Министерство экономического развития Российской Федерации
ФЕДЕРАЛЬНАЯ СЛУЖБА ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ, КАДАСТРА И КАРТОГРАФИИ
ПРИКАЗ
от 29 января 2013 года N П/31
Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Федеральной службе государственной регистрации, кадастра и картографии
(с изменениями на 6 апреля 2016 года)
____________________________________________________________________
Документ с изменениями, внесенными:
приказом Росреестра от 23 января 2014 года N П/17;
приказом Росреестра от 6 апреля 2016 года N П/0155.
____________________________________________________________________
В целях обеспечения безопасности персональных данных при обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии, а также выполнения требований Федерального закона от 27.06.2006* N 152-ФЗ "О персональных данных"
________________
* Вероятно, ошибка оригинала. Следует читать "от 27.07.2006". - Примечание изготовителя базы данных.
приказываю:
1. Утвердить прилагаемое Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии (далее - Положение).
2. Начальникам структурных подразделений центрального аппарата Росреестра, руководителям территориальных органов Росреестра обеспечить реализацию Положения.
3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Д.А.Солодовникова.
(Пункт в редакции, введенной в действие приказом Росреестра от 23 января 2014 года N П/17. - См. предыдущую редакцию)
Руководитель
Н.Н.Антипина
УТВЕРЖДЕНО
приказом Федеральной службы
государственной регистрации,
кадастра и картографии
от 29 января 2013 года N П/31
Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии
1. Термины и определения
Автоматизированная система | - | система, состоящая из работников и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций |
Администратор информационной безопасности | - | работник отдела информационной безопасности Росреестра (работники, назначенные приказом Росреестра/территориального органа Росреестра), ответственный за защиту информационных систем персональных данных от несанкционированного доступа к информации |
Администратор информационной системы персональных данных | - | администратор автоматизированной системы, администратор локальной вычислительной сети, администратор баз данных, администратор информационного ресурса, ответственный за функционирование информационной системы персональных данных в установленном штатном режиме работы (работники, назначенные приказом Росреестра/территориального органа Росреестра) |
Администратор системы защиты информации | - | работник подрядной организации, осуществляющий установку, настройку средств защиты информации и их техническое сопровождение |
Блокирование персональных данных | - | временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) |
Обладатель информации (информационного ресурса) | - | лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Структурное подразделение Росреестра, реализующее полномочия владения, пользования и распоряжения информацией в соответствии со своими функциями и задачами. Обладатель информации устанавливает в пределах своей компетенции режим и правила обработки информации, защиты информационного ресурса, доступа к информационному ресурсу, условия копирования и тиражирования информационного ресурса (в распоряжении на создание информационного ресурса или в виде отдельных регламентов) |
Доступ к информации | - | возможность получения информации и ее использования |
Информационная система персональных данных (ИСПДн) | - | совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств |
Инцидент информационной безопасности | - | появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности (отказ в обслуживании, сбор информации, несанкционированный доступ и т.д.) |
Контролируемая зона | - | пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание работников и посетителей организации, а также транспортных, технических и иных материальных средств |
Конфиденциальная информация | - | документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации |
Конфиденциальность персональных данных | - | обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания |
Несанкционированный доступ (несанкционированные действия) | - | доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам |
Обработка персональных данных | - | любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных |
Оператор | - | государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (в настоящем Положении - Росреестр) |
Организационно- | - | документация, регламентирующая деятельность работников в области защиты персональных данных, а также требования к ИСПДн в соответствии с требованиями законодательства Российской Федерации |
Персональные данные | - | любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) |
Предоставление персональных данных | - | действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц |
Распространение персональных данных | - | действия, направленные на раскрытие персональных данных неопределенному кругу лиц |
Руководящие документы по безопасности информации | - | нормативно-правовые и методические документы ФСТЭК России и ФСБ России, регулирующие деятельность в области защиты информации |
Технические средства, позволяющие осуществлять обработку персональных данных | - | средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационной системе |
Субъект доступа (субъект) | - | лицо или процесс, действия которого регламентируются правилами разграничения доступа |
Угроза безопасности персональных данных | - | совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных |
Уничтожение персональных данных | - | действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных |
2. Перечень сокращенных наименований
АРМ | - | автоматизированное рабочее место |
АС | - | автоматизированная система |
ЗИ | - | защита информации |
ИБ | - | информационная безопасность |
ИР | - | информационный ресурс |
ИС | - | информационная система |
ИСПДн | - | информационная система персональных данных |
ИТ | - | информационная технология |
НСД | - | несанкционированный доступ |
ОС | - | операционная система |
ПДн | - | персональные данные |
ПК | - | программный комплекс |
ПО | - | программное обеспечение |
Подразделение ИБ | - | подразделение центрального аппарата/территориального органа Росреестра, отвечающее за обеспечение информационной безопасности |
Подразделение ИТ | - | подразделение центрального аппарата/территориального органа Росреестра, отвечающее за эксплуатацию технических средств и информационных систем |
Положение | - | Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра |
СВТ | - | средство вычислительной техники |
СЗИ | - | система защиты информации |
СЗПДн | - | система защиты персональных данных |
СКЗИ | - | средство криптографической защиты информации |
СрЗИ | - | средство защиты информации |
СТР-К | - | Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. N 282 |
ТС | - | техническое средство |
ТО | - | территориальный орган Росреестра |
ЦА | - | центральный аппарат Росреестра |
3. Общие положения
Положение регламентирует вопросы обеспечения безопасности ПДн при их обработке в ИСПДн в ЦА/ТО Росреестра и определяет порядок организации работ по созданию и эксплуатации СЗПДн.
Положение разработано на основании следующих основных нормативных правовых актов и документов в области обеспечения безопасности ПДн:
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17;
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21;
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. N 282;
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 центра ФСБ России от 21 февраля 2008 г. N 149/6/6-622.
Действие Положения не распространяется на вопросы, связанные с обработкой ПДн, осуществляемой без использования средств автоматизации.
Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Росреестра, определяются в отдельном документе с учетом требований Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.
4. Порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн ЦА/ТО Росреестра
Под организацией работ по обеспечению безопасности ПДн при их обработке в ИСПДн ЦА/ТО Росреестра понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла ИСПДн, согласованных по цели, задачам, месту и времени, направленных на предотвращение (нейтрализацию) и парирование угроз безопасности ПДн в ИСПДн ЦА/ТО Росреестра, восстановление нормального функционирования ИСПДн после нейтрализации угрозы с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.
Организация работ по защите ПДн предусматривает:
определение перечня ПДн, обрабатываемых в ИС ЦА/ТО Росреестра;
определение требуемого уровня защищенности ПДн;
формирование порядка разработки, ввода в действие, эксплуатации и последующей аттестации системы защиты ПДн (СЗПДн) в части реализации организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн;
формирование порядка взаимодействия между ответственными за обеспечение безопасности ПДн и эксплуатирующими подразделениями (администраторами) по вопросам обеспечения безопасности ПДн;
разработка порядка привлечения структурных подразделений ЦА/ТО Росреестра и специализированных сторонних организаций к разработке и эксплуатации СЗПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн в соответствии с требованиями руководящих документов по безопасности с учетом механизмов, предусмотренных Федеральным законом от 5 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";
