ПРАВИТЕЛЬСТВО РЕСПУБЛИКИ МАРИЙ ЭЛ

ПОСТАНОВЛЕНИЕ

от 21 декабря 2015 года N 715


Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в органах исполнительной власти Республики Марий Эл, подведомственных им организациях

(с изменениями на 28 марта 2023 года)

(в ред. постановления Правительства Республики Марий Эл от 28.03.2023 N 135)




В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" с целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в органах исполнительной власти Республики Марий Эл, подведомственных им организациях, Правительство Республики Марий Эл постановляет:


Утвердить прилагаемое Положение об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в органах исполнительной власти Республики Марий Эл, подведомственных им организациях.



Председатель Правительства
Республики Марий Эл
Л.МАРКЕЛОВ



Утверждено
постановлением
Правительства
Республики Марий Эл
от 21 декабря 2015 г. N 715



ПОЛОЖЕНИЕ ОБ ОПРЕДЕЛЕНИИ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНАХ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ РЕСПУБЛИКИ МАРИЙ ЭЛ, ПОДВЕДОМСТВЕННЫХ ИМ ОРГАНИЗАЦИЯХ

(в ред. постановления Правительства Республики Марий Эл от 28.03.2023 N 135)




I. Общие положения


1. Настоящее Положение разработано в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и определяет угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее - информационные системы) в органах исполнительной власти Республики Марий Эл, подведомственных им организациях.


Угрозы безопасности персональных данных, обрабатываемых в информационных системах, относящиеся к угрозам безопасности персональных данных, актуальным при обработке персональных данных в информационных системах в органах исполнительной власти, подведомственных им организациях (далее - актуальные угрозы безопасности информационных систем), предусмотренные разделом 4 настоящего Положения, подлежат адаптации в ходе разработки органами исполнительной власти, подведомственными им организациями частных моделей угроз безопасности персональных данных для каждой информационной системы.


При разработке частных моделей угроз безопасности персональных данных проводится анализ структурно-функциональных характеристик информационной системы, эксплуатируемой при осуществлении органом исполнительной власти полномочий или при осуществлении подведомственной ему организацией функций, а также применяемых в ней информационных технологий и особенностей ее функционирования. По результатам анализа органом исполнительной власти, подведомственной ему организацией принимается решение об отнесении информационной системы к одному из видов информационных систем, приведенных в пункте 2 настоящего Положения.


В частной модели угроз безопасности информации указываются:


описание информационной системы и ее структурно-функциональных характеристик;


описание угроз безопасности информации с учетом совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, а также с учетом возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.


Актуальные угрозы безопасности персональных данных, обрабатываемых в информационных системах, относящиеся к актуальным угрозам безопасности информационных систем, уточняются и дополняются по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности персональных данных в информационных системах. Указанные изменения согласовываются Министерством цифрового развития Республики Марий Эл с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в соответствии с частью 7 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".


(в ред. постановления Правительства Республики Марий Эл от 28.03.2023 N 135)


2. В органах исполнительной власти создаются и эксплуатируются информационные системы. В зависимости от предназначения такие информационные системы подразделяются на:


а) информационные системы обеспечения типовой деятельности органов исполнительной власти Республики Марий Эл (далее - информационные системы обеспечения типовой деятельности) - информационные системы, предназначенные для автоматизации деятельности органов исполнительной власти в рамках исполнения ими полномочий, предусмотренных нормативными правовыми актами Российской Федерации и нормативными правовыми актами Республики Марий Эл, за исключением полномочий, автоматизация или информационная поддержка которых предусмотрена информационными системами специальной деятельности.


К информационным системам обеспечения типовой деятельности относятся: информационные системы управления персоналом, информационные системы управления финансами, информационные системы документооборота;


б) информационные системы обеспечения специальной деятельности органов исполнительной власти Республики Марий Эл (далее - информационные системы обеспечения специальной деятельности) - информационные системы, предназначенные для автоматизации либо информационной поддержки предоставления государственных услуг и исполнения государственных функций, предусмотренных нормативными правовыми актами Республики Марий Эл.


К информационным системам обеспечения специальной деятельности относятся: государственная информационная система Республики Марий Эл "Система межведомственного электронного взаимодействия Республики Марий Эл", единая региональная автоматизированная информационная система поддержки деятельности многофункциональных центров предоставления государственных и муниципальных услуг Республики Марий Эл "Полтава - Многофункциональный центр", информационные системы, применяемые для осуществления деятельности органов исполнительной власти.



II. Информационные системы обеспечения типовой деятельности


3. Информационные системы обеспечения типовой деятельности характеризуются тем, что в качестве объектов информатизации выступают автономные автоматизированные рабочие места или рабочие места локальных вычислительных сетей, имеющих или не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена.


Ввод персональных данных в информационные системы обеспечения типовой деятельности осуществляется как с бумажных носителей, так и с электронных носителей информации. Персональные данные субъектов могут выводиться из информационных систем обеспечения типовой деятельности с целью передачи персональных данных третьим лицам как в электронном, так и в бумажном виде.


Информационный обмен по сетям связи общего пользования и (или) сетям международного информационного обмена осуществляется с использованием сертифицированных средств криптографической защиты информации (далее - СКЗИ).


4. Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и/или транспортных средств.


Контролируемой зоной информационных систем являются здания и отдельные помещения, в которых ведется обработка и хранение персональных данных. В пределах контролируемой зоны находятся рабочие места пользователей, серверы системы, сетевое и телекоммуникационное оборудование информационной системы. Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.


5. Информационные системы управления персоналом предназначены для персонального кадрового учета, управления кадровым резервом, проведения аттестации, повышения квалификации и для других целей, связанных с управлением персоналом.


В информационных системах управления персоналом обрабатывается обязательный перечень информации, имеющей характер персональных данных государственных гражданских служащих Республики Марий Эл и работников, граждан, подавших сведения для участия в конкурсе на замещение вакантных должностей государственной гражданской службы Республики Марий Эл и на включение в кадровый резерв, а также граждан, претендующих на замещение должностей руководителей подведомственных органам исполнительной власти организаций: фамилия, имя, отчество (при наличии), дата и место рождения, адрес, паспортные данные, сведения для заполнения личного дела, личные карточки работников формы N Т-2, сведения из трудовой книжки, дополнительный перечень информации, имеющей характер персональных данных работников.


(в ред. постановления Правительства Республики Марий Эл от 28.03.2023 N 135)


6. Информационные системы управления финансами предназначены для обработки персональных данных, необходимых для бухгалтерского и управленческого финансового учета, предоставления информации в Фонд пенсионного и социального страхования Российской Федерации, налоговые органы, систему обязательного медицинского страхования.


(в ред. постановления Правительства Республики Марий Эл от 28.03.2023 N 135)


В информационных системах управления финансами обрабатываются следующие персональные данные государственных гражданских служащих Республики Марий Эл и работников: фамилия, имя, отчество (при наличии), дата и место рождения, паспортные данные, адрес, номер телефона, идентификационный номер налогоплательщика, страховой номер индивидуального лицевого счета, табельный номер, должность, номер приказа и дата поступления на государственную гражданскую службу (увольнения), номер приказа и дата принятия на работу (увольнения) работников, номер лицевого счета для перечисления денежного содержания и иных выплат гражданских служащих и работников; фамилия, имя отчество (при наличии), паспортные данные, адрес, должность, номер телефона (либо иной вид связи), идентификационный номер налогоплательщика, платежные реквизиты граждан, являющихся стороной государственного контракта.


(в ред. постановления Правительства Республики Марий Эл от 28.03.2023 N 135)


7. Информационные системы документооборота предназначены для автоматизации делопроизводства, служебной переписки, архивной деятельности, учета корреспонденции, обращений граждан, обеспечения доступа к электронным документам.


В информационных системах документооборота обрабатываются: фамилия, имя, отчество, должность, контактные данные (электронный адрес, номер телефона), иная информация в документах, имеющая характер персональных данных.



III. Информационные системы обеспечения специальной деятельности


8. Информационные системы обеспечения специальной деятельности характеризуются тем, что в качестве объектов информатизации выступают распределенные информационные системы и локальные информационные системы, имеющие или не имеющие подключения к сетям общего пользования и (или) сетям международного информационного обмена.


Ввод персональных данных в информационные системы обеспечения специальной деятельности осуществляется как с бумажных носителей, так и с электронных носителей информации. Персональные данные субъектов персональных данных обрабатываются с целью получения государственных услуг и могут выводиться из информационных систем как в электронном, так и в бумажном виде.


Информационный обмен по сетям связи общего пользования и (или) сетям международного информационного обмена осуществляется с использованием СКЗИ.


Контролируемой зоной информационных систем являются здания и отдельные помещения, в которых ведется обработка и хранение персональных данных. В пределах контролируемой зоны находятся рабочие места пользователей, серверы системы, сетевое и телекоммуникационное оборудование информационных систем. Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.


9. Государственная информационная система Республики Марий Эл "Система межведомственного электронного взаимодействия Республики Марий Эл", созданная в соответствии с постановлением Правительства Республики Марий Эл от 26 апреля 2012 г. N 137 "Об организации межведомственного информационного взаимодействия в Республике Марий Эл", предназначена для предоставления государственных услуг в электронной форме, межведомственного информационного взаимодействия в электронной форме, информационного взаимодействия в электронной форме с многофункциональными центрами предоставления государственных и муниципальных услуг, созданными в Республике Марий Эл.


Посредством использования информационной системы обрабатываются (передаются) персональные данные заявителей, необходимые для предоставления государственных услуг и получаемые в соответствии с законодательством Российской Федерации в рамках межведомственного информационного взаимодействия, в том числе из базовых государственных информационных ресурсов.


10. Единая региональная автоматизированная информационная система поддержки деятельности многофункциональных центров предоставления государственных и муниципальных услуг Республики Марий Эл "Полтава - Многофункциональный центр" предназначена для обработки персональных данных, предоставляемых заявителями, получаемых из базовых государственных информационных ресурсов, от государственных органов и организаций, используемых для подготовки ответов на запрос заявителя в соответствии с административными регламентами предоставления государственных услуг, утвержденными нормативными правовыми актами соответствующего органа исполнительной власти.


11. Информационные системы по направлениям деятельности органов исполнительной власти, исполняемым функциям предназначены для обеспечения деятельности органов исполнительной власти и исполнения функций, не предусмотренных пунктами 9 и 10 настоящего Положения.


В информационных системах обрабатываются персональные данные, необходимые для выполнения деятельности органов исполнительной власти, исполнения функций и предоставления государственных услуг, определенных в нормативных правовых актах Республики Марий Эл.



IV. Актуальные угрозы безопасности информационных систем


12. Угрозы безопасности персональных данных рассмотрены в Методических рекомендациях по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 31 марта 2015 г. N 149/7/2/6-432, и в Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора Федеральной службы по техническому и экспортному контролю 15 февраля 2008 г.

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»