МИНИСТЕРСТВО ФИНАНСОВ СВЕРДЛОВСКОЙ ОБЛАСТИ

ПРИКАЗ
от 20 марта 2014 г. № 145

ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ ФИНАНСОВ СВЕРДЛОВСКОЙ ОБЛАСТИ

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" с последними изменениями от 25.07.2011 и Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" приказываю:
1. Утвердить Правила обработки персональных данных в Министерстве финансов Свердловской области (Приложение № 1).
2. Утвердить Форму журнала учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн (Приложение № 2).
3. Начальнику отдела автоматизации бюджетного процесса (Трофимов А.В.) под роспись ознакомить с настоящим Приказом всех сотрудников Министерства финансов Свердловской области, допущенных к обработке персональных данных в информационных системах персональных данных.
4. Контроль за исполнением настоящего Приказа возложить на заместителя министра финансов Свердловской области А.П. Медведева.

Министр финансов
Г.М.КУЛАЧЕНКО





Приложение № 1
к Приказу
Министерства финансов
Свердловской области
от 20 марта 2014 г. № 145

ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ ФИНАНСОВ СВЕРДЛОВСКОЙ ОБЛАСТИ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее Положение разработано в соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных" с последними изменениями от 25.07.2011, Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и определяет содержание и порядок осуществления мероприятий по защите персональных данных (далее - ПДн), обрабатываемых в информационных системах персональных данных (далее - ИСПДн) Министерства финансов Свердловской области (далее - оператор; Министерство).
2. В Положении используются следующие термины и сокращения:
1) автоматизированная система (АС) - система обработки данных, ориентированная на конкретных пользователей;
2) системный администратор - лицо, ответственное за функционирование АС в установленном штатном режиме работы;
3) администратор информационной безопасности - лицо, ответственное за оперативный контроль действий пользователей и системного администратора. Поддерживает в актуальном состоянии базу ключевой информации пользователей, защиту автоматизированной системы от несанкционированного доступа к информации;
4) безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (то есть сохранение в тайне от субъектов информации, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами;
5) защита информационных ресурсов - организационные, правовые, технические и технологические меры по предотвращению угроз информационной безопасности и устранению их последствий;
6) информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства;
7) несанкционированный доступ (НСД) - доступ к информационным ресурсам, нарушающий правила разграничения доступа с использованием любых средств, предоставляемых персональным компьютером или локальной вычислительной сетью;
8) объекты информатизации, аттестуемые по требованиям безопасности информации, - автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров;
9) пользователь - работник Министерства финансов вне зависимости от замещаемой им должности, выполнение должностных обязанностей которого связано с обработкой информации на средствах вычислительной техники;
10) средства вычислительной техники (СВТ) - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем;
11) оператор ИСПДн - Министерство финансов Свердловской области, осуществляющее обработку персональных данных в информационной системе персональных данных, а также определяющее цели и содержание обработки персональных данных.
3. Система защиты ПДн, обрабатываемых в информационных системах, должна соответствовать установленным требованиям по безопасности информации в ИСПДн. Мероприятия по защите персональных данных разрабатываются и внедряются в соответствии с установленным классом ИСПДн. Для определения класса информационной системы и необходимых мер защиты, а также состава технических средств используются следующие документы:
1) Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
2) Приказ ФСТЭК России № 21 от 18 февраля 2013 г. об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
3) Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15.02.2008;
4) Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14.02.2008;
5) Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Решением Гостехкомиссии России № 282, 2002 г.;
6) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/6/6-622.
4. Перечень подлежащих защите ПДн, обрабатываемых в ИСПДн оператора, определяется приказом Министерства финансов Свердловской области.

2. МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИСПДН МИНИСТЕРСТВА

5. При обработке ПДн в ИСПДн должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к ПДн;
в) недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности ПДн.
6. Мероприятия по обеспечению безопасности ПДн при их обработке в информационных системах включают в себя:
а) определение угроз безопасности ПДн при их обработке, формирование на их основе модели угроз;
б) разработка на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных;
л) лица, доступ которых к ПДн, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании списка работников Министерства, допущенных к обработке информации на объекте информатизации, утвержденного приказом Министерства финансов Свердловской области;
м) всем работникам, привлекаемым для работы с персональными данными, в обязательном порядке под роспись доводятся правила и требования по работе со средствами защиты информации. Не реже чем раз в полгода штатным специалистом по защите информации должны проводиться проверки правильности эксплуатации средств защиты.

3. ОБЯЗАННОСТИ ДОЛЖНОСТНЫХ ЛИЦ

7. Ответственность за организацию обработки ПДн возлагается на одного из сотрудников приказом Министерства финансов Свердловской области. Для непосредственного выполнения мероприятий по защите персональных данных или осуществления взаимодействия с организациями - лицензиатами, привлекаемыми для выполнения работ по защите персональных данных, назначается штатный специалист по технической защите информации.

4. КОНТРОЛЬ СОСТОЯНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

8. Запросы пользователей ИСПДн на получение персональных данных, включая лиц, указанных в пункте 7 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами ИСПДн в электронном журнале обращений. Содержание электронного журнала обращений раз в неделю проверяется штатным специалистом по защите информации.
9. При обнаружении нарушений порядка предоставления персональных данных штатный специалист по защите информации незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
10. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
11. Аттестация информационной системы по требованиям безопасности информации проводится организацией, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, в соответствии со схемой, выбираемой организацией-лицензиатом на этапе подготовки к аттестации.

Приложения:
1. Правила парольной защиты (Приложение № 1).
2. Правила антивирусной защиты (Приложение № 2).
3. Правила обновления общесистемного и прикладного программного обеспечения ИСПДн (Приложение № 3).
4. Правила работы с электронным журналом обращений пользователей информационной системы к персональным данным (Приложение № 4).
5. Правила предоставления информации органам государственной власти и местного самоуправления, физическим и юридическим лицам (Приложение № 5).
6. Порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн (Приложение № 6).
7. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации (Приложение № 7).
8. Порядок контроля защиты информации в ИСПДн и приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления (Приложение № 8).
9. Порядок обучения персонала практике работы в ИСПДн в части обеспечения безопасности персональных данных (Приложение № 9).
10. Порядок стирания защищаемой информации и уничтожения носителей защищаемой информации (Приложение № 10).
11. Порядок охраны и допуска посторонних лиц в защищаемые помещения (Приложение № 11).





Приложение № 1
к Правилам обработки
персональных данных
в Министерстве финансов
Свердловской области

ПРАВИЛА
ПАРОЛЬНОЙ ЗАЩИТЫ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Целью применения и реализации Правил парольной защиты является недопущение утечки персональных данных (далее - ПДн), а также их несанкционированной модификации или уничтожения. Правила распространяются на всех пользователей и администраторов информационной системы персональных данных (далее - ИСПДн) оператора.
2. Правила парольной защиты регламентируют организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей в ИСПДн, а также контроль над действиями пользователей при работе с паролями.
3. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями пользователей при работе с паролями возлагается на администратора информационной безопасности.
4. Личные пароли должны генерироваться и распределяться централизованно либо создаваться пользователями ИСПДн самостоятельно с учетом следующих требований:
1) пароль должен быть не менее 8-ми символов;
2) в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.);
3) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
4) при смене пароля новое значение должно отличаться от значений 24-х предыдущих паролей;
5) максимальный срок действия пароля пользователя составляет 180 дней;
6) минимальный срок действия пароля пользователя составляет 2 дня;
7) пользователь не имеет права сообщать личный пароль другим лицам.
5. Администратор информационной безопасности должен под роспись ознакомить с перечисленными выше требованиями владельцев паролей и предупредить об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
6. При наличии, в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п., технологической необходимости использования имен и паролей работников (исполнителей) в их отсутствие, работники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение администратору информационной безопасности. Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе.
7. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже двух раз в квартал.
8. Внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой на основании письменного указания начальника отдела, в котором указанный пользователь занимал должность.
9. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) администратора информационной безопасности.

2. КОНТРОЛЬ

10. Контроль за действиями пользователей ИСПДн при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора информационной безопасности и на лицо, ответственное за организацию обработки ПДн.





Приложение № 2
к Правилам обработки
персональных данных
в Министерстве финансов
Свердловской области

ПРАВИЛА
АНТИВИРУСНОЙ ЗАЩИТЫ

1. ОБЩИЕ ТРЕБОВАНИЯ

1. Правила антивирусной защиты определяют требования к организации защиты информационной системы персональных даны (далее - ИСПДн) от разрушающего воздействия вредоносных программ и устанавливают ответственность руководителя и сотрудников, ответственных за эксплуатацию ИСПДн, за их выполнение.
2. Целью защиты ИСПДн от вредоносных программ является предотвращение и нейтрализация негативных воздействий вредоносных программ на средства вычислительной техники.
3. К использованию в ИСПДн допускаются только лицензионные и сертифицированные ФСТЭК или ФСБ России по требованиям безопасности информации средства защиты от вредоносных программ.
4. Установка и начальная настройка средств защиты от вредоносный программ в ИСПДн осуществляется представителями организации-лицензиата ФСТЭК России, впоследствии - администратором информационной безопасности.
5. Администратор информационной безопасности должен организовывать осуществление периодического обновления сигнатур средств защиты от вредоносных программ и контроль их работоспособности не реже чем один раз в неделю.
6. Пользователи ИСПДн обязаны руководствоваться в работе настоящими Правилами и "Технологической инструкцией пользователя".

2. ПРИМЕНЕНИЕ СРЕДСТВ ЗАЩИТЫ ОТ ВРЕДОНОСНЫХ ПРОГРАММ

7. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
8. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль.
9. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов.
10. В ИСПДн запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.
11. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь самостоятельно (или вместе с администратором информационной безопасности, если он назначен на объекте) должен провести внеочередной антивирусный контроль своего персонального компьютера.
12. В случае обнаружения в ходе проведения антивирусной проверки зараженных компьютерными вирусами файлов пользователь обязан:
1) приостановить работу персонального компьютера;
2) немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора информационной безопасности или лицо, ответственное за организацию обработки ПДн;
3) провести "лечение" или удаление зараженных файлов.

3. ОТВЕТСТВЕННОСТЬ

13. Ответственность за организацию антивирусной защиты в ИСПДн в соответствии с требованиями настоящих Правил возлагается на администратора информационной безопасности.
14. Ответственность за проведение мероприятий антивирусной защиты ИСПДн и соблюдение требований настоящих Правил возлагается на администратора информационной безопасности и всех лиц, допущенных к работе в ИСПДн.
15. Контроль за соблюдением Правил антивирусной защиты возлагаются на лицо, ответственное за организацию обработки ПДн.





Приложение № 3
к Правилам обработки
персональных данных
в Министерстве финансов
Свердловской области

ПРАВИЛА
ОБНОВЛЕНИЯ ОБЩЕСИСТЕМНОГО И ПРИКЛАДНОГО
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ИСПДН

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящие Правила регламентируют порядок обеспечения безопасности информации при проведении обновления, модификации общесистемного и прикладного программного обеспечения, технического обслуживания и при возникновении нештатных ситуаций в работе информационной системы персональных данных (далее - ИСПДн).
2. Право внесения изменений в конфигурацию аппаратно-программных средств защищенных ИСПДн предоставляется:
1) в отношении системных и прикладных программных средств - администратору информационной безопасности по согласованию с органом по аттестации, проводившим аттестацию данной ИСПДн;
2) в отношении аппаратных средств, а также в отношении программно-аппаратных средств защиты - администратору информационной безопасности по согласованию с органом по аттестации, проводившим аттестацию данной ИСПДн.
3. Изменение конфигурации программно-аппаратных средств ИСПДн кем-либо, кроме вышеперечисленных уполномоченных работников запрещено.
4. Процедура внесения изменений в конфигурацию системных и прикладных программных средств ИСПДн инициируется докладной запиской, подписанной начальником отдела, в котором эксплуатируется ИСПДн.
5. В докладной записке могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств ИСПДн:
1) установка, развертывание на компьютере программных средств, необходимых для решения определенной задачи, добавление возможности решения данной задачи в данной ИСПДн;
2) обновление или замена на компьютере программных средств, необходимых для решения определенной задачи, обновление версий используемых для решения определенной задачи программ;
3) удаление с компьютера программных средств, использовавшихся для решения определенной задачи, исключение возможности решения данной задачи на данном компьютере.
6. Докладная записка, в которой изложены требования произвести изменения конфигурации, направляется на рассмотрение Министру финансов, после чего передается администратору информационной безопасности для непосредственного исполнения работ по внесению изменений в конфигурацию компьютера, указанного в докладной записке, в составе ИСПДн.
7. Подготовка обновления, модификация общесистемного и прикладного программного обеспечения ИСПДн, тестирование, при необходимости, стендовые испытания и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного программного обеспечения, внесение необходимых изменений в настройки средств защиты от несанкционированного доступа (далее - НСД) и средств контроля целостности файлов на компьютерах, обновление и удаление системных и прикладных программных средств производится администратором информационной безопасности по согласованию с органом по аттестации, проводившим аттестацию данной ИСПДн. Работы производятся в присутствии ответственного за эксплуатацию данной ИСПДн.
8. Установка или обновление подсистем ИСПДн должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
9. Установка и обновление программного обеспечения (далее - ПО) на компьютерах производится только с оригинальных лицензионных дистрибутивных носителей, полученных в установленном порядке, прикладного ПО - с эталонных копий программных средств, полученных из архива дистрибутивов установленного ПО.
10. Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность, а также отсутствие опасных функций.
11. После установки или обновления ПО администратор информационной безопасности должен произвести требуемые настройки средств управления доступом к компонентам компьютера и проверить работоспособность ПО и правильность их настройки и произвести соответствующую запись в "Журнале учета нештатных ситуаций в ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн", сделать отметку о выполнении и в "Техническом паспорте".
12. Формат записей "Журнала учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн" устанавливается приказом Министерства финансов.
13. При возникновении ситуаций, требующих передачи технических средств в сервисный центр с целью ремонта, ответственный за эксплуатацию ИСПДн докладывает об этом штатному специалисту по защите информации, который в свою очередь связывается с сотрудниками органа по аттестации и в дальнейшем действует согласно их инструкциям. В данном случае администратор информационной безопасности обязан предпринять необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Оригиналы докладных записок, документов, на основании которых производились изменения в составе программных средств компьютеров, с отметками о внесении изменений в состав программных средств должны храниться вместе с техническим паспортом на ИСПДн и "Журналом учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн" у штатного специалиста по защите информации.
14. Копии докладных записок хранятся у администратора информационной безопасности:
для восстановления конфигурации ИСПДн после аварий;
для контроля правомерности установки на ИСПДн средств для решения соответствующих задач при разборе конфликтных ситуаций;
для проверки правильности установки и настройки средств защиты ИСПДн.
15. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью администратора информационной безопасности и работника, ответственного за эксплуатацию данной ИСПДн.
16. С целью соблюдения принципа персональной ответственности за свои действия за каждым работником, допущенным к работе на компьютерах конкретной ИСПДн, должна быть закреплена учетная запись пользователя, под которой он будет регистрироваться и работать на данном компьютере.
17. Использование несколькими работниками при работе в ИСПДн одной и той же учетной записи запрещено.
18. Процедура создания учетной записи пользователя и предоставления ему или изменения его прав доступа к ресурсам ИСПДн инициируется докладной запиской начальника отдела, в котором эксплуатируется ИСПДн.
В докладной записке указывается:
1) содержание запрашиваемых изменений: регистрация нового пользователя ИСПДн, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам ИСПДн ранее зарегистрированного пользователя;
2) должность с полным наименованием отдела, фамилии, имени и отчества работника;
3) имя пользователя, учетной записи данного работника;
4) полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю путем указания решаемых пользователем задач в ИСПДн.
19. Докладная записка направляется на рассмотрение Министру финансов, на утверждение производственной необходимости допуска, изменения прав доступа данного работника к необходимым для решения им указанных в заявке задач ресурсам ИСПДн, после чего передается на исполнение в отдел автоматизации бюджетного процесса, на внесение необходимых изменений в списки пользователей соответствующих подсистем ИСПДн.
20. На основании докладной записки в соответствии с документацией на средства защиты от несанкционированного доступа администратор информационной безопасности производит необходимые операции по созданию или удалению учетной записи пользователя, присвоению ему начального значения пароля, заявленных прав доступа к ресурсам ИСПДн и другие необходимые действия, указанные в задании. Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в течение 360 дней. По окончании внесения изменений в списки пользователей в докладной записке делается отметка о выполнении задания за подписью исполнителя - администратора информационной безопасности.
21. После внесения изменений в списки пользователей администратор информационной безопасности должен обеспечить настройки средств защиты, соответствующие требованиям безопасности указанной ИСПДн.
22. Работнику, зарегистрированному в качестве нового пользователя ИСПДн, администратором информационной безопасности сообщается имя соответствующего ему пользователя или выдается персональный идентификатор и начальное значение пароля, которое он обязан сменить при первом же входе в систему.
23. Исполненная докладная записка, подписанная администратором информационной безопасности, передается на хранение в отдел автоматизации бюджетного процесса.
Хранящиеся докладные записки могут впоследствии использоваться:
для восстановления полномочий пользователей после аварий ИСПДн;
для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;
для проверки сотрудниками контролирующих органов правильности настройки средств разграничения доступа к ресурсам ИСПДн.





Приложение № 4
к Правилам обработки
персональных данных
в Министерстве финансов
Свердловской области

ПРАВИЛА
РАБОТЫ С ЭЛЕКТРОННЫМ ЖУРНАЛОМ ОБРАЩЕНИЙ ПОЛЬЗОВАТЕЛЕЙ
ИНФОРМАЦИОННОЙ СИСТЕМЫ К ПЕРСОНАЛЬНЫМ ДАННЫМ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящим документом устанавливаются правила и порядок протоколирования и анализа (аудита) значимых событий в информационной системе персональных данных (далее - ИСПДн).
2. Все события, происходящие в операционной системе (далее - ОС), ИСПДн, других критических приложениях и средствах защиты информации (далее - СЗИ) должны протоколироваться в специальных электронных журналах аудита.
3. Проверка электронного журнала обращений проводится администратором информационной безопасности с целью выявления несанкционированного доступа к защищаемой информации в ИСПДн.
4. Право проверки электронного журнала обращений имеют:
министр финансов;
заместитель министра, ответственный за руководство работами по защите информации в Министерстве финансов Свердловской области;
лицо, ответственное за организацию обработки ПДн;
администратор информационной безопасности;
штатный специалист по защите информации.
5. Аудит событий, зафиксированных в указанных электронных журналах, должен анализироваться в плановом порядке на постоянной основе.
6. На технических средствах ИСПДн, на которых установлены специализированные средства защиты информации (далее - СЗИ) типа "Dallas Lock", "Secret Net" и другие, проверка электронного журнала производится в соответствии с прилагаемым к указанным СЗИ Руководством.
7. Если в ходе периодических, плановых или внезапных проверок ИСПДн выявлены случаи несанкционированного доступа к информации конфиденциального характера, то вступает в силу пп. 7, 8 Порядка резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации (Приложение 8).
8. Проверке подлежат все электронные журналы ИСПДн.
9. Проверка должна проводиться не реже чем один раз в неделю с целью своевременного выявления фактов нарушения требований настоящего Положения.
10. Факты проверок электронных журналов отражаются в специальном журнале проверок. После каждой проверки лицо, осуществившее проверку, делает соответствующую отметку в журнале и ставит свою роспись.

2. НАСТРОЙКИ БЕЗОПАСНОСТИ СИСТЕМ АУДИТА

11. Электронные журналы аудита должны записываться и вестись в автоматизированном режиме.
12. Настройки журналов аудита должны однозначно интерпретировать все значимые события ИСПДн.
13. Электронные журналы аудита не должны быть доступны на чтение, уничтожение и модификацию пользователям ИСПДн.
14. Электронные журналы аудита не должны быть доступны на уничтожение и модификацию администраторам ИСПДн.
15. Электронные журналы аудита должны быть доступны на чтение и архивирование работнику, выполняющему функции администратора информационной безопасности.
16. Срок хранения архивных копий электронных журналов аудита должен составлять не менее 5 (пяти) лет.

3. КОНТРОЛЬ

17. Контроль выполнения положений и требований правил работы с электронным журналом обращений пользователей информационной системы к ПДн осуществляет штатный специалист по технической защиты информации и лицо, ответственное за организацию обработки ПДн.





Приложение № 5
к Правилам обработки
персональных данных
в Министерстве финансов
Свердловской области

ПРАВИЛА
ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИИ ОРГАНАМ ГОСУДАРСТВЕННОЙ ВЛАСТИ
И МЕСТНОГО САМОУПРАВЛЕНИЯ, ФИЗИЧЕСКИМ И ЮРИДИЧЕСКИМ ЛИЦАМ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Оператор ПДн должен предоставлять информацию, содержащую ПДн субъекта, третьим лицам только с письменного согласия субъекта ПДн за исключением случаев, предусмотренных частью 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
2. Информация, содержащая ПДн субъекта и предоставляемая третьим лицам, должна быть достоверной и не избыточной, по отношению к целям, заявленным этими лицами, при сборе ПДн.
3. При передаче обработки ПДн другому лицу на основании договора оператор должен зафиксировать в нем обязанность указанного лица в обеспечении конфиденциальности ПДн и безопасности данных при их обработке.

2. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ

4. Трансграничную передачу ПДн министерство не осуществляет.





Приложение № 6
к Правилам обработки
персональных данных
в Министерстве финансов
Свердловской области

ПОРЯДОК
РАБОТЫ ПЕРСОНАЛА ИСПДН В ЧАСТИ ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ПДН ПРИ ИХ ОБРАБОТКЕ В ИСПДН

1. Допуск пользователей для работы на компьютерах информационной системы персональных данных (далее - ИСПДн) осуществляется на основании приказа Министерства финансов Свердловской области (далее - министерство финансов), и список лиц, допущенных к работе в ИСПДн. С целью обеспечения правильного функционирования и контроля за эксплуатацией работы средств защиты информации в ИСПДн Министром финансов назначается администратор информационной безопасности; с целью контроля выполнения необходимых мероприятий по обеспечению безопасности ПДн - ответственный за организацию обработки ПДн.
2. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн. Полномочия пользователей к информационным ресурсам определяются в матрице доступа, утверждаемой Министром финансов. При этом для хранения информации, содержащей ПДн, разрешается использовать только машинные носители информации, учтенные в Журнале учета машинных носителей отдела автоматизации бюджетного процесса.
3. Пользователь несет личную ответственность за правильность включения и выключения средств вычислительной техники (далее - СВТ), входа в систему и все действия при работе в ИСПДн.
4. Вход пользователя в систему может осуществляться по выдаваемому ему электронному идентификатору или по персональному паролю.
5. Запись информации, содержащей ПДн, может осуществляться пользователем на съемные машинные носители информации, соответствующим образом учтенные в Журнале учета машинных носителей.
6. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах ИСПДн в соответствии с Приложением № 2. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями настоящего Положения (Приложение № 2).
7. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:
1) строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;
2) знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах ИСПДн;
3) хранить в тайне свой пароль. В соответствии с пп. 7, 8 Правил парольной защиты и с установленной периодичностью менять свой пароль (Приложение 1);
4) хранить установленным порядком свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);
5) выполнять требования Положения по организации антивирусной защиты в полном объеме.
Обязан немедленно извещать ответственного за организацию обработки ПДн и (или) администратора информационной безопасности о случае утери индивидуального устройства идентификации (ключа) или о подозрении компрометации личных ключей и паролей, а также при обнаружении:
1) нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на составляющих узлах и блоках СВТ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее - НСД) к данным защищаемым СВТ;
2) несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн;
3) отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию СВТ, выхода из строя или неустойчивого функционирования узлов СВТ или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения;
4) некорректного функционирования установленных на компьютеры технических средств защиты;
5) непредусмотренных отводов кабелей и подключенных устройств.
Пользователю категорически запрещается:
1) использовать компоненты программного и аппаратного обеспечения ПЭВМ в неслужебных целях;
2) самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения;
3) осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;
4) записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных машинных носителях информации (гибких магнитных дисках и т.п.);
5) оставлять включенным без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
6) оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);
7) умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации;
8) размещать средства ИСПДн так, чтобы с них существовала возможность визуального считывания информации.
8. Администратор информационной безопасности обязан:
1) знать состав основных и вспомогательных технических систем и средств (далее - ОТСС и ВТСС), установленных и смонтированных в ИСПДн, перечень используемого программного обеспечения (далее - ПО) в ИСПДн;
2) контролировать целостность печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных СВТ и других устройствах;
3) производить необходимые настройки подсистемы управления доступом установленных в ИСПДн СЗИ от НСД и сопровождать их в процессе эксплуатации, при этом:
4) реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.);
5) вводить описания пользователей ИСПДн в информационную базу СЗИ от НСД;
6) своевременно удалять описания пользователей из базы данных СЗИ при изменении списка допущенных к работе лиц;
7) контролировать доступ лиц в помещение в соответствии со списком сотрудников, допущенных к работе в ИСПДн;
8) проводить инструктаж сотрудников - пользователей компьютеров по правилам работы с используемыми техническими средствами и системами защиты информации;
9) контролировать своевременное (не реже чем один раз в течение 360 дней) проведение смены паролей для доступа пользователей к компьютерам и ресурсам ИСПДн;
10) обеспечивать постоянный контроль выполнения сотрудниками установленного комплекса мероприятий по обеспечению безопасности информации в ИСПДн;
11) осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных;
12) настраивать и сопровождать подсистемы регистрации и учета действий пользователей при работе в ИСПДн;
13) вводить в базу данных СЗИ от несанкционированного доступа описания событий, подлежащих регистрации в системном журнале;
14) проводить анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам не реже одного раза в 10 дней;
15) организовывать печать файлов пользователей на принтере и осуществлять контроль соблюдения установленных правил и параметров регистрации и учета бумажных носителей информации. Сопровождать подсистемы обеспечения целостности информации в ИСПДн;
16) периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;
17) восстанавливать программную среду, программные средства и настройки СЗИ при сбоях;
18) вести две копии программных средств СЗИ от НСД и контролировать их работоспособность;
19) контролировать отсутствие на магнитных носителях остаточной информации по окончании работы пользователей;
20) периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядок и правила проведения антивирусного тестирования;
21) проводить работу по выявлению возможных каналов вмешательства в процесс функционирования ИСПДн и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники;
22) сопровождать подсистему защиты информации от утечки за счет побочных электромагнитных излучений и наводок, контролировать соблюдение требований по размещению и использованию технических средств ИСПДн;
23) контролировать соответствие документально утвержденного состава аппаратной и программной части ИСПДн реальным конфигурациям ИСПДн, вести учет изменений аппаратно-программной конфигурации;
24) обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания ИСПДн и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);
25) присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию ИСПДн;
26) вести "Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания СВТ, выполнения профилактических работ, установки и модификации аппаратных и программных средств СВТ";
27) поддерживать установленный порядок проведения антивирусного контроля согласно требованиям настоящего Положения в случае отказа средств и систем защиты информации принимать меры по их восстановлению;
28) докладывать ответственному за организацию обработки ПДн, ответственному за эксплуатацию ИСПДн о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;
29) вести документацию на ИСПДн в соответствии с требованиями нормативных документов.
9. Администратор информационной безопасности и ответственный за организацию обработки ПДн имеют право:
1) требовать от сотрудников - пользователей ИСПДн соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в ИСПДн;
2) инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов ИСПДн;
3) требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
4) участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.





Приложение № 7
к Правилам обработки
персональных данных
в Министерстве финансов
Свердловской области

ПОРЯДОК
РЕЗЕРВИРОВАНИЯ И ВОССТАНОВЛЕНИЯ РАБОТОСПОСОБНОСТИ
ТЕХНИЧЕСКИХ СРЕДСТВ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, БАЗ ДАННЫХ,
ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящий Порядок определяет организацию резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.
2. К использованию, для создания резервной копии в информационной системе персональных данных (далее - ИСПДн), допускаются только зарегистрированные в журнале учета машинные носители.
3. Администратор информационной безопасности обязан осуществлять периодическое резервное копирование информации конфиденциального характера.
4. Носители информации (ЖМД, ГМД, CD-ROM, USB-накопитель, другие), предназначенные для создания резервной копии и хранения конфиденциальной информации, выдаются установленным порядком штатным специалистом по защите информации.
5. Еженедельно, по окончании работы с конфиденциальными документами (содержащими персональные данные) на компьютере, пользователь обязан создавать резервную копию конфиденциальных документов на зарегистрированном носителе (ЖМД, ГМД, CD, DVD-диски, USB-накопитель, другие), создавая тем самым резервный электронный архив конфиденциальных документов.
6. По окончании процедуры резервного копирования электронные носители информации конфиденциального характера хранятся в сейфе или металлическом шкафу пользователя.
7. Перед резервным копированием пользователь или администратор информационной безопасности обязан проверить электронный носитель (ЖМД, ГМД, CD-ROM, USB-накопитель) на отсутствие вирусов.
8. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль.
9. Запрещается запись посторонней информации на электронные носители (ЖМД, ГМД, CD-ROM, USB-накопитель и другие) резервной копии.
10. Порядок создания резервной копии:
1) вставить в компьютер зарегистрированный электронный носитель (ЖМД, ГМД, CD-ROM, USB-накопитель, другие) для резервного копирования;
2) выбрать необходимый каталог (файл) для создания резервного архива;
3) при использовании систем управления базами данных необходимо создать файл с резервной копией защищаемой информации с помощью встроенных средств системы;
4) выполнить процедуру создания резервной копии;
5) произвести копирование на съемный носитель;
6) произвести отключение съемного носителя и, создав необходимые записи в журналах, убрать носитель в хранилище.
11. При восстановлении работоспособности программного обеспечения сначала осуществляется резервное копирование защищаемой информации, затем производится полная деинсталляция некорректно работающего программного обеспечения.
12. Восстановление программного обеспечения производится путем его инсталляции с использованием эталонных дистрибутивов, хранение которых осуществляется штатным специалистом по технической защите информации в специальном хранилище.
13. При необходимости ремонта технических средств с них удаляются опечатывающие пломбы и по согласованию со штатным специалистом по технической защите информации и представителем организации, проводившей аттестацию, оборудование передается в сервисный центр производителя. Ремонт носителей защищаемой информации не допускается. Неисправные носители с защищаемой информацией подлежат уничтожению в соответствии с Порядком уничтожения носителей защищаемой информации. Работа с использованием неисправных технических средств запрещается.
14. При работе на компьютерах ИСПДн рекомендуется использовать источники бесперебойного питания с целью предотвращения повреждения технических средств и защищаемой информации в результате сбоев в сети электропитания.
15. При восстановлении работоспособности средств защиты информации следует выполнить их настройку в соответствии с требованиями безопасности информации, изложенными в техническом задании на создание системы защиты персональных данных. Настройку данных средств должен выполнять штатный специалист по технической защите информации.
16. Восстановление средств защиты информации производится с использованием эталонных сертифицированных дистрибутивов, которые хранятся в хранилище. После успешной настройки средств защиты информации необходимо выполнить резервное копирование настроек данных средств с помощью встроенных в них функций на зарегистрированный носитель.

2. ОТВЕТСТВЕННОСТЬ

17. Ответственность за проведение резервного копирования в ИСПДн в соответствии с требованиями настоящего Положения возлагается на администратора информационной безопасности.
18. Ответственность за проведение мероприятий по восстановлению работоспособности технических средств и программного обеспечения баз данных возлагается на администратора информационной безопасности.
19. Ответственность за проведение мероприятий по восстановлению средств защиты информации (далее - СЗИ) возлагается на штатного специалиста по технической защите информации.





Приложение № 8
к Правилам обработки
персональных данных
в Министерстве финансов
Свердловской области

ПОРЯДОК
КОНТРОЛЯ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПДН И ПРИОСТАНОВКИ
ПРЕДОСТАВЛЕНИЯ ПДН В СЛУЧАЕ ОБНАРУЖЕНИЯ НАРУШЕНИЙ
ПОРЯДКА ИХ ПРЕДОСТАВЛЕНИЯ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Контроль защиты информации в информационной системе персональных данных (далее - ИСПДн) - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения посторонними лицами охраняемых сведений, выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности систем информатизации.

2. КОНТРОЛЬ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПДН

2. Основными задачами контроля являются:
1) проверка организации выполнения мероприятий по защите информации в подразделениях Министерства финансов Свердловской области (далее - Министерства финансов), учета требований по защите информации в разрабатываемых плановых и распорядительных документах;
2) выявление демаскирующих признаков объектов ИСПДн;
3) уточнение зон перехвата обрабатываемой на объектах информации, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
4) проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;
5) проверка выполнения требований по защите ИСПДн от несанкционированного доступа;
6) проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;
7) проверка знаний работников по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места;
8) оперативное принятие мер по пресечению нарушений требований защиты информации в ИСПДн;
9) разработка предложений по устранению или ослаблению демаскирующих признаков и технических каналов утечки информации.
3. Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей в ИСПДн Министерства, и осуществляется по объектовому принципу, при котором на объекте одновременно проверяются все вопросы защиты информации. Перечень каналов утечки устанавливается в соответствии с моделью угроз.
4. В ходе контроля проверяются:
1) соответствие руководящим документам по обеспечению безопасности персональных данных (далее - ОБ ПДн);
2) своевременность и полнота выполнения требований настоящего Положения и других руководящих документов ОБ ПДн;
3) полнота выявления демаскирующих признаков охраняемых сведений об объектах защиты и возможных технических каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
4) эффективность применения организационных и технических мероприятий по защите информации;
5) устранение ранее выявленных недостатков.
Кроме того, могут проводиться необходимые измерения и расчеты приглашенными для этих целей специалистами организации, имеющей соответствующие лицензии ФСТЭК России.
5. Основными видами технического контроля являются визуально-оптический контроль, контроль эффективности защиты информации от утечки по техническим каналам, контроль несанкционированного доступа к информации и программно-технических воздействий на информацию.
6. Полученные в ходе ведения контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. При обнаружении нарушений норм и требований по защите информации штатный специалист по технической защите информации докладывает заместителю министра, ответственному за руководство работами по защите информации в министерстве и лицу ответственному за обработку ПДн, для принятия ими решения о прекращении обработки информации и проведения соответствующих организационных и технических мер по устранению нарушения. Результаты контроля защиты информации оформляются актами либо в соответствующих журналах учета результатов контроля, являющихся приложением к техническим паспортам объектов информатизации.
7. Невыполнение предписанных в настоящем Положении мероприятий по защите ПДн, считается предпосылкой к утечке информации (далее - предпосылка).
По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований заместитель министра, ответственного за руководство работами по защите информации в министерстве, вносит на рассмотрению Министра финансов предложение о проведении расследования в отношении соответствующего инцидента.
Для проведения расследования приказом Министерства назначается комиссия, в состав которой обязательно входит администратор информационной безопасности, лицо, ответственное за обработку ПДн. Комиссия обязана установить, имела ли место утечка сведений и обстоятельства, ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению. После окончания расследования Министр принимает решение о наказании виновных лиц и необходимых мероприятиях по устранению недостатков.
8. Контроль состояния защищенности информации осуществляется путем проведения периодических, плановых и внезапных проверок объектов информатизации. Периодические, плановые и внезапные проверки объектов информатизации министерства проводятся штатным специалистом по технической защите информации в соответствии с утвержденным планом или внепланово по согласованию с министром.
9. Одной из форм контроля защиты информации является обследование объектов ИСПДн. Оно проводится не реже одного раза в год рабочей группой в составе администратора информационной безопасности, штатного специалиста по защите информации, ответственного за эксплуатацию объекта информатизации, и лица, ответственного за организацию обработки ПДн. Для обследования ИСПДн может привлекаться организация, имеющая лицензию ФСТЭК России на деятельность по технической защите информации.
10. Обследование ИСПДн проводится с целью определения соответствия помещений, технических и программных средств требованиям по защите информации, установленным в "Аттестате соответствия".
11. В ходе обследования проверяется:
1) соответствие текущих условий функционирования обследуемой ИСПДн условиям, сложившимся на момент проверки;
2) соблюдение организационно-технических требований помещений, в которых располагается ИСПДн;
3) сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;
4) соответствие принятых на ИСПДн мер по защите информации данным, изложенным в настоящем Положении;
5) выполнение требований по защите информационных систем от несанкционированного доступа;
6) выполнение требований по антивирусной защите.

13. Государственный контроль состояния защиты информации осуществляется Федеральной службы по техническому и экспортному контролю России и Федеральной службой безопасности России в рамках их полномочий в соответствии с действующим законодательством Российской Федерации. Доступ представителей указанных федеральных органов исполнительной власти на объекты для проведения проверки, а также к работам и документам в объеме, необходимом для осуществления контроля, обеспечивается в установленном порядке по предъявлении служебного удостоверения сотрудника, а также документа установленной формы на право проведения проверки.

3. КЛАССИФИКАЦИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

14. Нарушения режима информационной безопасности и их последствия классифицируются по значимости на:
1) Нарушения I категории;
2) Нарушения II категории;
3) Нарушения III категории.
15. Сотрудники, допустившие нарушения режима информационной безопасности, привлекаются к административной ответственности в установленном порядке.

4. ПЕРЕЧЕНЬ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

16. Инциденты I категории, к каковым относятся нарушения, повлекшие за собой разглашение (утечку) защищаемых ПДн и/или утрату содержащих их отчуждаемых носителей, уничтожение (искажение) ИСПДн, выведение из строя технических и программных средств, а именно:
1) подбор административного пароля (успешный);
2) несанкционированная реконфигурация параметров ИСПДн;
3) утрата или кража резервной копии базы ПДн;
4) необоснованная передача массивов ПДн;
5) умышленное нарушение работоспособности ИСПДн;
6) несанкционированный доступ к ПДн ИСПДн;
7) несанкционированное внесение изменений в ИСПДн;
8) умышленное заражение компьютеров и серверов ИСПДн вирусами;
9) проведение работ с ИСПДн, повлекшее за собой необратимую потерю данных;
10) другие действия, подпадающие под действия статей 272, 273, 274 УК РФ.
17. Инциденты II категории, к каковым относятся: нарушения, в результате которых возникают предпосылки к разглашению (утечке) защищаемых ПДн, утрату содержащих их отчуждаемых носителей, уничтожение (искажение) ИСПДн, выведение из строя технических и программных средств, а именно:
1) ошибка при входе в ИСПДн (набор не назначенного пароля, более трех раз подряд, периодически);
2) несанкционированное (неоднократное) оставление включенного ПК;
3) перезагрузка компьютера, при сбоях в работе ПК (неоднократная), в т.ч. аварийная (неоднократная) перезагрузка, путем нажатия кнопки RESET;
4) утрата учтенного отчуждаемого съемного носителя;
5) попытка входа под чужим именем, паролем, многократная неудачная;
6) попытка входа под чужим именем, паролем, удачная;
7) несанкционированная очистка журналов аудита;
8) несанкционированное копирование ПДн на внешние носители;
9) несанкционированная установка (удаление) ПО ИСПДн;
10) несанкционированное изменение конфигурации ПО ИСПДн;
11) попытка получения прав администратора на локальном ПК (увеличения собственных прав, получение прав на отладку программ) удачная и неудачная;
12) попытка получения прав администратора в домене или на удаленной машине удачная и неудачная;
13) неумышленное заражение локального или сетевого ПК компьютерными вирусами;
14) несанкционированное использование сканирующего ПО;
15) несанкционированное использование анализаторов протоколов (снифферов);
16) несанкционированный просмотр, вывод на печать и т.п. ПДн.
18. Инциденты III категории, к каковым относятся нарушения, не несущие признаков нарушений I и II категорий, а именно:
1) ошибка при входе в ИСПДн (набор неправильного пароля, сетевого имени более трех раз подряд, не периодическая);
2) попытка неудачного доступа к ПДн ИСПДн (периодическая);
3) перевод времени на ПК;
4) выполнение собственных производственных обязанностей на компьютере в неразрешенное время;
5) перезагрузка компьютера, при сбоях в работе ПК (однократная), в т.ч. аварийная перезагрузка, путем нажатия кнопки RESET;
6) нецелевое использование корпоративных ресурсов (печать, Internet, mail, и т.п.).

5. ДЕЙСТВИЯ РАБОТНИКОВ В СЛУЧАЕ ОБНАРУЖЕНИЯ НАРУШЕНИЙ

19. Работник, обнаруживший нарушения при работе с ПДн, обязан сообщить об этом лицу, ответственному за обработку ПДн.
20. Лицо, ответственное за организацию обработки ПДн в ИСПДн оператора, обязано:
1) установить категорию выявленного нарушения;
2) при установлении I или II категории нарушения инициировать проведение расследования;
3) оповестить все отделы и сотрудников, работающих с ПДн, о прекращении доступа к ресурсам ИСПДн на время проведения служебной проверки.
21. Все структурные подразделения и работники, работающие с ПДн, обязаны:
1) временно (на время проведения служебной проверки) приостановить свою деятельность по работе с ИСПДн;
2) содействовать проведению служебной проверки.
22. Работа с ПДн может возобновляться только после устранения всех выявленных нарушений, их последствий.
23. Информация о возможности возобновления работы с ИСПДн должна доводиться до всех заинтересованных структурных подразделений лицом, установившим запрет на работы в ИСПДн.





Приложение № 9
к Правилам обработки
персональных данных
в Министерстве финансов
Свердловской области

ПОРЯДОК
ОБУЧЕНИЯ ПЕРСОНАЛА ПРАКТИКЕ РАБОТЫ В ИСПДН В ЧАСТИ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Перед началом работы в информационной системе персональных данных (далее - ИСПДн) пользователи должны ознакомиться с инструкциями по использованию программных и технических средств, по использованию средств защиты информации под роспись.
2. Пользователи должны продемонстрировать администратору информационной безопасности или штатному специалисту по защите информации наличие необходимых знаний и умений для выполнения требований настоящего Положения. Администратор информационной безопасности должен вести журнал первичного инструктажа сотрудников.
3. Пользователи, демонстрирующие недостаточные знания и умения для обеспечения безопасности персональных данных, к работе в ИСПДн не допускаются.
4. Ответственным за организацию обучения и оказание методической помощи в Министерстве финансов Свердловской области является лицо, ответственное за организацию обработки ПДн.
5. Для проведения занятий, семинаров и совещаний могут привлекаться специалисты по программному и техническому обеспечению, а также специалисты органов по аттестации объектов ИСПДн, организаций-лицензиатов ФСТЭК России и ФСБ России.
6. К работе в ИСПДн допускаются только сотрудники прошедшие первичный инструктаж по обеспечению безопасности персональных данных (далее - ОБ ПДн) в ИСПДн и показавшие твердые теоретические знания и практические навыки, о чем делается соответствующая запись в Журнале учета первичного инструктажа сотрудников.
7. Администратор информационной безопасности должен иметь профильное образование (либо дипломы о повышении квалификации) в области защиты информации.





Приложение № 10
к Правилам обработки
персональных данных
в Министерстве финансов
Свердловской области

ПОРЯДОК
СТИРАНИЯ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ И УНИЧТОЖЕНИЯ
НОСИТЕЛЕЙ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ

1. В обязательном порядке уничтожению подлежат поврежденные, выводимые из эксплуатации носители, содержащие защищаемую информацию, использование которых не предполагается в дальнейшем. Стиранию подлежат носители, содержащие защищаемую информацию, которые выводятся из эксплуатации в составе информационной системы персональных данных (далее - ИСПДн). Не допускается стирание неисправных носителей и передача их в сервисный центр для ремонта. Такие носители должны уничтожаться в соответствии с настоящим Порядком.
2. Стирание должно производиться по технологии, предусмотренной для данного типа носителя, с применением сертифицированных средств гарантированного уничтожения информации (допускается задействовать механизмы затирания встроенные в сертифицированные средства защиты информации).
3. Уничтожение носителей производится путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления информации (перед уничтожением, если носитель исправен, должно быть произведено гарантирование стирание информации на носителе). Непосредственные действия по уничтожению конкретного типа носителя должны быть достаточны для исключения возможности восстановления информации.
4. Бумажные и прочие сгораемые носители (конверты с неиспользуемыми более паролями) уничтожают путем сжигания или с помощью любых бумагорезательных машин.
5. По факту уничтожения или стирания носителей составляется акт, в журналах учета делаются соответствующие записи.
6. Процедуры стирания и уничтожения осуществляются комиссией, в которую входят: ответственный за эксплуатацию ИСПДн, лицо, ответственное за обработку ПДн, администратор информационной безопасности.





Приложение № 11
к Правилам обработки
персональных данных
в Министерстве финансов
Свердловской области

ПОРЯДОК
ОХРАНЫ И ДОПУСКА ПОСТОРОННИХ ЛИЦ В ЗАЩИЩАЕМЫЕ ПОМЕЩЕНИЯ

1. Настоящий Порядок устанавливает порядок охраны (сдачи под охрану) защищаемых помещений ИСПДн.
2. Вскрытие и закрытие помещений осуществляется сотрудниками, работающими в данных помещениях.
Список сотрудников, имеющих право вскрывать (сдавать под охрану) и опечатывать помещения, утверждается министром и передается на пост охраны.
3. При отсутствии сотрудников, ответственных за вскрытие (сдачу под охрану) помещений, данные помещения могут быть вскрыты комиссией, созданной на основании приказа, о чем составляется акт.
4. При закрытии помещений и сдачей их под охрану сотрудники, ответственные за помещения, проверяют закрытие окон, выключают освещение, бытовые приборы, оргтехнику и проверяют противопожарное состояние помещения, а документы и носители информации, на которых содержится конфиденциальная информация, убираются для хранения в опечатываемый сейф (металлический шкаф).
5. Помещение сдается под охрану следующим образом:
1) опечатывается помещение и пенал с ключами;
2) получается подтверждение от охранника о включении сигнализации и постановке помещения под охранную сигнализацию;
3) факт опечатывания помещения подтверждается охранником;
4) сдается помещение и опечатанный пенал с ключами, под роспись с указанием даты и времени сдачи под охрану.
6. Сотрудник, имеющий право на вскрытие помещений:
1) получает на посту охраны пенал с ключами от помещения под роспись в Журнале с указанием даты и времени;
2) проверяет целостность оттиска печати на пенале;
3) производит запись в Журнале о вскрытии помещения с указанием фамилии и времени;
4) производит проверку оттиска печати на двери помещения и исправность запоров;
5) вскрывает помещение.
7. При обнаружении нарушений целостности оттисков печатей, повреждения запоров или наличия других признаков, указывающих на возможное проникновение в помещение посторонних лиц, помещение не вскрывается, а составляется акт, в присутствии охранника. О происшествии немедленно сообщается начальнику структурного подразделения, в котором находится объект информатизации, и лицу, ответственному за обработку ПДн.
Одновременно принимаются меры по охране места происшествия и до прибытия должностных лиц в помещение никто не допускается.
8. Лицо, ответственное за обработку ПДн, и администратор информационной безопасности организуют проверку ИСПДн на предмет несанкционированного доступа к конфиденциальной информации и наличие документов и машинных носителей информации.
9. При срабатывании охранной сигнализации в служебных помещениях в нерабочее время охранник сообщает о случившемся ответственному за помещение и штатному специалисту по защите информации, лицу, ответственному за организацию обработки ПДн, или администратору информационной безопасности. Помещения вскрывать запрещается.
10. Помещения вскрываются ответственным за помещение или руководителем, или ответственным за организацию обработки ПДн, в присутствии сотрудника охраны с составлением акта.
11. При передаче дежурства, если помещение в течение дня не вскрывалось, а также в выходные и праздничные дни принимающая дежурство смена поста охраны проверяет целостность печатей на дверях и пенале с ключами с отражением в "Журнале приема и сдачи дежурства", "Журнале выдачи и приема ключей от кабинетов Министерства финансов" и "Журнале выдачи пеналов".
12. В соответствии с требованиями настоящего Порядка при обработке защищаемой информации в ИСПДн исключить неконтролируемое пребывание посторонних лиц в пределах границ контролируемой зоны ИСПДн, определенных соответствующим приказом.





Приложение № 2
к Приказу
Министерства финансов
Свердловской области
от 20 марта 2014 г. № 145

ТИПОВАЯ ФОРМА
ЖУРНАЛА УЧЕТА НЕШТАТНЫХ СИТУАЦИЙ ИСПДН, ВЫПОЛНЕНИЯ
ПРОФИЛАКТИЧЕСКИХ РАБОТ, УСТАНОВКИ И МОДИФИКАЦИИ
ПРОГРАММНЫХ СРЕДСТВ НА КОМПЬЮТЕРАХ ИСПДН

№ п/п
Дата
Краткое описание выполненной работы (нештатной ситуации)
Ф.И.О. исполнителей и их подписи
Ф.И.О. ответственного за эксплуатацию ПЭВМ, подпись
Подпись специалиста по защите информации
Примечание (ссылка на заявку)
1
2
3
4
5
6
7
















------------------------------------------------------------------