Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов

– устанавливает и вводит в эксплуатацию средства защиты ПДн в соответствии с эксплуатационной и технической документацией к ним;

– организовывает в установленном порядке расследования причин и условий появления нарушений по вопросам технической защиты ПДн и разрабатывает предложения по устранению недостатков и предупреждению подобного рода нарушений;

– проводит анализ возможности решения (а также совмещения) указанных задач в конкретных ИСПДн (с точки зрения обеспечения безопасности) и принимает решение об отнесении их к той или иной группе по степени защищенности;

9.12. Любые планируемые изменения в составе основных или вспомогательных технических средств, изменения в системе электропитания, связи, заземления или конструкции ИСПДн должны быть в обязательном порядке согласовываться с отделом безопасности.

9.13. Иные права и обязанности работников Организации приведены в соответствующих положениях об отделах и должностных регламентах работников.

9.14 Права субъекта ПДн определяются гл. 3 Федерального закона «О персональных данных «от 27.07.2006 N 152-ФЗ.

9.15. Эксплуатация ИСПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписанием на эксплуатацию технических средств, а также требованиями соответствующих документов по вопросам защиты ПДн.

10. Планирование работ по защите персональных данных

10.1. Основные мероприятия и работы по защите ПДн в ИСПДн Организации являются составной частью плана основных мероприятий по защите информации в Организации, разрабатываемого на очередной календарный год.

10.2. План основных мероприятий по защите информации определяет перечень основных проводимых организационно-технических мероприятий по защите информации (в том числе ПДн) в Организации с указанием:

– сроков выполнения мероприятий;

– ответственных работников за исполнением соответствующих пунктов плана основных мероприятий по защите информации.

10.3. В план основных мероприятий по защите информации включаются:

– мероприятия по категорированию и аттестации объектов информатизации;

– работы по защите объектов информатизации от утечки информации по техническим каналам и НСД (созданию СЗСИ);

– мероприятия по контролю состояния защиты информации;

– мероприятия по обучению и повышению квалификации работников, допущенных к обработке ПДн,

10.4. План основных мероприятий по защите информации на очередной календарный год разрабатывается отделом информатизации и ввода данных.

10.5. Согласованный с заинтересованными лицами план основных мероприятий по защите информации утверждается распоряжением начальника Организации не позднее 25 декабря текущего года.

11. Контроль состояния защиты персональных данных

11.2. Контроль состояния защиты ПДн в Организации осуществляется с целью своевременного выявления и предотвращения утечки информации, содержащей ПДн по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на ПДн и оценки защиты ПДн от технических средств разведки (далее – контроль).

11.3. Контроль заключается в проверке выполнения требований действующего законодательства по вопросам защиты ПДн, в оценке обоснованности и эффективности принятых мер по защите ПДн и осуществляется отделом информатизации и ввода данных, в том числе с применением контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.

11.4. Контроль эффективности внедренных мер и средств защиты ПДн должен проводиться в соответствии с требованиями предписаний на эксплуатацию технических средств, требований эксплуатационной документации на сертифицированные средства ПДн, требований других нормативных документов не реже одного раза в год.

11.5. Обязательным является контроль средств защиты ПДн при вводе их в эксплуатацию после проведения ремонта средств защиты ПДн при изменениях условий и расположения или эксплуатации.

11.6. Контроль защиты информации организуется начальником Организации.

11.7. К проведению контрольных мероприятий могут привлекаться ответственные работники за эксплуатацию ИСПДн.

11.8. Для проведения некоторых мероприятий контроля (измерение сопротивления защитного заземления, выявление опасных каналов утечки информации, проверка исправности и работоспособности средств защиты информации, оценка эффективности защищенности информации и т.п.) в случае невозможности или экономической нецелесообразности их выполнения силами работников Организации могут привлекаться лицензированные сторонние организации.

11.9. Контроль состояния и эффективности защиты ПДн может осуществляться в соответствии с планом основных мероприятий по защите

информации на текущий год или носить внеплановый (внезапный) характер и может проводиться как с использованием контрольно-измерительной аппаратуры (оценка эффективности защищенности ИСПДн, контроль работоспособности средств защиты и т.п.), так и без ее применения (контроль соответствия условий эксплуатации ИСПДн, контроль соответствия требованиям организационнораспорядительной документации и т.п.).

11.10. Результаты периодического контроля оформляются отдельными протоколами или актами.

11.11. По всем выявленным нарушениям требований по защите ПДн администратор информационной безопасности в пределах предоставленных ему прав и своих функциональных обязанностей обязан добиваться их немедленного устранения.

11.12. Начальники отделов, в чьем ведении находятся ИСПДн, и ответственные за их эксплуатацию, обязаны принять все необходимые меры по немедленному устранению выявленных нарушений. При невозможности их немедленного устранения они обязаны прекратить работы с ПДн и организовать работы по устранению выявленных нарушений.

11.13. Исполнители, проводящие обработку ПДн в ИСПДн, обязаны выполнять требования по защите ПДн и ответственного за эксплуатацию ИСПДн по устранению допущенных ими нарушений норм и требований по защите ПДн и несут персональную ответственность за соблюдение требований по защите ПДн в ходе проведения работ.

11.14. Сопровождение системы защиты информации от НСД на стадии эксплуатации ИСПДн, включая ведение служебной информации (генерацию и смену паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием системы защиты ПДн от НСД, контроль соответствия общесистемной программной среды эталону (контроль целостности программного обеспечения) и приемку включаемых в ИСПДн новых программных средств, а также контроль за ходом технологического процесса обработки ПДн путем регистрации и анализа действий работников (пользователей) по системному журналу, осуществляется администратором безопасности ИСПДн.

11.15. Администратором безопасности ИСПДн назначается работник отдела безопасности.

11.16. Учет, хранение и выдача работникам паролей и ключей для системы защиты ПДн от НСД, оперативный контроль за действиями работников, использующих ИСПДн, осуществляют работники отдела безопасности.

11.17. Общий контроль, внеплановый контроль и методическое обеспечение работников, допущенных к обработке ПДн, осуществляется отделом безопасности.

11.18. Защита ПДн считается эффективной, если принимаемые меры защиты соответствуют установленным требованиям или нормам руководящих документов по защите ПДн.

11.19. Несоответствие мер установленным требованиям или нормам по защите ПДн является нарушением.

11.20..Нарушения по степени важности делятся по трем категориям:

– первая – невыполнение требований или норм по защите ПДн, в результате чего имелась или имеется реальная возможность их утечки по техническим каналам;

– вторая – невыполнение требований по защите ПДн, в результате чего создаются предпосылки к их утечке по техническим каналам;

– третья – невыполнение других требований по защите ПДн.

11.21. При обнаружении нарушений первой категории в ИСПДн необходимо:

– немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры;

– организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц;

– сообщить в отдел безопасности о вскрытых нарушениях и принятых мерах.

11.22. Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер отделом информационных технологий.

11.23. При обнаружении нарушений второй и третьей категорий начальники отделов обязаны принять необходимые меры по их устранению в сроки, согласованные с отделом информационных технологий и отделом безопасности.

12. Аттестование информационных систем персональных данных