РАСПОРЯЖЕНИЕ
от 7 декабря 2010 года N 031-10-1167/10
Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска
(с изменениями на 10 июня 2016 года)
(в ред. Распоряжений администрации г. Иркутска от 31.10.2011 N 031-10-1064/11, от 25.05.2012 N 031-10-535/12, от 07.04.2014 N 031-10-251/14, от 10.06.2016 N 031-10-313/6)
Руководствуясь Федеральным законом "О персональных данных", ст. 16 Федерального закона "Об общих принципах организации местного самоуправления в Российской Федерации", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 N 687, ст.ст. 37, 38, 42 Устава города Иркутска:
(в ред. Распоряжения администрации г. Иркутска от 07.04.2014 N 031-10-251/14)
1. Утвердить Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска (приложение N 1).
2. Структурным подразделениям администрации города Иркутска:
(п. 2 в ред. Распоряжения администрации г. Иркутска от 07.04.2014 N 031-10-251/14)
2.1. При создании и эксплуатации информационных систем персональных данных в администрации г. Иркутска руководствоваться настоящим распоряжением.
2.2. В целях обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных администрации г. Иркутска, и проведения единой политики в сфере защиты персональных данных ознакомить с настоящим распоряжением работников подведомственных структурных подразделений администрации г. Иркутска под роспись в течение двух недель с момента его принятия.
3. Отменить распоряжение администрации г. Иркутска от 30.07.2009 N 031-10-818/9 "Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска".
4. Архивному отделу организационно-контрольного управления аппарата администрации г. Иркутска (Путинцева) внести в оригинал распоряжения администрации г. Иркутска от 30.07.2009 N 031-10-818/9 информационную справку о дате его отмены настоящим распоряжением.
5. Контроль за исполнением настоящего распоряжения возложить на вице-мэра города Иркутска.
(п. 5 в ред. Распоряжения администрации г. Иркутска от 10.06.2016 N 031-10-313/6)
Мэр города Иркутска
В.И.КОНДРАШОВ
ПОЛОЖЕНИЕ О ПОРЯДКЕ ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ АДМИНИСТРАЦИИ Г. ИРКУТСКА
(в ред. Распоряжений администрации г. Иркутска от 31.10.2011 N 031-10-1064/11, от 25.05.2012 N 031-10-535/12, от 07.04.2014 N 031-10-251/14, от 10.06.2016 N 031-10-313/6)
1.1. Автоматизированная информационная система (АС) - система, состоящая из работников и комплекса средств автоматизации их деятельности, реализующая информационную технологию выполнения установленных функций.
1.2. Администратор информационной системы персональных данных (администратор ИСПДн) - лицо, ответственное за сопровождение программного обеспечения информационной системы персональных данных.
1.3. Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
1.4. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
(п. 1.4 в ред. Распоряжения администрации г. Иркутска от 31.10.2011 N 031-10-1064/11)
1.5. Вредоносная программа (ВП) - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
1.6. Доступ к персональным данным - возможность получения персональных данных и их использования.
1.7. Защита от несанкционированного доступа - предотвращение или существенное затруднение несанкционированного доступа.
1.8. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
1.9. Информация - сведения (сообщения, данные) независимо от формы их представления.
1.10. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
(п. 1.10 в ред. Распоряжения администрации г. Иркутска от 31.10.2011 N 031-10-1064/11)
1.11. Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов.
1.12. Конфиденциальность персональных данных - обязательное для выполнения оператором и иным лицом, получившим доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
(п. 1.12 в ред. Распоряжения администрации г. Иркутска от 31.10.2011 N 031-10-1064/11)
1.13. Несанкционированный доступ к персональным данным (несанкционированные действия), (НСД) - доступ к персональным данным или действия с персональными данными, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
1.14. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
(п. 1.14 в ред. Распоряжения администрации г. Иркутска от 31.10.2011 N 031-10-1064/11)
1.15. Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
1.16. Оператор - муниципальный орган, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
(п. 1.16 в ред. Распоряжения администрации г. Иркутска от 31.10.2011 N 031-10-1064/11)
1.17. Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
1.18. Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
(п. 1.18 в ред. Распоряжения администрации г. Иркутска от 31.10.2011 N 031-10-1064/11)
1.19. Пользователь ИСПДн - лицо, участвующее в функционировании ИСПДн или использующее результаты ее функционирования.
1.20. Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
1.21. Ресурс информационной системы персональных данных - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы персональных данных.
1.22. Средства вычислительной техники (СВТ) - совокупность программных и технических элементов систем обработки персональных данных, способных функционировать самостоятельно или в составе других систем.
1.23. Санкционированный доступ к персональным данным - доступ к персональным данным, не нарушающий правила разграничения доступа.
1.24. Система защиты персональных данных (СЗПДн) - комплекс организационных мер и программно-технических средств обеспечения безопасности ПДн в ИСПДн.
1.25. Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
1.26. Технический канал утечки информации - совокупность носителя персональных данных (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается информация, содержащая персональные данные.
1.27. Технические средства информационной системы персональных данных (ТС) средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
1.28. Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
1.29. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
(п. 1.29 в ред. Распоряжения администрации г. Иркутска от 31.10.2011 N 031-10-1064/11)
1.30. Утечка (защищаемой) информации, содержащей персональные данные, по техническим каналам - неконтролируемое распространение персональных данных от носителя персональных данных через физическую среду до ТС, осуществляющего перехват информации, содержащей персональные данные.
1.31. Целостность информации, содержащей персональные данные, - способность средства вычислительной техники или информационной системы персональных данных обеспечивать неизменность информации, содержащей персональные данные, в условиях случайного и/или преднамеренного искажения (разрушения).
2.1. Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом "Об информации, информационных технологиях и защите информации", Федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", и определяет содержание и порядок осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска.
(в ред. Распоряжения администрации г. Иркутска от 07.04.2014 N 031-10-251/14)
2.2. Настоящее Положение не регулирует вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы обеспечения безопасности информации с ограниченным доступом (конфиденциальной), не содержащей ПДн.
2.3. Организация обеспечения безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации, возлагается на руководителей структурных подразделений администрации г. Иркутска согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства Российской Федерации от 15.09.2008 N 687, и распоряжению администрации г. Иркутска от 17.12.2010 N 031-10-1228/10 "Об организации обработки персональных данных, осуществляемой без использования средств автоматизации в администрации г. Иркутска".
(в ред. Распоряжения администрации г. Иркутска от 07.04.2014 N 031-10-251/14)
2.4. Безопасность ПДн при их обработке в ИСПДн администрации г. Иркутска достигается путем исключения НСД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
2.5. Безопасность ПДн при их обработке в ИСПДн администрации г. Иркутска обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на ТС обработки ПДн), а также используемые в ИСПДн администрации г. Иркутска информационные технологии.
2.6. Для обеспечения безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска осуществляется защита речевой информации и информации, обрабатываемой ТС, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
2.7. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
2.8. Методы и способы защиты ПДн в ИСПДн администрации г. Иркутска устанавливаются Федеральной службой по техническому и экспортному контролю России и Федеральной службой безопасности России в пределах их полномочий.
2.9. Выбор методов, способов и средств защиты информации осуществляется в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации, на основе определяемых департаментом информатизации и хозяйственного обеспечения аппарата администрации города Иркутска (далее - ДИиХО) угроз безопасности ПДн (модели угроз).
(в ред. Распоряжений администрации г. Иркутска от 07.04.2014 N 031-10-251/14, от 10.06.2016 N 031-10-313/6)
2.10. Модель угроз разрабатывается на основе методических документов, принятых Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации.
(п. 2.10 в ред. Распоряжения администрации г. Иркутска от 07.04.2014 N 031-10-251/14)
2.11. Выбранные и реализованные в соответствии с п. 2.9 настоящего Положения методы и способы защиты информации в ИСПДн администрации г. Иркутска должны обеспечивать нейтрализацию предполагаемых угроз безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска в составе создаваемой СЗПДн.
2.12. Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска оценивается при проведении государственного контроля и надзора.
2.13. Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска, проводимые ДИиХО, включают в себя:
(в ред. Распоряжений администрации г. Иркутска от 25.05.2012 N 031-10-535/12, от 07.04.2014 N 031-10-251/14, от 10.06.2016 N 031-10-313/6)