Министерство экономического развития Российской Федерации
ФЕДЕРАЛЬНАЯ СЛУЖБА ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ, КАДАСТРА И КАРТОГРАФИИ

ПРИКАЗ

от 6 апреля 2016 года N П/0155

О внесении изменений в Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии, утвержденное приказом Росреестра от 29.01.2013 N П/31



В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", иными нормативными правовыми актами Российской Федерации в области защиты информации, а также пунктом 5.22 Положения о Федеральной службе государственной регистрации, кадастра и картографии, утвержденного постановлением Правительства Российской Федерации от 1 июня 2009 г. N 457,

приказываю:

1. Изложить Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии, утвержденное приказом Росреестра от 29.01.2013 N П/31, в редакции согласно приложению к настоящему приказу.

2. Возложить функции подразделения, отвечающего за обеспечение информационной безопасности в Росреестре на Управление информатизации и развития электронных услуг.

3. Начальникам структурных подразделений центрального аппарата Росреестра, руководителям территориальных органов Росреестра обеспечить реализацию Положения по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в Федеральной службе государственной регистрации, кадастра и картографии.

4. Контроль за исполнением настоящего приказа возложить на заместителя руководителя А.Б.Приданкина.

Руководитель
И.В.Васильев



Приложение
к приказу Федеральной службы
государственной регистрации,
кадастра и картографии
от 6 апреля 2016 г. N П/0155



Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в Федеральной службе государственной регистрации, кадастра и картографии



1. Термины и определения

Автоматизированная система

-

система, состоящая из работников и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций

Администратор информационной безопасности

-

работник отдела информационной безопасности Росреестра (работники, назначенные приказом Росреестра/территориального органа Росреестра), ответственный за защиту информационных систем персональных данных от несанкционированного доступа к информации

Администратор информационной системы персональных данных

-

администратор автоматизированной системы, администратор локальной вычислительной сети, администратор баз данных, администратор информационного ресурса, ответственный за функционирование информационной системы персональных данных в установленном штатном режиме работы (работники, назначенные приказом Росреестра/территориального органа Росреестра)

Администратор системы защиты информации

-

работник подрядной организации, осуществляющий установку, настройку средств защиты информации и их техническое сопровождение

Блокирование персональных данных

-

временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Обладатель информации (информационного ресурса)

-

лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Структурное подразделение Росреестра, реализующее полномочия владения, пользования и распоряжения информацией в соответствии со своими функциями и задачами. Обладатель информации устанавливает в пределах своей компетенции режим и правила обработки информации, защиты информационного ресурса, доступа к информационному ресурсу, условия копирования и тиражирования информационного ресурса (в распоряжении на создание информационного ресурса или в виде отдельных регламентов)

Доступ к информации

-

возможность получения информации и ее использования

Информационная система персональных данных (ИСПДн)

-

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Инцидент информационной безопасности

-

появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности (отказ в обслуживании, сбор информации, несанкционированный доступ и т.д.)

Контролируемая зона

-

пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание работников и посетителей организации, а также транспортных, технических и иных материальных средств

Конфиденциальная информация

-

документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации

Конфиденциальность персональных данных

-

обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания

Несанкционированный доступ (несанкционированные действия)

-

доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам

Обработка персональных данных

-

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Оператор

-

государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (в настоящем Положении - Росреестр)

Организационно-
распорядительная документация ИСПДн

-

документация, регламентирующая деятельность работников в области защиты персональных данных, а также требования к ИСПДн в соответствии с требованиями законодательства Российской Федерации

Персональные данные

-

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Предоставление персональных данных

-

действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Распространение персональных данных

-

действия, направленные на раскрытие персональных данных неопределенному кругу лиц

Руководящие документы по безопасности информации

-

нормативно-правовые и методические документы ФСТЭК России и ФСБ России, регулирующие деятельность в области защиты информации

Технические средства, позволяющие осуществлять обработку персональных данных

-

средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационной системе

Субъект доступа (субъект)

-

лицо или процесс, действия которого регламентируются правилами разграничения доступа

Угроза безопасности персональных данных

-

совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных

Уничтожение персональных данных

-

действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных



2. Перечень сокращенных наименований

АРМ

-

автоматизированное рабочее место

АС

-

автоматизированная система

ЗИ

-

защита информации

ИБ

-

информационная безопасность

ИР

-

информационный ресурс

ИС

-

информационная система

ИСПДн

-

информационная система персональных данных

ИТ

-

информационная технология

НСД

-

несанкционированный доступ

ОС

-

операционная система

ПДн

-

персональные данные

ПК

-

программный комплекс

ПО

-

программное обеспечение

Подразделение ИБ

-

подразделение центрального аппарата/территориального органа Росреестра, отвечающее за обеспечение информационной безопасности

Подразделение ИТ

-

подразделение центрального аппарата/территориального органа Росреестра, отвечающее за эксплуатацию технических средств и информационных систем

Положение

-

Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра

СВТ

-

средство вычислительной техники

СЗИ

-

система защиты информации

СЗПДн

-

система защиты персональных данных

СКЗИ

-

средство криптографической защиты информации

СрЗИ

-

средство защиты информации

СТР-К

-

Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. N 282

ТС

-

техническое средство

ТО

-

территориальный орган Росреестра

ЦА

-

центральный аппарат Росреестра



3. Общие положения


Положение регламентирует вопросы обеспечения безопасности ПДн при их обработке в ИСПДн в ЦА/ТО Росреестра и определяет порядок организации работ по созданию и эксплуатации СЗПДн.

Положение разработано на основании следующих основных нормативных правовых актов и документов в области обеспечения безопасности ПДн:

Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17;

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21;

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. N 282;

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 центра ФСБ России от 21 февраля 2008 г. N 149/6/6-622.

Действие Положения не распространяется на вопросы, связанные с обработкой ПДн, осуществляемой без использования средств автоматизации.

Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Росреестра, определяются в отдельном документе с учетом требований Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.

4. Порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн ЦА/ТО Росреестра


Под организацией работ по обеспечению безопасности ПДн при их обработке в ИСПДн ЦА/ТО Росреестра понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла ИСПДн, согласованных по цели, задачам, месту и времени, направленных на предотвращение (нейтрализацию) и парирование угроз безопасности ПДн в ИСПДн ЦА/ТО Росреестра, восстановление нормального функционирования ИСПДн после нейтрализации угрозы с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.

Организация работ по защите ПДн предусматривает:

определение перечня ПДн, обрабатываемых в ИС ЦА/ТО Росреестра;

определение требуемого уровня защищенности ПДн;

формирование порядка разработки, ввода в действие, эксплуатации и последующей аттестации системы защиты ПДн (СЗПДн) в части реализации организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн;

формирование порядка взаимодействия между ответственными за обеспечение безопасности ПДн и эксплуатирующими подразделениями (администраторами) по вопросам обеспечения безопасности ПДн;

разработка порядка привлечения структурных подразделений ЦА/ТО Росреестра и специализированных сторонних организаций к разработке и эксплуатации СЗПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн в соответствии с требованиями руководящих документов по безопасности с учетом механизмов, предусмотренных Федеральным законом от 5 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»