- участвует в организации работ по выявлению актуальных угроз безопасности ПДн;
- осуществляет методическое руководство и участвует в разработке (согласовании) конкретных требований по защите ПДн и разработке технического (частного технического) задания на создание СЗПДн;
- согласовывает выбор конкретных средств обработки ПДн, технических и программных средств защиты;
- осуществляет контроль реализации проектных решений на создание СЗПДн;
- участвует в организации работ по оценке соответствия ИСПДн предъявляемым требованиям по обеспечению безопасности ПДн;
- участвует в организации разработки организационно-распорядительной документации по защите информации в ИСПДн;
- проводит контроль требуемого уровня обеспечения защищенности ПДн при эксплуатации СЗПДн, в том числе контроль соблюдения условий использования СЗИ;
- участвует в организации обучения должностных лиц Росреестра и территориальных органов Росреестра, ответственных за эксплуатацию СЗИ, по направлению обеспечения безопасности ПДн;
- участвует в организации охраны и физической защиты помещений Росреестра и территориальных органов Росреестра, в которых размещаются средства обработки ПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;
- оказывает методическую помощь должностным лицам территориально удаленных подразделений территориальных органов Росреестра, назначенным ответственными за обеспечение безопасности ПДн.
Подразделение ИТ разрабатывает правила работы с информацией, техническими средствами и правила использования ПДн в соответствии с возможностями, функциями, предназначением и степени защищенности этих средств, ресурсов и требованиям к защите и доступности ПДн, осуществляет предоставление ИТ-сервисов всем структурным подразделениям Росреестра и его территориальных органов, отвечает за их целостность и доступность, обеспечивает разграничение доступа к ПДн в процессе их использования, контроль над ходом информационных процессов.
Привлечение для разработки СЗПДн или ее отдельных компонентов сторонних специализированных организаций осуществляется в соответствии с порядком, устанавливаемым нормативными и организационно-распорядительными документами ФСТЭК и ФСБ России.
В случае привлечения для обеспечения безопасности ПДн сторонних специализированных организаций в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд" рекомендуется выполнение следующих условий:
- наличие у организации лицензии на право проведения работ по технической защите конфиденциальной информации;
- оформление соглашения о неразглашении конфиденциальных сведений;
- проведение инструктажа исполнителей работ по вопросам ИБ;
- другие условия, устанавливаемые соответствующими нормативными и организационно-распорядительными документами.
При привлечении сторонних специализированных организаций работникам следует учитывать следующие функции в техническом задании:
а) на предпроектной стадии:
- уточнение перечня ПДн, подлежащих защите;
- определение условий расположения ИСПДн относительно границ контролируемой зоны;
- определение конфигурации и топологии ИСПДн в целом, и ее отдельных компонент, физические, функциональные и технологические связи как внутри ИСПДн, так и с другими системами различного назначения;
- определение технических средств и систем, включаемых в состав ИСПДн, условий их расположения, общесистемных и прикладных программных средств;
- определение режимов обработки ПДн в ИСПДн;
- разработка предложений по уточнению класса защищенности ИСПДн;
- уточнение степени участия работников в обработке ПДн, характера их взаимодействия между собой;
- определение (уточнение) угроз безопасности ПДн с учётом конкретных условий функционирования ИСПДн, разработка проекта частной модели угроз;
- участие в разработке (согласовании) конкретных требований по защите ПДн и разработке технического (частного технического) задания на создание СЗПДн.
б) на стадии проектирования:
- разработка технического проекта на создание СЗПДн в соответствии с требованиями Руководящих документов ФСТЭК России и ФСБ России;
- монтажные работы в соответствии с проектной документацией;
- использование сертифицированных технических, программных и программно-технических СЗИ и их установка;
- организация сертификации по требованиям безопасности информации программных СЗИ в случае, когда на рынке отсутствуют требуемые сертифицированные СЗИ;
- разработка разрешительной системы доступа пользователей к ПДн, обрабатываемым в ИСПДн;
- разработка (в согласованном объеме) эксплуатационной документации на СЗПДн.
в) на стадии ввода СЗПДн в эксплуатацию:
- установка СЗИ;
- предварительные испытания и опытная эксплуатация СЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;
- приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;
- оценка соответствия ИСПДн требованиям безопасности ПДн.
3. Основные требования и правила по обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра
Обеспечение безопасности ПДн при их обработке в ИСПДн Росреестра достигается применением организационных и технических мер, причем в интересах обеспечения безопасности в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации.
Основными направлениями защиты информации (ПДн) являются:
- обеспечение защиты информации (ПДн) от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет несанкционированного доступа (НСД) и специальных воздействий;
- обеспечение защиты информации (ПДн) от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
Основными мерами защиты информации (ПДн) являются:
- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к ИР, ИС и связанным с ее использованием работам, документам;
- ограничение доступа пользователей в помещения, где размещены технические средства (ТС), позволяющие осуществлять обработку ПДн, а также хранятся носители информации;
- разграничение доступа пользователей и обслуживающего персонала к ИР, программным средствам обработки (передачи) и защиты информации;
- регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа (НСД) и действий пользователей, обслуживающего персонала и посторонних лиц;