Приказ Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. N П/31 "Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Федеральной службе государственной регистрации, кадастра и картографии"
В целях обеспечения безопасности персональных данных при обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии, а также выполнения требований Федерального закона от 27.06.2006 N 152-ФЗ "О персональных данных" приказываю:
1. Утвердить прилагаемое Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии (далее - Положение).
2. Начальникам структурных подразделений центрального аппарата Росреестра, руководителям территориальных органов Росреестра обеспечить реализацию Положения.
3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Д.А. Солодовникова.
| Руководитель | Н.Н. Антипина |
Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Федеральной службы государственной регистрации, кадастра и картографии (утв. приказом Федеральной службы государственной регистрации, кадастра и картографии от 29 января 2013 г. N П/31)
Термины и определения
| Автоматизированная система | - | Система, состоящая из работников и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций |
| Администратор безопасности информации (администратор безопасности) | - | Работник Отдела информационной безопасности Росреестра (работники, назначенные приказом руководителя Росреестра/территориального органа Росреестра), ответственный за защиту информационных систем персональных данных от несанкционированного доступа к информации |
| Администратор информационной системы персональных данных | - | Администратор автоматизированной системы, администратор локальной вычислительной сети, администратор баз данных, администратор информационного ресурса - ответственный за функционирование информационной системы персональных данных в установленном штатном режиме работы (работники назначенные приказом руководителя Росреестра/территориального органа Росреестра) |
| Блокирование персональных данных | - | Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) |
| Обладатель информации (информационного ресурса) | - | Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Структурное подразделение Росреестра, реализующее полномочия владения, пользования и распоряжения информацией в соответствии со своими функциями и задачами. Обладатель устанавливает в пределах своей компетенции режим и правила обработки информации, защиты информационного ресурса, доступа к информационному ресурсу, условия копирования и тиражирования информационного ресурса (в распоряжении на создание информационного ресурса или в виде отдельных регламентов) |
| Доступ к информации | - | Возможность получения информации и ее использования |
| Информационная система персональных данных (ИСПДн) | - | Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств |
| Инцидент информационной безопасности | - | Появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности (отказ в обслуживании, сбор информации, несанкционированный доступ и т.д.) |
| Контролируемая зона | - | Пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание работников и посетителей организации, а также транспортных, технических и иных материальных средств |
| Конфиденциальность персональных данных | - | Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания |
| Несанкционированный доступ (несанкционированные действия) | - | Доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам |
| Обработка персональных данных | - | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных |
| Оператор | - | Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (в настоящем Положении - Росреестр) |
| Организационно-распорядительная документация ИСПДн | - | Документация, регламентирующая деятельность работников в области защиты персональных данных, а также требования к ИСПДн в соответствии с требованиями законодательства Российской Федерации |
| Персональные данные | - | Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) |
| Предоставление персональных данных | - | Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц |
| Распространение персональных данных | - | Действия, направленные на раскрытие персональных данных неопределенному кругу лиц |
| Руководящие документы по безопасности информации | - | Нормативно-правовые и методические документы ФСТЭК и ФСБ России, регулирующие деятельность в области защиты информации |
| Технические средства, позволяющие осуществлять обработку персональных данных | - | Средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационной системе |
| Субъект доступа (субъект) | - | Лицо или процесс, действия которого регламентируются правилами разграничения доступа |
| Угроза безопасности персональных данных | - | Совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных |
| Уничтожение персональных данных | - | Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных |
Перечень сокращений
| АРМ | - | автоматизированное рабочее место |
| АС | - | автоматизированная система |
| ЗИ | - | защита информации |
| ИБ | - | информационная безопасность |
| ИР | - | информационный ресурс |
| ИС | - | информационная система |
| ИСПДн | - | информационная система персональных данных |
| ИТ | - | информационная технология |
| МЭ | - | межсетевой экран |
| НСД | - | несанкционированный доступ |
| ОС | - | операционная система |
| ПДн | - | персональные данные |
| ПО | - | программное обеспечение |
| Подразделение ИБ | - | подразделение центрального аппарата/территориального органа Росреестра, отвечающее за обеспечение информационной безопасности |
| Подразделение ИТ | - | подразделение центрального аппарата/территориального органа Росреестра |
| Положение | - | Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра |
| СВТ | - | средство вычислительной техники |
| СЗИ | - | средство защиты информации |
| СЗПДн | - | система защиты персональных данных |
| СКЗИ | - | средство криптографической защиты информации |
| СТР-К | - | "Специальные требования и рекомендации по технической защите конфиденциальной информации", утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. N 282 |
| ТС | - | техническое средство |
| Росреестр | - | Федеральная служба государственной регистрации, кадастра и картографии |
| Территориальные органы Росреестра | - | территориальные органы Федеральной службы государственной регистрации, кадастра и картографии по субъектам Российской федерации |
| ФСБ | - | Федеральная служба безопасности |
| ФСТЭК | Федеральная служба по техническому и экспортному контролю |
1. Общие положения
Настоящее Положение регламентирует вопросы обеспечения безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) в Росреестре и его территориальных органах и определяет порядок организации работ по созданию и эксплуатации системы защиты персональных данных (СЗПДн).
Настоящее Положение разработано на основании следующих основных нормативных правовых актов и документов в области обеспечения безопасности ПДн:
- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (в редакции от 25.07.2011 N 261-ФЗ);
- постановление Правительства Российской Федераций от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановление Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствий с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 5.02.2010 N 58;
- Порядок проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20 (зарегистрирован в Минюсте России 3.04.2008, регистрационный N 11462);
- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 N 282.
Действие настоящего Положения не распространяется на вопросы, связанные с обработкой ПДн, осуществляемой без использования средств автоматизации. Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Росреестра, определяются в отдельном документе с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15.09.2008 N 687.
2. Порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн
Под организацией работ по обеспечению безопасности ПДн при их обработке в ИСПДн понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла ИСПДн, согласованных по цели, задачам, месту и времени, направленных на предотвращение (нейтрализацию) и парирование угроз безопасности ПДн в ИСПДн, восстановление нормального функционирования ИСПДн после нейтрализации угрозы с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.
Организация работ по защите ПДн предусматривает формирование:
- перечня ПДн, обрабатываемых в информационных системах (ИС) Росреестра;
- порядка классификации ИС Росреестра как ИСПДн;
- порядка разработки, ввода в действие и эксплуатации ИСПДн в части реализации мероприятий по обеспечению безопасности ПДн;
- порядка взаимодействия между ответственными за обеспечение безопасности ПДн и эксплуатирующими подразделениями (администраторами) по вопросам обеспечения безопасности ПДн;
- порядка привлечения структурных подразделений Росреестра и специализированных сторонних организаций к разработке и эксплуатации СЗПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн в соответствии с требованиями Руководящих документов по безопасности с учетом механизмов, предусмотренных Федеральным законом от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд";
- ответственности должностных лиц за обеспечение безопасности ПДн, своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн;
- порядка контроля обеспечения требуемого уровня защищенности ПДн.
Согласование подключений сторонних организаций к сети Росреестра осуществляется после согласования схемы подключения центральным аппаратом Росреестра, подписания лицензионного договора на использование ПК ПВД между Росреестром и сторонней организацией и соглашения о взаимодействии между такой сторонней организацией, территориальным органом Росреестра и филиалом федерального государственного бюджетного учреждения "Федеральная кадастровая палата Федеральной службы государственной регистрации, кадастра и картографии" по субъекту Российской Федерации.
Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн ответственным за обеспечение безопасности ПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается специалист по информационной безопасности (отдел) (далее -подразделение информационной безопасности (ИБ).
Непосредственно исполнение работ по защите информации (ПДн) в ИСПДн с использованием средств автоматизации возлагается на начальников соответствующих структурных подразделений центрального аппарата Росреестра и территориальных органов Росреестра, ответственных за развитие и использование (эксплуатацию) ИСПДн Росреестра.
Для проведения классификации ИСПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается специальная внутренняя комиссия (рабочая группа). В состав этой комиссии (группы) включаются представители подразделения ИБ, правового обеспечения, должностные лица - обладатели информационных ресурсов ИСПДн.
Для придания необходимого статуса рабочей группе могут издаваться соответствующие распоряжения руководителя Росреестра/территориального органа Росреестра, в которых, в частности, даются указания всем начальникам структурных подразделений центрального аппарата Росреестра/территориального органа Росреестра об оказании содействия и необходимой помощи в работе комиссии (рабочей группе) при проведении работ. Для оказания помощи на время работы группы в подразделениях начальниками этих структурных подразделений выделяются работники, владеющие детальной информацией по вопросам обработки ПДн в данных подразделениях.
Проведение предпроектного обследования ИСПДн, разработка и реализация СЗПДн могут осуществляться как работниками центрального аппарата/территориального органа Росреестра (специалистами по информационной безопасности и информационным технологиям центрального аппарата/территориального органа Росреестра), так и на договорной основе с другими специализированными организациями, имеющими соответствующие лицензии на деятельность по технической защите конфиденциальной информации, по согласованию с Росреестром результатов работ данными организациями в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд". Научно-техническое и методическое руководство, непосредственная организация работ по созданию (модернизации) СЗПДн и контроль за эффективностью использования предусмотренных мер возлагается на специалиста по информационной безопасности (подразделение ИБ) в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
В случае разработки СЗПДн или ее отдельных компонентов специализированными организациями подразделение ИБ отвечает за организацию и проведение мероприятий по защите информации. Разработка, внедрение и эксплуатация СЗПДн осуществляются во взаимодействии разработчика с подразделением ИБ.
Контроль за реализацией проектных решений возлагается на заместителя руководителя Росреестра и заместителей руководителя территориального органа Росреестра, отвечающих за ИТ.
2.1. Порядок определения защищаемой информации и классификации ИСПДн
Внутренней комиссией (рабочей группой)*(1), образованной приказом Росреестра (территориального органа Росреестра), для каждой ИСПДн определяется перечень ПДн, уточняются цели и основание обработки ПДн, а также срок хранения и условия прекращения обработки.
Целью классификации ИС Росреестра как ИСПДн является определение по её результатам перечня обоснованных организационных и технических мероприятий, позволяющих выполнить требования по обеспечению безопасности ПДн с учётом особенностей конкретной ИСПДн. Классификация может проводиться на этапе создания ИС или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИС).
Классификация ИСПДн осуществляется в соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
Классификация ИСПДн проводится внутренней комиссией (рабочей группой) и включает в себя следующие этапы:
- сбор и анализ исходных данных по ИС;
- присвоение ИС соответствующего класса и его документальное оформление.
При проведении классификации ИСПДн внутренней комиссией (рабочей группой) определяется:
- заданные оператором (Росреестр) характеристики безопасности ПДн, обрабатываемых в ИС;
- структура ИС;