О внесении изменений в муниципальные правовые акты города Иркутска от 07 апреля 2014

Действующий

АДМИНИСТРАЦИЯ ГОРОДА ИРКУТСКА

РАСПОРЯЖЕНИЕ

от 7 апреля 2014 года N 031-10-251/14

О внесении изменений в муниципальные правовые акты города Иркутска

В связи с изменением структуры и штатного расписания администрации города Иркутска, руководствуясь ст. 16 Федерального закона от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", ст.ст. 37, 38, 42 Устава города Иркутска, решением Думы города Иркутска от 29.11.2013 N 005-20-510892/3 "Об утверждении структуры администрации города Иркутска в новой редакции", распоряжением администрации города Иркутска от 06.12.2013 N 031-10-977/13 "О передаче полномочий", распоряжением администрации города Иркутска от 24.12.2013 N 031-10-1055/13 "О внесении изменений в штатное расписание администрации г. Иркутска":

1. Внести в распоряжение администрации города Иркутска от 29.06.2009 N 031-10-701/9 "Об утверждении Порядка работы в администрации г. Иркутска с информацией, содержащей персональные данные граждан, в автоматизированной информационной системе "Учет избирателей, участников референдума" в редакции распоряжения администрации города Иркутска от 25.05.2012 N 031-10-535/12 (далее - распоряжение) следующие изменения:

1.1. В пункте 3.2 раздела 3 Приложения N 1 к распоряжению слова "начальником отдела мобилизационной подготовки и защиты информации администрации г. Иркутска (далее - ОМПЗИ) и заместителем председателя комитета - начальником департамента информатизации комитета по экономике администрации г. Иркутска" заменить словами "заместителем председателя комитета - начальником департамента информатизации комитета по экономике администрации г. Иркутска".

1.2. В пункте 3.3 раздела 3 Приложения N 1 к распоряжению слова "Начальник ОМПЗИ" заменить словами "Заместитель председателя комитета - начальник департамента информатизации комитета по экономике администрации г. Иркутска".

1.3. В пункте 4.5 раздела 4 Приложения N 1 к распоряжению слова "заместителя начальника отдела - заведующего сектором защиты информации ОМПЗИ" заменить словами "заместителя председателя комитета - начальника департамента информатизации комитета по экономике администрации г. Иркутска".

2. Внести в распоряжение администрации города Иркутска от 07.12.2010 N 031-10-1167/10 "Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска" в редакции распоряжения администрации города Иркутска от 25.05.2012 N 031-10-535/12 (далее - распоряжение) следующие изменения:

2.1. В констатирующей части распоряжения, в пункте 2.1 раздела 2 Приложения N 1 к распоряжению:

2.1.1. Слова "Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 N 781" заменить словами "постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

2.1.2. Слова "Порядком проведения классификации информационных систем персональных данных, утвержденным совместным приказом Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 N 55/86/20, Положением о методах и способах защиты информации в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 05.02.2010 N 58" исключить.

2.2. Пункт 2 распоряжения изложить в следующей редакции:

"2. Структурным подразделениям администрации города Иркутска:".

2.3. Пункт 5 распоряжения изложить в следующей редакции:

"5. Контроль за исполнением настоящего распоряжения возложить на заместителя мэра - председателя комитета по экономике администрации г. Иркутска".

2.4. Пункт 2.3 раздела 2 Приложения N 1 к распоряжению после слов "утвержденному постановлением Правительства Российской Федерации от 15.09.2008 N 687" дополнить словами ", и распоряжению администрации г. Иркутска от 17.12.2010 N 031-10-1228/10 "Об организации обработки персональных данных, осуществляемой без использования средств автоматизации в администрации г. Иркутска".

2.5. Пункт 2.9 раздела 2 Приложения N 1 к распоряжению изложить в следующей редакции:

"2.9. Выбор методов, способов и средств защиты информации осуществляется в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации, на основе определяемых департаментом информатизации комитета по экономике администрации г. Иркутска (далее - ДИ) угроз безопасности ПДн (модели угроз)".

2.6. Пункт 2.10 раздела 2 Приложения N 1 к распоряжению изложить в следующей редакции:

"2.10. Модель угроз разрабатывается на основе методических документов, принятых Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации".

2.7. В пункте 2.13 раздела 2 Приложения N 1 к распоряжению слова "СЗИ совместно с работниками департамента информатизации комитета по экономике администрации г. Иркутска (далее - департамент информатизации)" заменить словом "ДИ".

2.8. Дефис 1 пункта 2.13 раздела 2 Приложения N 1 к распоряжению изложить в следующей редакции:

"- определение требуемого уровня защищенности в соответствии с разделом 3 настоящего положения.

2.9. Дефис 4 пункта 2.13 раздела 2 Приложения N 1 к распоряжению изложить в следующей редакции:

"- разработку СЗПДн на основе частной модели угроз (СЗПДн обеспечивает нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего уровня защищенности ИСПДн администрации г. Иркутска)".

2.10. В пункте 2.18 раздела 2 Приложения N 1 к распоряжению слово "СЗИ" заменить словом "ДИ".

2.11. Пункт 2.19 раздела 2 Приложения N 1 к распоряжению изложить в следующей редакции:

"2.19. При обнаружении лицами, указанными в п. 4.2 настоящего Положения, нарушений в порядке обработки и защиты ПДн ставится в известность заместитель председателя комитета - начальник ДИ".

2.12. В пункте 2.20 раздела 2 Приложения N 1 к распоряжению слова "Вице-мэр администрации города Иркутска" заменить словами "Вице-мэр города Иркутска".

2.13. Пункт 2.21 раздела 2 Приложения N 1 к распоряжению исключить.

2.14. Пункт 2.22 раздела 2 Приложения N 1 к распоряжению считать пунктом 2.21.

2.15. Разделы 3, 4 Приложения N 1 к распоряжению изложить в следующей редакции:

"3. ОПРЕДЕЛЕНИЕ УРОВНЕЙ ЗАЩИЩЕННОСТИ

ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Определение уровней защищенности ИСПДн администрации г. Иркутска (далее - УЗ) осуществляется с учетом категорий и объема ПДн, категорий субъектов ПДн, типа актуальных угроз безопасности ПДн в ИСПДн администрации города Иркутска с целью определения требований по защите ПДн в ИСПДн администрации г. Иркутска.

3.2. Определение УЗ осуществляется на этапе создания ИСПДн администрации г. Иркутска или в ходе эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).

3.3. Определение УЗ осуществляется комиссией, назначаемой распоряжением администрации города Иркутска.

3.4. Определение УЗ осуществляется в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

3.5. В состав комиссии, назначаемой в соответствии с п. 3.3 настоящего Положения, входят работники ДИ и должностные лица, на которые в соответствии с распоряжением администрации города Иркутска от 12.04.2013 N 031-10-263/13 "О предоставлении доступа к муниципальным информационным системам органов местного самоуправления города Иркутска" возложены обязанности определять право доступа к ИСПДн администрации г. Иркутска.

3.6. Определение УЗ включает в себя следующие этапы:

- сбор и анализ исходных данных по ИСПДн администрации г. Иркутска;

- присвоение ИСПДн администрации г. Иркутска соответствующего УЗ и его документальное оформление.

3.7. При определении УЗ комиссией учитываются следующие исходные данные:

- наличие актуальных угроз безопасности ПДн, связанных с недекларированными возможностям системного или прикладного программного обеспечения ИСПДн администрации г. Иркутска, а также не связанных с недекларированными возможностями программного обеспечения ИСПДн администрации г. Иркутска;

- тип информационной системы в соответствии с пунктом 5 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 N 1119;

- количество субъектов ПДн, являющихся работниками или должностными лицами администрации города Иркутска;

- количество субъектов ПДн, не являющихся работниками или должностями лицами администрации города Иркутска;

- иные сведения, которые могут потребоваться для определения УЗ.

3.8. Исходные данные, указанные в п. 3.7 настоящего Положения, предоставляются ДИ.

3.9. В случае выявления в составе ИСПДн администрации г. Иркутска подсистем, являющихся отдельными ИСПДн, для ИСПДн, в которую входят отдельные ИСПДн, присваивается наиболее высокий УЗ, присвоенный отдельной подсистеме. При этом наиболее высоким УЗ является первый, наиболее низким - четвертый.

3.10. Результаты определения УЗ оформляются соответствующим актом, подписанным членами комиссии и утвержденным вице-мэром города Иркутска. Акты хранятся в ДИ.

3.11. УЗ может быть пересмотрен:

- в случае изменения состава актуальных угроз безопасности ПДн в ИСПДн администрации г. Иркутска, типа ИСПДн администрации г. Иркутска и иных сведений, использованных для определения УЗ;

- по результатам мероприятий по контролю уполномоченными органами за выполнением требований по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска.

4. ОБЯЗАННОСТИ И ПРАВА ДОЛЖНОСТНЫХ ЛИЦ

4.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной, административной, уголовной и иной, предусмотренной законодательством Российской Федерации ответственности.

4.2. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите ПДн, обрабатываемых в ИСПДн администрации г. Иркутска, являются:

- вице-мэр города Иркутска;

- заместитель председателя комитета - начальник ДИ;

- лицо, ответственное за защиту ПДн в ИСПДн администрации г. Иркутска;

- обладатели, администраторы и операторы муниципальных информационных систем органов местного самоуправления города Иркутска (относящихся к ИСПДн администрации г. Иркутска) в соответствии с распоряжением администрации города Иркутска от 12.04.2013 N 031-10-263/13 "О предоставлении доступа к муниципальным информационным системам органов местного самоуправления города Иркутска";

- должностные лица и работники, допущенные к обработке ПДн в ИСПДн администрации г. Иркутска.

4.3. Вице-мэр города Иркутска:

- осуществляет общее руководство работами по защите ПДн в ИСПДн администрации г. Иркутска;

- устанавливает обязанности руководителей структурных подразделений администрации города Иркутска и должностных лиц, ответственных за защиту ПДн в ИСПДн администрации г. Иркутска;

- утверждает положения и инструкции по организации работ по защите ПДн в ИСПДн администрации г. Иркутска;

- из числа работников ДИ назначает лиц, ответственных за защиту ПДн в ИСПДн администрации г. Иркутска.

4.4. Заместитель председателя комитета - начальник ДИ:

- осуществляет методическое руководство и координацию работ по защите ПДн в ИСПДн в администрации г. Иркутска;

- контролирует работу структурных подразделений администрации города Иркутска, работников и должностных лиц, допущенных к обработке ПДн;

- организует разработку руководящих и распорядительных документов по защите ПДн в ИСПДн администрации г. Иркутска;

- организует и проводит занятия по изучению документов по защите ПДн в ИСПДн администрации г. Иркутска;

- организует обеспечение и доведение до работников и должностных лиц администрации города Иркутска действующих руководящих, организационно-распорядительных и нормативно-методических документов по защите ПДн в ИСПДн администрации г. Иркутска;

- готовит предложения о привлечении к проведению работ по защите ПДн в ИСПДн администрации г. Иркутска на договорной основе организаций, имеющих лицензию на соответствующий вид деятельности;

- готовит предложения вице-мэру города Иркутска по финансированию мероприятий по защите ПДн в ИСПДн администрации г. Иркутска;

- участвует в проверках состояния защиты ПДн в ИСПДн администрации г. Иркутска;

- определяет ответственных лиц из числа работников департамента информатизации за обеспечение безопасности ПДн в соответствующей ИСПДн администрации г. Иркутска;

- контролирует работу структурных подразделений администрации города Иркутска, работников и должностных лиц, допущенных к обработке ПДн.

4.5. Лицо, ответственное за защиту ПДн в ИСПДн администрации г. Иркутска:

- определяет основные мероприятия по комплексной защите ПДн в ИСПДн администрации г. Иркутска;

- проводит работу по выявлению возможных каналов утечки ПДн в ИСПДн администрации г. Иркутска;

- разрабатывает руководящие и распорядительные документы по защите ПДн в ИСПДн администрации г. Иркутска;

Этот документ входит в профессиональные
справочные системы «Кодекс» и «Техэксперт»