Ответственность за обеспечение безопасности ПДн распределяется между должностными лицами Росреестра и территориальных органов Росреестра на основании настоящего Положения.
Ответственность за организацию режима обеспечения безопасности ПДн возлагается на руководителя Росреестра, руководителей территориальных органов Росреестра и начальников структурных подразделений центрального аппарата Росреестра и территориальных органов Росреестра.
Ответственность за своевременность и качество формирования требований по защите ПДн, за качество и научно-технический уровень разработки СЗПДн, а также контроль исполнения правил и требований, направленных на обеспечение безопасности ПДн, возлагается на работников подразделения ИБ.
Ответственность за выполнение обязанностей по обеспечению режима безопасности ПДн, возложенных на структурные подразделения центрального аппарата Росреестра и территориальных органов Росреестра, эксплуатирующие ИСПДн, несут начальники соответствующих структурных подразделений.
Средства информатизации, входящие в состав ИСПДн, закрепляются за ответственными должностными лицами (владельцами). Владельцем средств информатизации может быть начальник структурного подразделения или специально назначаемое должностное лицо Росреестра и территориальных органов Росреестра. На владельца средств информатизации возлагается ответственность за выполнение установленных мероприятий по защите закрепленных средств информатизации и обрабатываемых ими ПДн.
Руководители и работники Росреестра и территориальных органов Росреестра, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную и уголовную ответственность, предусмотренную законодательством Российской Федерации.
6. Порядок контроля за обеспечением уровня защищенности ПДн и оценки соответствия ИСПДн
Контроль обеспечения требуемого уровня защищенности ПДн заключается в проверке выполнения требований нормативных документов по защите ПДн*(8), а также в оценке обоснованности и эффективности принятых мер. Мероприятия по контролю защищенности ПДн могут проводиться как уполномоченными работниками подразделения ИБ, так и на договорной основе сторонней организацией, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Мероприятия по контролю защищенности ПДн и оценке соответствия ИСПДн включают:
- внутренний контроль режима безопасности ПДн (оперативный и периодический);
- обследование защищенности ПДн с привлечением сторонней организации;
- оценку соответствия ИСПДн требованиям безопасности ПДн.
6.1. Внутренний контроль режима безопасности ПДн и оценки соответствия ИСПДн требованиям безопасности ПДн
Внутренний оперативный контроль соблюдения режима безопасности ПДн проводится специалистом по информационной безопасности (администратором безопасности) ежедневно в режиме "реального времени". Внутренний контроль заключается в анализе защищенности ПДн посредством используемых в составе ИСПДн программных и программно-аппаратных средств (систем) анализа защищенности.
В ходе проведения контроля соблюдения режима безопасности ПДн специалист по информационной безопасности (администратор безопасности):
- осуществляет анализ лог-файлов, производимых средствами защиты и другими элементами ИСПДн (ОС, прикладные программы);
- просматривает оповещения средств защиты ИСПДн;
- принимает меры по результатам анализа полученных оповещений и лог-файлов.
Внутренний периодический контроль соблюдения режима безопасности ПДн (контрольные обследования защищенности ИСПДн) организуется подразделением ИБ по планам, ежегодно утверждаемым - руководителем Росреестра (руководителем территориального органа Росреестра). Форма Плана контроля выполнения требований по обеспечению безопасности ПДн приведена в Приложении (см. Приложение Е). По решению руководителя Росреестра (руководителя территориального органа Росреестра) внутренний контроль может проводиться во внеочередном порядке в случаях выявления нарушений безопасности ПДн с целью определения причин произошедших нарушений и разработки мер по их устранению.
Внутренний периодический контроль заключается в оценке выполнения требований нормативных документов по обеспечению безопасности ПДн, обрабатываемых в ИСПДн.
В ходе проведения внутреннего периодического контроля проверяются следующие вопросы:
- соответствие состава и структуры программно-технических средств, обрабатывающих защищаемую информацию (ПДн), документированному составу и структуре средств, разрешенных для обработки такой информации;
- знание персоналом руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях;
- проверка наличия документов, подтверждающих возможность применения технических и программных средств вычислительной техники для обработки ПДн и применения СЗИ (сертификатов соответствия и других документов);
- проверка правильности применения СЗИ;
- проверка выполнения требований по условиям размещения АРМ в рабочих помещениях;
- соответствие реального уровня полномочий по доступу к защищаемой информации (ПДн) различных пользователей установленному в списке лиц, допущенных к обработке ПДн, уровню полномочий;
- знание инструкций по обеспечению безопасности информации пользователями ИСПДн;
- организация хранения носителей ПДн и допуска в помещения, где размещены средства обработки и осуществляется обработка ПДн;
- прохождение инструктажа пользователей по вопросам обеспечения безопасности ПДн и выполнение ими установленных требований.
По фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, составляется соответствующее заключение, на основе которого впоследствии осуществляется разработка и реализация мер по предотвращению возможных опасных последствий подобных нарушений.
Результаты контроля оформляются Актом, в котором делаются выводы о состоянии обеспечения безопасности ПДн на проверяемом объекте информатизации и приводятся рекомендации по его совершенствованию.
6.2. Обследование защищенности ПДн внешней специализированной организацией
Обследование защищенности ПДн внешней специализированной организацией проводится при создании ИСПДн (предпроектное обследование) или при доработке (модернизации) СЗПДн в случае, если:
- изменился состав или структура ИСПДн или технические особенности его построения (состав или структура ПО, ТС обработки ПДн, топологии и т.п.);
- изменился состав угроз безопасности ПДн;
- изменился класс защищённости ИСПДн.
Обследование защищенности ПДн внешней специализированной организацией проводится по решению руководителя Росреестра (руководителя территориального органа Росреестра). Привлекаемая для проведения обследования внешняя специализированная организация обязана иметь лицензию на деятельность по технической защите конфиденциальной информации.
6.3. Порядок оценки соответствия ИСПДн требованиям безопасности ПДн
Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в форме проверки готовности СЗИ к использованию.
Проверка готовности СЗИ к использованию осуществляется в ходе приемо-сдаточных испытаний СЗПДн с составлением протоколов проверки и заключений о возможности их эксплуатации.
В качестве организации, проводящей проверку готовности СЗИ к использованию или добровольную аттестацию ИСПДн, привлекается организация, имеющая лицензию ФСТЭК России на право деятельности по технической защите конфиденциальной информации в соответствии с постановлением Правительства Российской Федерации от 03.02.2012 N 79.
Проверка готовности СЗИ к использованию проводится в соответствии с разрабатываемой программой и методикой испытаний соответствующих СЗИ, определяющих порядок проверки выполнения СЗИ заявленных функций защиты.
Аттестация проводится в соответствии с действующими нормативными и методическими документами ФСТЭК России.
Порядок подготовки и проведения аттестации ИСПДн определяется в приказах руководителя Росреестра (руководителя территориального органа Росреестра).
──────────────────────────────
*(1) В состав комиссии по классификации включаются представители Отдела ИБ, Управления информационных систем, Управления кадров, Правового управления и должностные лица - обладатели информационных ресурсов ИСПДн.
*(2) Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. N 282.
*(3) Либо включить обязательства о неразглашении конфиденциальной информации в трудовой договор, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обстоятельства.
*(4) Под объектами понимаются здания Росреестра, его территориальных органов и удаленные подразделения территориальных органов Росреестра.
*(5) ГОСТ Р ИСО/МЭК ТО 18044-2007 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности". Введ. 01.07.2008.