Отдел

Нам важно знать ваше мнение

1. Оцените, насколько в целом услуги в сфере социального обслуживания населения доступны?*
2. Оцените, насколько в целом информация об организациях, оказывающих услуги в сфере социального обслуживания доступна?*
3. Оцените, насколько в целом работники организаций социального обслуживания доброжелательны, вежливы и внимательны?*



Политика информационной безопасности

Утверждена
приказом Отдела социальной защиты
населения в Граховском районе
от 27 июня 2011 г № 15


Политика информационной безопасности
информационных систем персональных данных Отдела социальной защиты населения в Граховском районе

1. Общие положения

Настоящая Политика информационной безопасности информационных систем персональных данных Отдела социальной защиты населения в Граховском районе (далее - Политика) разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных, изложенных в Концепции информационной безопасности информационных систем персональных данных Отдела социальной защиты населения в Граховском районе - Концепция).

В настоящей Политике используются термины и определения, условные обозначения и сокращения, установленные в Концепции.

Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённого постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781, а также на основании:

Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённых заместителем директора Федеральной службы по техническому и экспортному контролю Российской Федерации 15 февраля 2008 года;

Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённых руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 года№ 149/6/6-622;

приказа Федеральной службы по техническому и экспортному контролю Российской Федерации от 05 февраля 2010 года № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищённости, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн Отдела социальной защиты населения в Граховском районе(далее - Отдел).

Целью настоящей Политики является обеспечение безопасности объектов защиты Отдела от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.

Безопасность персональных данных достигается путём исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий.

Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. В Отделе социальной защиты населения в Граховском районе обеспечивается осуществление своевременного обнаружения и реагирования на УБПДн, предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

Состав объектов защиты представлен в Перечне персональных данных и иных объектов, подлежащих защите в информационных системах персональных данных Отдела социальной защиты населения в Граховском районе.

Состав ИСПДн, подлежащих защите, представлен в Отчёте о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных Отдела социальной защиты населения в Граховском районе.

2. Область защиты

Требования настоящей Политики распространяются на всех специалистов Отдела (постоянных, временных), а также иных лиц (подрядчиков, исполнителей, аудиторов и т.п.).

3. Система защиты персональных данных

СЗПДн в Отделе строится на основании:

Отчёта о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных Отдела социальной защиты населения в Граховском районе;

Перечня персональных данных и иных объектов, подлежащих защите в информационных системах персональных данных Отдела социальной защиты населения в Граховском районе;

актов классификации информационных систем персональных данных Отдела;

моделей угроз безопасности персональных данных при их обработке в информационных системах персональных данных Отдела;

Положения о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных Отдела социальной защиты населения в Граховском районе;

нормативных документов Федеральной службы по техническому и экспортному контролю Российской Федерации и Федеральной службы безопасности Российской Федерации, в том числе перечисленных в Концепции.

На основании указанных документов определяется необходимый уровень защищённости ПДн каждой ИСПДн Отдела. На основании анализа актуальных угроз безопасности ПДн, описанного в моделях угроз безопасности персональных данных при их обработке в информационных системах персональных данных Отдела, и Отчёте о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных Отдела социальной защиты населения в Граховском районе делается вывод о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн.

Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а также ПО, участвующего в обработке ПДн, на всех элементах ИСПДн:

АРМ пользователей;

сервера приложений;

СУБД;

граница ЛВС;

каналах передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.

В зависимости от уровня защищённости ИСПДн и актуальных угроз СЗПДн может включать в себя следующие технические средства:

антивирусные средства для рабочих станций пользователей и серверов;

средства межсетевого экранирования;

средства криптографической защиты информации при передаче защищаемой информации по каналам связи.

Также в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн ОС, прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать в себя:

управление и разграничение доступа пользователей;

регистрацию и учёт действий с информацией;

обеспечение целостность данных; осуществление обнаружения вторжений.

Функции определяются в соответствии с Положением о методах и способах защиты информации в информационных системах персональных данных, утверждённых приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 05.02.2010 № 58 и на основании анализа УБПДн.

Список необходимых мероприятий и используемых технических средств отражается в Плане мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных Отдела социальной защиты населения в Граховском районе.

Список используемых средств защиты ПДн отражается в перечнях применяемых средств защиты информации, эксплуатационной и технической документации информационных систем персональных данных Отдела социальной защиты населения в Граховском районе и должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн соответствующие изменения должны быть внесены в указанные перечни.

4. Требования к подсистемам СЗПДн

СЗПДн включает в себя следующие подсистемы:

управления доступом;

регистрации и учёта;

обеспечения целостности и доступности;

антивирусной защиты;

межсетевого экранирования;

анализа защищённости;

обнаружения вторжений;

криптографической защиты.

Подсистемы СЗПДн имеют различный функционал в зависимости от классов ИСПДн, определенных в актах классификации информационных систем персональных данных Отдела.

4.1. Подсистема управления доступом

Подсистема управления доступом предназначена для реализации следующих функций:

идентификации и проверки подлинности субъектов доступа при входе в ИСПДн;

идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;

идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;

Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Также может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по аутентификации и контролю.


4.2. Подсистема регистрации и учёта

Подсистема регистрации и учёта СЗПДн предназначена для реализации следующих функций:

регистрации входа (выхода) субъектов доступа в систему (из системы) либо регистрация загрузки и инициализации операционной системы и её останова;

регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

Подсистема регистрации и учёта может быть реализована с помощью организационных мер защиты информации. Также может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по регистрации действий, осуществляемых в ИСПДн.


4.3. Подсистема обеспечения целостности и доступности

Подсистема обеспечения целостности и доступности СЗПДн предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн Отдела, а также средств защиты при случайной или намеренной модификации.

Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов ИСПДн.


4.4. Подсистема антивирусной защиты

Подсистема антивирусной защиты СЗПДн предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей ИСПДн Отдела.

Средства антивирусной защиты предназначены для реализации следующих функций:

резидентный антивирусный мониторинг; антивирусное сканирование; скрипт-блокирование;

централизованную/удалённую установку/деинсталляцию антивирус​ного продукта, настройку, администрирование, просмотр отчётов и статистической информации по работе продукта;

автоматизированное обновление антивирусных баз;

ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного ПО;

автоматический запуск сразу после загрузки операционной системы.

Подсистема реализуется путём внедрения специального антивирусного ПО на все элементы ИСПДн.


4.5. Подсистема межсетевого экранирования

Подсистема межсетевого экранирования СЗПДн предназначена для реализации следующих функций:

фильтрации открытого и зашифрованного (закрытого) IP-трафика по следующим параметрам:

фиксации во внутренних журналах информации о проходящем открытом и закрытом 1Р-трафике;

идентификации и аутентификации администратора межсетевого экрана при его локальных запросах на доступ;

регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и её программного останова;

контроля целостности своей программной и информационной части;

фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

фильтрации с учётом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

регистрации и учёта запрашиваемых сервисов прикладного уровня;

блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

контроля за сетевой активностью приложений и обнаружения сетевых

атак.

Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе ЛВС классом не ниже 4.


4.6. Подсистема анализа защищённости

Подсистема анализа защищённости СЗПДн должна обеспечивать выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.

Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.

4.7. Подсистема обнаружения вторжений

Подсистема обнаружения вторжений СЗПДн должна обеспечивать выявление сетевых атак на элементы ИСПДн, подключённые к сетям общего пользования и (или) международного обмена.

Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.


4.8. Подсистема криптографической защиты

Подсистема криптографической защиты предназначена для исключения НСД к защищаемой информации в ИСПДн Отдела при её передаче по каналам связи сетей общего пользования и (или) международного обмена.

Подсистема реализуется путём внедрения криптографических программно-аппаратных комплексов.


5. Категории пользователей ИСПДн

В Концепции определены основные категории пользователей ИСПДн. В ИСПДн Отдела выделяются следующие группы пользователей ИСПДн, участвующих в обработке и хранении ПДн: администратор ИСПДн; администратор безопасности; пользователь ИСПДн; администратор сети.

Данные о группах пользователей, уровне их доступа и информированности отражается в Положении о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных Отдела социальной защиты населения в Граховском районе.


5.1. Администратор ИСПДн

Администратор ИСПДн - специалист Отдела, ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (оператора АРМ) к элементам, хранящим персональные данные.

Администратор ИСПДн обладает следующим уровнем доступа и знаний:

обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;

обладает полной информацией о технических средствах и конфигурации ИСПДн;

имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

обладает правами конфигурирования и административной настройки технических средств ИСПДн.


5.2. Администратор безопасности

Администратор безопасности — специалист Отдела, ответственный за функционирование СЗПДн, включая обслуживание и настройку административного, серверного и клиентского компонентов.

Администратор безопасности обладает следующим уровнем доступа и знаний:

обладает правами администратора ИСПДн; обладает полной информацией об ИСПДн;

имеет доступ к СЗИ и протоколирования и к части ключевых элементов ИСПДн;

не имеет прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных).

Администратор безопасности уполномочен:

реализовывать политики безопасности в части настройки средств криптографической защиты информации, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь ИСПДн получает возможность работать с элементами ИСПДн;

осуществляет аудит средств защиты;

устанавливает доверительные отношения своей защищенной сети с сетями других учреждений.


5.3. Пользователь ИСПДн

Пользователь ИСПДн - специалист Отдела, осуществляющий обработку ПДн.

Обработка ПДн включает в себя: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчётов по информации, полученной из ИСПД. Пользователь ИСПДн не имеет полномочий для управления подсистемами обработки данных и СЗПДн.

Пользователь ИСПДн обладает следующим уровнем доступа и знаний:

обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

располагает конфиденциальными данными, к которым имеет доступ.

5.4. Администратор сети

Функции администратора сети выполняет специалист Отдела, ответственный за функционирование телекоммуникационной подсистемы ИСПДн (далее - администратор сети). Администратор сети не имеет полномочий для управления подсистемами обработки данных и безопасности.

Администратор сети обладает следующим уровнем доступа и знаний: обладает частью информации о системном и прикладном программном

обеспечении ИСПДн;

обладает частью информации о технических средствах и конфигурации

ИСПДн;

имеет физический доступ к техническим средствам обработки информации и средствам защиты;

знает, по меньшей мере, одно легальное имя доступа.


6. Требования к пользователям ИСПДн по обеспечению защиты ПДн

Все специалисты Отдела, являющиеся пользователями ИСПДн, должны чётко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

При назначении на должность нового специалиста, имеющего доступ к ИСПДн, он должен быть ознакомлен с настоящей Политикой и документами, регламентирующими требования по защите ПДн, а также обучен навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

Специалисты Отдела, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи ИСПДн несут персональную ответственность за сохранность идентификаторов.

Специалисты Отдела должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).

Специалисты Отдела должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи ИСПДн должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

Специалистам запрещается устанавливать постороннее ПО, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Специалистам запрещается разглашать защищаемую информацию, которая стала им известна при работе с ИСПДн, третьим лицам.

При работе с ПДн в ИСПДн специалисты Отдела обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.

При завершении работы с ИСПДн специалисты обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

Специалисты Отдела должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение, ознакомлены с процедурой наложения дисциплинарных взысканий на специалистов, которые нарушили настоящую Политику и процедуры безопасности ПДн.

Специалисты обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, которые могут повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководителю подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.


7. Обязанности пользователей ИСПДн

Обязанности пользователей ИСПДн описаны в следующих документах:

Инструкции администратора информационных систем персональных данных Отдела социальной защиты населения в Граховском районе;

Инструкции администратора безопасности при использовании ресурсов объекта вычислительной техники Отдела социальной защиты населения в Граховском районе;

Инструкции пользователя информационной системы персональных данных Отдела социальной защиты населения в Граховском районе;

Инструкции пользователя информационных систем персональных данных по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций в Отделе социальной защиты населения в Граховском районе

8. Ответственность специалистов Отдела

В соответствии со статьей 24 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований указанного Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

Законодательство Российской Федерации позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей.

Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершённые от имени их учётных записей или системных учётных записей, если не доказан факт несанкционированного использования учётных записей.

При нарушениях специалистами Министерства - пользователями ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную законодательством Российской Федерации.

Дата редактирования: 12.08.2019