2.1. Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом "Об информации, информационных технологиях и защите информации", Федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", и определяет содержание и порядок осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска.
(в ред. Распоряжения администрации г. Иркутска от 07.04.2014 N 031-10-251/14)
2.2. Настоящее Положение не регулирует вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы обеспечения безопасности информации с ограниченным доступом (конфиденциальной), не содержащей ПДн.
2.3. Организация обеспечения безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации, возлагается на руководителей структурных подразделений администрации г. Иркутска согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства Российской Федерации от 15.09.2008 N 687, и распоряжению администрации г. Иркутска от 17.12.2010 N 031-10-1228/10 "Об организации обработки персональных данных, осуществляемой без использования средств автоматизации в администрации г. Иркутска".
(в ред. Распоряжения администрации г. Иркутска от 07.04.2014 N 031-10-251/14)
2.4. Безопасность ПДн при их обработке в ИСПДн администрации г. Иркутска достигается путем исключения НСД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
2.5. Безопасность ПДн при их обработке в ИСПДн администрации г. Иркутска обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на ТС обработки ПДн), а также используемые в ИСПДн администрации г. Иркутска информационные технологии.
2.6. Для обеспечения безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска осуществляется защита речевой информации и информации, обрабатываемой ТС, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
2.7. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
2.8. Методы и способы защиты ПДн в ИСПДн администрации г. Иркутска устанавливаются Федеральной службой по техническому и экспортному контролю России и Федеральной службой безопасности России в пределах их полномочий.
2.9. Выбор методов, способов и средств защиты информации осуществляется в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации, на основе определяемых департаментом информатизации и хозяйственного обеспечения аппарата администрации города Иркутска (далее - ДИиХО) угроз безопасности ПДн (модели угроз).
(в ред. Распоряжений администрации г. Иркутска от 07.04.2014 N 031-10-251/14, от 10.06.2016 N 031-10-313/6)
2.10. Модель угроз разрабатывается на основе методических документов, принятых Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации.
(п. 2.10 в ред. Распоряжения администрации г. Иркутска от 07.04.2014 N 031-10-251/14)
2.11. Выбранные и реализованные в соответствии с п. 2.9 настоящего Положения методы и способы защиты информации в ИСПДн администрации г. Иркутска должны обеспечивать нейтрализацию предполагаемых угроз безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска в составе создаваемой СЗПДн.
2.12. Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска оценивается при проведении государственного контроля и надзора.
2.13. Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска, проводимые ДИиХО, включают в себя:
(в ред. Распоряжений администрации г. Иркутска от 25.05.2012 N 031-10-535/12, от 07.04.2014 N 031-10-251/14, от 10.06.2016 N 031-10-313/6)
- определение требуемого уровня защищенности в соответствии с разделом 3 настоящего Положения;
(в ред. Распоряжения администрации г. Иркутска от 07.04.2014 N 031-10-251/14)
- определение угроз безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска;
- разработку на основе определенных угроз безопасности ПДн частной модели угроз применительно к конкретной ИСПДн администрации г. Иркутска;
- разработку СЗПДн на основе частной модели угроз (СЗПДн обеспечивает нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего уровня защищенности ИСПДн администрации г. Иркутска);
(в ред. Распоряжения администрации г. Иркутска от 07.04.2014 N 031-10-251/14)
- проверку готовности средств защиты ПДн к использованию с составлением заключений о возможности их эксплуатации;
- установку и ввод в эксплуатацию средств защиты ПДн в соответствии с эксплуатационной и технической документацией;
- обучение лиц, использующих средства защиты ПДн, применяемые в ИСПДн администрации г. Иркутска, правилам работы с ними;
- учет применяемых средств защиты ПДн, эксплуатационной и технической документации к ним, носителей ПДн;