- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
- резервирование ТС, дублирование массивов и носителей информации;
- использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия требованиям безопасности информации;
- использование защищенных каналов связи;
- размещение ТС, позволяющих осуществлять обработку ПДн в пределах охраняемой территории;
- использование ТС, удовлетворяющих требованиям стандартов по электромагнитной совместимости, безопасности, санитарным нормам, предъявляемым к видеодисплейным терминалам;
- размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах охраняемой территории;
- обеспечение развязки цепей электропитания ТС с помощью защитных фильтров, блокирующих (подавляющих) информационный сигнал;
- обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных ТС и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация;
- размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
- организация физической защиты помещений и собственно ТС, позволяющих осуществлять обработку ПДн;
- предотвращение внедрения в ИС вредоносных программ (программ-вирусов) и программных закладок.
Для обеспечения безопасности ПДн от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД в зависимости от класса ИСПДн, заданных характеристик безопасности обрабатываемых ПДн, угроз безопасности ПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режимов обработки ПДн в рамках СЗИ от НСД реализуются функции управления доступом, регистрации и учёта, обеспечения целостности, анализа защищённости, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.
Перечень мер по защите информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи применяются по решению руководителя Росреестра/территориального органа Росреестра.
Применяемые СЗИ учитываются в Журнале учета СЗИ. Форма Журнала приведена в Приложении (см. Приложение Ж). В случае проведения аттестации ИСПДн учет применяемых технических СЗИ ведется в документе "Технический паспорт ИСПДн" в соответствии с требованиями СТР-К*(2).
3.1. Требования по организации разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации
Данный раздел Положения регламентирует порядок взаимодействия подразделений Росреестра и его территориальных органов по обеспечению безопасности ПДн при организации разрешительной системы доступа к сервисам и ресурсам ИСПДн Росреестра.
Разрешительная система доступа к обрабатываемой в ИСПДн информации предусматривает установление единого порядка обращения со сведениями, содержащими ПДн клиентов и работников Росреестра и его территориальных органов, и их носителями, определяет степень ограничения на доступ к данной информации и степень ответственности за сохранность предоставленной информации.
Организация разрешительной системы доступа относится к основным вопросам управления обеспечением безопасности ПДн и включает:
- распределение функций управления доступом к данным и их обработкой между должностными лицами;
- определение порядка изменения правил доступа к защищаемой информации;
- определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
- контроль функционирования разрешительной системы доступа и расследование фактов неправомерного доступа лиц к защищаемой информации, в случае выявления таковых;
- оценку эффективности проводимых мер по исключению утечки информации;
- организацию деятельности должностных лиц, ответственных за подготовку предложений о внесении изменений в должностные обязанности и иные документы, определяющие задачи и функции работников ИСПДн Росреестра;
- разработку внутренних организационно-распорядительных документов, определяющих порядок реализации и функционирования разрешительной системы доступа.
Основные условия правомерного доступа работников Росреестра и его территориальных органов к обрабатываемой в ИСПДн Росреестра информации включают в себя:
- подписание работником Росреестра и его территориальных органов обязательства о неразглашении конфиденциальной информации*(3);
- наличие у работника Росреестра и его территориальных органа "оформленного в установленном порядке права допуска к ПДн, обрабатываемым в ИСПДн Росреестра";
- наличие утвержденных в соответствии с трудовым законодательством Российской Федерации, законодательством о государственной гражданской службе Российской Федерации должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации.
Лица, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании списка, утвержденного руководителем Росреестра (руководителем территориального органа Росреестра). Форма списка лиц, допущенных к ПДн, обрабатываемым в ИСПДн, приведена в Приложении (см. Приложение Б). Права доступа работников к защищаемой информации определяются в Матрице доступа (см. Приложение В).
Для обеспечения персональной ответственности за свои действия каждому пользователю ИСПДн, допущенному к работе с защищаемой информацией в ИСПДн, присваивается уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя ("группового имени") запрещается.
При регистрации и назначении прав доступа пользователей ИСПДн Росреестра выполняются следующие требования:
- каждому пользователю присваивается уникальный идентификатор пользователя, по которому его можно однозначно идентифицировать;
- учетные записи всех пользователей привязываются к конкретным автоматизированным рабочим местам (АРМ), за исключением учетных записей технического персонала, обслуживающего компоненты ИСПДн Росреестра;
- при регистрации пользователей проводится проверка соответствия уровня доступа возложенным на пользователя задачам (вмененным обязанностям);
- назначенные пользователю права доступа документируются;
- пользователь знакомится под роспись с предоставленными ему правами доступа и порядком его осуществления;
- в ИСПДн предусматривается разрешение доступа к сервисам только аутентифицированным пользователям;
- при внесении нового пользователя разрабатывается и обновляется формальный список всех пользователей, зарегистрированных для работы в ИСПДн;
- при изменении должностных обязанностей (увольнении) пользователя проводится немедленное исправление (аннулирование) прав его доступа;
- администраторами ИСПДн проводится удаление всех неиспользуемых учетных записей. Предусмотренные в системе запасные идентификаторы недоступны другим пользователям.
Контроль выполнения требований разрешительной системы доступа к ПДн возлагается на администратора безопасности информации (администратора безопасности). Подробное описание обязанностей администратора безопасности приведены в Приложении (см. Приложение Г).
Допуск к ИР ИСПДн сторонних организаций (правоохранительных органов, судебных органов, органов статистики, органов исполнительной и законодательной власти субъектов Российской Федерации) регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение информации, а также настоящим Положением.
Порядок допуска к ИР ИСПДн сторонних организаций, выполняющих работы на договорной основе, определяется в договоре на выполнение работ (оказание услуг) в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд". Обязательным условием договора является заключение соглашения о конфиденциальности.
Подробное описание порядка организации разрешительной системы доступа приведено в Приложении (см. Приложение А).
3.2. Требования к проведению мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где размещены средства ИСПДн
Данный раздел Положения содержит общие требования к проведению мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где размещены ИСПДн Росреестра:
1. Организуется контроль доступа работников и посетителей в помещения Росреестра, его территориальных органов, в которых установлены ТС ИСПДн и осуществляется обработка ПДн, а также хранятся носители ПДн.
2. Доступ работников структурных подразделений центрального аппарата Росреестра, его территориальных органов в помещения, в которых осуществляется обработка ПДн, организовывается на основании списков, утверждаемых руководителем Росреестра/территориального органа Росреестра. Доступ других работников центрального аппарата Росреестра, его территориальных органов и посетителей в эти помещения осуществляется в сопровождении ответственных должностных лиц. При этом время и дата их посещения и выхода протоколируются подразделением по охране объекта в специальном журнале учета посетителей или с применением ТС контроля физического доступа.