- наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена;
- режим обработки ПДн;
- режим разграничения прав доступа пользователей ИС;
- местонахождение технических средств ИС.
В случае выделения в составе ИС подсистем, каждая из которых является ИС, ИС в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем, если данные ИС не разделены между собой МЭ.
Предложения комиссии (рабочей группы) по отнесению ИС к определенному классу согласовываются с оператором информационных ресурсов (ИР) ИСПДн.
Результаты классификации ИСПДн Росреестра оформляются актом, утверждаемым руководителем Росреестра/территориального органа Росреестра, в соответствии с Приложением N 1 к Специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К), утвержденным приказом Гостехкомиссии России от 30.08.2002 N 282. Сформированные по результатам классификации материалы являются неотъемлемой частью организационно-распорядительной документации ИСПДн и относятся к информации конфиденциального характера. Оригиналы организационно-распорядительной документации ИСПДн хранятся у лица, ответственного за организацию работ по защите ПДн.
Класс ИСПДн может быть пересмотрен комиссией (рабочей группой) в установленном порядке в соответствии с требованиями приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных" в следующих случаях:
- на основе результатов проведенного анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИС;
- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в ИС.
2.2. Порядок разработки, ввода в действие и эксплуатации СЗПДн
Предусматриваются следующие стадии разработки и сопровождения СЗПДн:
- предпроектная стадия;
- стадия проектирования (разработки проектов) и реализации ИСПДн;
- стадия ввода в действие СЗПДн.
2.2.1. Предпроектная стадия
На предпроектной стадии проводится предпроектное обследование ИСПДн и разработка технического (частного технического) задания на создание СЗПДн.
Выполнение данных работ может осуществляться на договорной основе специализированной сторонней организацией в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд", имеющей соответствующую лицензию на деятельность по технической защите конфиденциальной информации.
Условия соблюдения конфиденциальности специалистами привлекаемой специализированной сторонней организации при проведении работ оформляются в рамках государственного контракта в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд".
2.2.1. Стадия проектирования и реализации СЗПДн
Проектирование (разработка проектов) и реализация СЗПДн проводится на основании требований, изложенных в техническом (частном техническом) задании на разработку СЗПДн, а также в соответствии с требованиями приказа Росреестра от 14.06.2011 N П/217 "Об утверждении порядка организации процессов жизненного-цикла программных средств информационных систем и информационных технологий Федеральной службы государственной регистрации, кадастра и картографии". Выбор исполнителя для разработки проекта (или раздела проекта) на создание СЗПДн в составе ИСПДн осуществляется руководителем подразделения ИБ и утверждается руководителем Росреестра/территориального органа Росреестра.
При разработке СЗПДн в составе ИСПДн проводятся следующие мероприятия:
- разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
- разработка раздела технического проекта на ИСПДн в части защиты информации;
- проведение строительно-монтажных работ в соответствии с проектной документацией;
- использование серийно выпускаемых технических средств обработки, передачи и хранения информации;
- разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
- использование сертифицированных технических, программных и программно-технических СЗИ и их установка;
- сертификация по требованиям безопасности информации программных СЗИ в случае, если на рынке отсутствуют требуемые сертифицированные СЗИ;
- разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;
- определение подразделений и назначение лиц, ответственных за эксплуатацию СЗИ, с их обучением по направлению безопасности ПДн;
- разработка рабочей, эксплуатационной документации на СЗПДн, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
- выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.
Проектная документация подлежит согласованию с начальником Отдела ИБ Росреестра/территориального органа Росреестра.
2.2.2. Стадия ввода в действие СЗПДн
На стадии ввода в действие СЗПДн выполняются следующие мероприятия:
- опытная эксплуатация средств защиты в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки технологического процесса обработки (передачи) информации;
- приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;
- организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;
- оценка соответствия ИСПДн требованиям безопасности ПДн.
Ввод в эксплуатацию СЗПДн осуществляется на основании приказа руководителя Росреестра/территориального органа Росреестра, который издается на основании положительных результатов оценки соответствия ИСПДн Росреестра/территориального органа Росреестра требованиям безопасности ПДн.
Эксплуатация СЗПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требований и положений, изложенных в настоящем документе.
При определении порядка проведения технического обслуживания и ремонтных работ в СЗПДн учитывается требование исполнения данных работ только уполномоченными работниками Росреестра/территориального органа Росреестра (или в их присутствии), назначенными ответственными за обслуживание (сопровождение) СЗПДн.
Все процедуры, связанные с изменением конфигурации СЗПДн, проведением технического обслуживания и ремонтных работ на технических средствах СЗПДн предусматривают документирование объемов и сроков выполненных работ, а также лиц (организаций), проводивших эти работы.
2.3. Порядок привлечения структурных подразделений Росреестра и специализированных сторонних организаций к разработке и эксплуатации ИСПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн
Для организации и обеспечения безопасности ПДн при их обработке в ИСПДн ответственным структурным подразделением за обеспечение безопасности ПДн соответствующим приказом руководителя Росреестра/территориального органа Росреестра назначается подразделение ИБ Росреестра. В территориальных органах Росреестра ответственными за обеспечение безопасности ПДн назначаются подразделения ИБ.
Подразделение ИБ обеспечивает методическое руководство, разработку требований к мерам защиты ИСПДн Росреестра/территориального органа Росреестра и контроль за эффективностью использования предусмотренных мер защиты информации.
Подразделение ИБ обеспечивает подготовку предложений по совершенствованию и реализации положений Политики безопасности информации и контролирует выполнение установленных требований в структурных подразделениях Росреестра и территориальных органов Росреестра.
Подразделение ИБ осуществляет следующие основные функции:
- разрабатывает предложения по определению класса защищенности объектов ИСПДн и автоматизированной системы (АС);