию информации, к которой разрешён доступ сотруднику
в дистанционном режиме, должны утверждаться руководителем организации.
Политика в области персональных данных
1. Общие положения
1. Настоящие Правила обработки персональных данных в Федеральной
налоговой службе (далее – Правила) определяют цели, содержание и порядок
обработки
персональных
данных,
меры,
направленные
на
защиту
персональных данных, а также процедуры, направленные на выявление и
предотвращение нарушений законодательства Российской Федерации в
области персональных данных в центральном аппарате и территориальных
органах Федеральной налоговой службы.
2. Настоящие Правила определяют политику ФНС России как
оператора, осуществляющего обработку персональных данных, в отношении
обработки и защиты персональных данных.
3. Настоящие Правила разработаны в соответствии с:
Трудовым
кодексом
Российской
Федерации
(Собрание
законодательства Российской Федерации, 2002, № 1, ст. 3; 2018, № 7, ст. 968);
Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации,
информационных технологиях
и
о
защите информации»
(Собрание
законодательства Российской Федерации, 2006, № 31, ст. 3448; 2018, № 18,
ст. 2572);
Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных
данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст.
3451; 2017, № 31, ст. 4772) (далее - Федеральный закон «О персональных
данных»);
Федеральным законом от 27 мая 2003 г. № 58-ФЗ «О системе
государственной
службы
Российской
Федерации»
(Собрание
законодательства Российской Федерации, 2003, № 22, ст. 2063; 2016, № 22, ст.
3091);
Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной
гражданской службе Российской Федерации» (Собрание законодательства
Российской Федерации, 2004, № 31, ст. 3215; 2018, № 1, ст. 7);
Федеральным законом от 25 декабря 2008 г. № 273-ФЗ «О
противодействии
коррупции» (Собрание законодательства Российской
Федерации, 2008, № 52, ст. 6228; 2018, № 1, ст. 7);
Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации
предоставления государственных и муниципальных услуг» (Собрание
законодательства Российской Федерации, 2010, № 31, ст. 4179; 2018, № 18, ст.
2557) (далее - Федеральный закон «Об организации предоставления
государственных и муниципальных услуг»);
Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке
рассмотрения обращений граждан Российской Федерации» (Собрание
законодательства Российской Федерации, 2006, № 19, ст. 2060; 2017, № 49, ст.
7327) (далее - Федеральный закон «О порядке рассмотрения обращений
граждан Российской Федерации»);
Федеральным законом от 9 февраля 2009 г. № 8-ФЗ «Об обеспечении
доступа к информации о деятельности государственных органов и органов
местного
самоуправления»
(Собрание
законодательства
Российской
Федерации, 2009, № 7 ст. 776; 2018, № 1, ст. 7) (далее – Федеральный закон
«Об обеспечении доступа к информации о деятельности государственных
органов и органов местного самоуправления»;
Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О
противодействии
преступным
легализации
путем,
(отмыванию)
и финансированию
доходов,
терроризма»
полученных
(Собрание
законодательства Российской Федерации, 2001, № 33, ст. 3418; 2018, № 18,
ст. 2582);
Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной
подписи» (Собрание законодательства Российской Федерации, 2011, № 15,
ст. 2036; 2016, № 26, ст. 3889);
Федеральным законом от 24 июля 2008 г. № 161-ФЗ «О содействии
развитию
жилищного
строительства»
(Собрание
законодательства
Российской Федерации, 2008, № 30, ст. 3617; 2018, № 1, ст. 90);
Указом Президента Российской Федерации от 1 февраля 2005 г. № 112
«О конкурсе
на
замещение
вакантной
должности
государственной
гражданской службы Российской Федерации» (Собрание законодательства
Российской Федерации, 2005, № 6, ст. 439; 2017, № 37, ст. 5506);
Указом Президента Российской Федерации от 30 мая 2005 г. № 609
«Об утверждении Положения о персональных данных государственного
гражданского служащего Российской Федерации и ведении его личного дела»
(Собрание законодательства Российской Федерации, 2005, № 23, ст. 2242;
2008, № 43, ст. 4921; 2014, № 27, ст. 3754);
постановлением Правительства Российской Федерации от 6 июля 2008
г. № 512 «Об утверждении требований к материальным носителям
биометрических персональных данных и технологиям хранения таких данных
вне
информационных
систем
персональных
данных»
(Собрание
законодательства Российской Федерации, 2008, № 28, ст. 3384; 2012, № 53, ст.
7958);
постановлением Правительства Российской Федерации от 15 сентября
2008 г. № 687 «Об утверждении Положения об особенностях обработки
персональных
данных,
осуществляемой
без
использования
средств
автоматизации» (Собрание законодательства Российской Федерации, 2008, №
38, ст. 4320);
постановлением Правительства Российской Федерации от 27 января
2009 г. № 63 «О предоставлении федеральным государственным гражданским
служащим единовременной субсидии на приобретение жилого помещения»
(Собрание законодательства Российской Федерации, 2009, № 6, ст. 739; 2018,
№ 18, ст. 2627) (далее - Постановление Правительства Российской Федерации
«О предоставлении федеральным государственным гражданским служащим
единовременной субсидии на приобретение жилого помещения»);
постановлением Правительства Российской Федерации от 26 января
2006 г. № 42 «Об утверждении Правил отнесения жилого помещения
к специализированному жилищному фонду и типовых договоров найма
специализированных
жилых
помещений»
(Собрание
законодательства
Российской Федерации, 2006, № 6, ст. 697; 2016, № 30, ст. 4926);
постановлением Правительства Российской Федерации от 25 марта 2010
г. № 179 «О полномочиях федеральных органов исполнительной власти по
распоряжению жилыми помещениями жилищного фонда Российской
Федерации» (Собрание законодательства Российской Федерации, 2010, № 13,
ст. 1511; 2014, № 46, ст. 6369);
постановление Правительства Российской Федерации от 9 февраля 2012
г. № 108 «Об утверждении перечня категорий граждан, которые могут быть
приняты в члены жилищно-строительных кооперативов, создаваемых
в соответствии с отдельными федеральными законами, и оснований
включения указанных граждан, а также граждан, имеющих 3 и более детей, в
списки граждан, имеющих право быть принятыми в члены таких
кооперативов» (Собрание законодательства Российской Федерации, 2012, №
8, ст. 1024; 2017, № 2, ст. 368);
постановлением Правительства Российской Федерации от 21 марта 2012
г. № 211 «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом «О
персональных данных» и принятыми в соответствии с ним нормативными
правовыми актами, операторами, являющимися государственными или
муниципальными
органами»
(Собрание
законодательства
Российской
Федерации, 2012, № 14, ст. 1626; 2013, № 30, ст. 4116; 2014, № 37, ст. 4967);
постановлением Правительства Российской Федерации от 1 ноября 2012
г. № 1119 «Об утверждении требований к защите персональных данных при
их обработке в информационных системах персональных данных» (Собрание
законодательства Российской Федерации, 2012, № 45, ст. 6257) (далее –
Постановление № 1119);
распоряжением Правительства Российской Федерации от 26 мая 2005 г.
№ 667-р (Собрание законодательства Российской Федерации, 2005, № 22, ст.
2192; 2007, № 43, ст. 5264; 2018, № 12, ст. 1677);
приказом Федеральной службы по техническому и экспортному
контролю от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите
информации, не составляющей государственную тайну, содержащейся в
государственных
Министерством
информационных
юстиции
регистрационный
Федеральной
№
службы
Российской
28608)
по
с
системах»
Федерации
изменениями,
техническому
и
(зарегистрирован
31
мая
внесенными
экспортному
2013
г.,
приказом
контролю
от 15 февраля 2017 г. № 27 «О внесении изменений в Требования о защите
информации, не составляющей государственную тайну, содержащейся в
государственных
информационных
системах,
утвержденные
приказом
Федеральной службы по техническому и экспортному контролю от 11 февраля
2013 г. № 17» (зарегистрирован Министерством юстиции Российской
Федерации 14 марта 2017 г., регистрационный № 45933).
4. Обработка
персональных
данных
в
центральном
аппарате
и территориальных органах ФНС России осуществляется с соблюдением
принципов и условий, предусмотренных законодательством Российской
Федерации в области персональных данных, а также настоящими Правилами.
2. Категории субъектов персональных данных
5. К субъектам персональных данных, персональные данные которых
обрабатываются в центральном аппарате и территориальных органах ФНС
России в соответствии с настоящими Правилами, относятся:
1) федеральные государственные гражданские служащие центрального
аппарата и территориальных органов ФНС России (далее – гражданские
служащие ФНС России);
2) граждане, претендующие на замещение должностей федеральной
государственной
гражданской
службы
в
центральном
аппарате
и
территориальных органах ФНС России;
3) работники центрального аппарата и территориальных органов ФНС
России, замещающие должности, не являющиеся должностями федеральной
государственной гражданской службы (далее - работники ФНС России);
4) граждане, претендующие на замещение должностей в центральном
аппарате и территориальных органах ФНС России, не являющихся
должностями федеральной государственной гражданской службы;
5) лица,
замещающие
должности
руководителей
организаций
(учреждений), находящихся в ведении ФНС России, назначаемые на
должность и освобождаемые от должности руководителем ФНС России (далее
– руководители организаций);
6) граждане, претендующие на замещение должностей руководителей
организаций;
7)
работники
организаций,
созданных
для
выполнения
задач,
поставленных перед ФНС России, замещающие должности, осуществление
полномочий по которым влечет за собой обязанность представлять сведения о
своих доходах, расходах, об имуществе и обязательствах имущественного
характера, а также о доходах, расходах, об имуществе и обязательствах
имущественного характера своих супруги (супруга) и несовершеннолетних
детей (далее – работники организаций);
8) граждане, претендующие на замещение должностей в организациях,
созданных для выполнения задач, поставленных перед ФНС России,
осуществление полномочий по которым влечет за собой обязанность
представлять сведения о своих доходах, расходах, об имуществе и
обязательствах имущественного характера, а также о доходах, расходах, об
имуществе и обязательствах имущественного характера своих супруги
(супруга) и несовершеннолетних детей;
9) лица, состоящие в родстве (свойстве) с субъектами персональных
данных, указанными в подпунктах 1-8 пункта 5 настоящих Правил;
10) лица, представляемые к награждению, наградные материалы по
которым представлены в ФНС России;
11) физические лица и представители организаций, обратившиеся
в центральный аппарат и территориальные органы ФНС России:
в связи с предоставлением государственной услуги;
в связи с исполнением государственной функции;
в связи с обязанностью давать разъяснения по вопросам применения
законодательства Российской Федерации о налогах и сборах;
12) граждане, обратившиеся в центральный аппарат и территориальные
органы ФНС России в соответствии с Федеральным законом «О порядке
рассмотрения обращений граждан Российской Федерации».
3. Условия и порядок обработки персональных данных субъектов
персональных данных в связи с реализацией служебных или трудовых
отношений
6. Персональные данные субъектов персональных данных (далее –
персональные данные), указанных в подпунктах 1-10 пункта 5 настоящих
Правил, обрабатываются в целях обеспечения задач кадровой работы, в том
числе кадрового учета, делопроизводства, содействия в осуществлении
служебной (трудовой) деятельности, формирования кадрового резерва,
обучения и должностного роста, учета результатов исполнения должностных
обязанностей, обеспечения личной безопасности субъектов персональных
данных,
обеспечения
установленных
законодательством
Российской
Федерации условий труда, гарантий и компенсаций, а также в целях
противодействия коррупции.
7. В целях, указанных в пункте 6 настоящих Правил, обработка
персональных данных осуществляется с согласия субъекта персональных
данных на обработку его персональных данных.
8. Согласие на обработку персональных данных субъекта персональных
данных, чьи данные обрабатываются в целях, определенных пунктом 6
настоящих Правил, не требуется при обработке персональных данных в
соответствии с пунктом 2 части 1 статьи 6 Федерального закона «О
персональных данных».
9. Согласие на обработку специальных категорий персональных данных,
а также биометрических персональных данных субъектов персональных
данных, чьи данные обрабатываются в целях, определенных пунктом 6
настоящих Правил, не требуется при обработке персональных данных в
соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 и частью 2 статьи
11 Федерального закона «О персональных данных» и положениями Трудового
кодекса Российской Федерации, за исключением случаев получения
персональных данных работника у третьей стороны.
10. Необходимо получить согласие субъекта персональных данных на
обработку его персональных данных в следующих случаях:

при передаче (распространении, предоставлении) персональных
данных третьим лицам в случаях, не предусмотренных действующим
законодательством Российской Федерации о государственной гражданской
службе и о противодействии коррупции;

при трансграничной передаче персональных данных;

при принятии решений, порождающих юридические последствия
в отношении указанных лиц или иным образом затрагивающих их права и
законные интересы, на основании исключительно автоматизированной
обработки их персональных данных.
11. В случаях, предусмотренных пунктом 10 настоящих Правил,
согласие субъекта персональных данных оформляется в письменной форме,
если иное не установлено Федеральным законом «О персональных данных».
12. Обработка персональных данных субъектов персональных данных,
чьи данные обрабатываются в целях, определенных пунктом 6 настоящих
Правил, осуществляется гражданскими служащими, уполномоченными на
обработку персональных данных.
13. Обработка персональных данных субъектов персональных данных,
чьи данные обрабатываются в целях, определенных пунктом 6 настоящих
Правил, включает в себя следующие действия: сбор (получение), запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление,
доступ), обезличивание, блокирование, удаление, уничтожение персональных
данных.
14. Сбор (получение), запись, систематизация, накопление и уточнение
(обновление, изменение) персональных данных субъектов персональных
данных, чьи данные обрабатываются в целях, определенных пунктом 6
настоящих Правил, осуществляется путем:

получения оригиналов необходимых документов;

копирования оригиналов документов;

внесения сведений в учетные формы (на бумажных и электронных
носителях);

формирования персональных данных в ходе кадровой работы;

внесения
персональных
данных
в
автоматизированные
информационные системы, оператором которых является ФНС России (далее
- автоматизированные информационные системы), используемые в целях
кадровой работы.
15. Сбор (получение), запись, систематизация, накопление и уточнение
(обновление, изменение) персональных данных осуществляется путем
получения
персональных
данных
непосредственно
от
субъектов
персональных данных, чьи данные обрабатываются в целях, определенных
пунктом 6 настоящих Правил.
16. В случае возникновения необходимости получения персональных
данных субъектов персональных данных, чьи данные обрабатываются в целях,
определенных пунктом 6 настоящих Правил, у третьей стороны, следует
известить об этом субъектов персональных данных заранее, получить их
письменное согласие и сообщить им о целях, предполагаемых источниках и
способах получения персональных данных.
17. Запрещается получать, обрабатывать и приобщать к личным делам
гражданских служащих ФНС России, работников ФНС России, руководителей
организаций персональные данные, касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных или философских
убеждений, частной жизни, членства в общественных объединениях.
18. При
сборе
персональных
данных
гражданский
служащий,
уполномоченный на обработку персональных данных, осуществляющий сбор
(получение)
персональных
данных
непосредственно
от
субъектов
персональных данных, чьи данные обрабатываются в целях, определенных
пунктом 6 настоящих Правил, обязан разъяснить указанным субъектам
персональных данных юридические последствия отказа предоставить их
персональные данные.
19. Передача (распространение, предоставление) и использование
персональных данных субъектов персональных данных, чьи данные
обрабатываются в целях, определенных пунктом 6 настоящих Правил,
осуществляется
лишь
в
случаях
и
законодательством Российской Федерации.
в
порядке,
предусмотренных