Типы документов

Реклама

Партнеры

Распоряжение Мэрии городского округа Тольятти Самарской области от 12.07.2013 N 4292-р/1 "Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и муниципальными правовыми актами в мэрии городского округа Тольятти"



МЭРИЯ ГОРОДСКОГО ОКРУГА ТОЛЬЯТТИ
САМАРСКОЙ ОБЛАСТИ

РАСПОРЯЖЕНИЕ
от 12 июля 2013 г. № 4292-р/1

ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ
ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И МУНИЦИПАЛЬНЫМИ ПРАВОВЫМИ АКТАМИ
В МЭРИИ ГОРОДСКОГО ОКРУГА ТОЛЬЯТТИ

В целях обеспечения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных и разбирательства инцидентов информационной безопасности в мэрии городского округа Тольятти, руководствуясь Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами", Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и Уставом городского округа Тольятти:
1. Утвердить прилагаемые Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и муниципальными правовыми актами в мэрии городского округа Тольятти.
2. Руководителю Департамента информационных технологий и связи мэрии городского округа Тольятти Балашовой Е.В. разместить на официальном портале мэрии городского округа Тольятти Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и муниципальными правовыми актами в мэрии городского округа Тольятти.
3. Руководителям органов (структурных подразделений) мэрии городского округа Тольятти, осуществляющих обработку персональных данных, не позднее десяти дней с даты подписания настоящего Распоряжения ознакомить персонал, допущенный к обработке персональных данных, с настоящим Распоряжением.

Мэр
С.И.АНДРЕЕВ





Утверждено
Распоряжением
мэрии городского округа Тольятти
от 12 июля 2013 г. № 4292-р/1

ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ
СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ
ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ
С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И МУНИЦИПАЛЬНЫМИ
ПРАВОВЫМИ АКТАМИ В МЭРИИ ГОРОДСКОГО ОКРУГА ТОЛЬЯТТИ

I. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящие правила разработаны в соответствии с требованиями Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", Постановления Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами", Постановления Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Правила определяют процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере защиты персональных данных, разбирательства и составления актов разбирательства инцидента информационной безопасности (далее - ИБ) по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений, а также выявления и предотвращения нарушений ИБ в мэрии.
1.1. Основные термины и понятия, используемые в Правилах.
Инцидент ИБ - событие, в результате наступления которого в мэрии произошло разглашение конфиденциальной информации, персональных данных, нарушение работоспособности информационных систем, внесение несанкционированных изменений в информационные ресурсы мэрии.
Нарушитель ИБ - лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно и использовавшее для этого различные возможности, методы и средства.
Информационная система персональных данных (далее - ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Информационные ресурсы (далее - ИР) - совокупность данных, организованных для эффективного получения достоверной информации, документы и отдельные массивы документов в информационных системах;
Автоматизированное рабочее место (далее - АРМ) - индивидуальный комплекс технических и программных средств, предназначенный для автоматизации работы сотрудников органов мэрии;
Система защиты от несанкционированного доступа (далее СЗНД) - система защиты информации, предотвращающая или существенно затрудняющая несанкционированный доступ к информации.

II. ПОРЯДОК ПРОВЕДЕНИЯ ПРОВЕРОК УСЛОВИЙ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в мэрии организуется проведение периодических проверок условий обработки персональных данных.
2.2. Проверки осуществляются Департаментом информационных технологий и связи мэрии (далее - ДИТиС). Ответственным за организацию обработки персональных данных и организацию проверок является начальник отдела информационной безопасности ДИТиС.
2.3. Плановые проверки соответствия обработки персональных данных установленным требованиям в мэрии проводятся на основании утвержденного приказом руководителя ДИТиС ежегодного плана работ отдела информационной безопасности.
Внеплановые проверки организуются в течение трех рабочих дней при наступлении следующих событий:
- поступившее в мэрию письменное заявление субъекта персональных данных о нарушениях правил обработки персональных данных;
- поступившее в ДИТиС сообщение от сотрудников органов мэрии о предполагаемом нарушении правил обработки персональных данных;
- получение сигнала о нарушении режима конфиденциальности системы защиты информации;
- получение предписания органов надзора за соблюдением прав субъектов персональных данных.
2.4. При проведении любой проверки соответствия обработки персональных данных установленным требованиям устанавливается соответствие принимаемых мер по обеспечению безопасности персональных данных при их обработке мерам, указанным в Положении об обработке персональных данных, утвержденном Распоряжением мэрии от 30.12.2010 № 13996-р/1.
2.5. Ответственный за организацию обработки персональных данных в мэрии имеет право:
- запрашивать у сотрудников органов мэрии информацию, необходимую для реализации полномочий;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить руководителю ДИТиС предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке.
2.6. Проверка должна быть завершена в срок не позднее чем через тридцать календарных дней со дня принятия решения о ее проведении.
2.7. Руководитель ДИТиС контролирует своевременность и правильность проведения проверки.
2.8. Ответственный за организацию обработки персональных данных предоставляет отчет руководителю ДИТиС о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений по форме согласно приложению № 1 к настоящим Правилам.

III. ПОРЯДОК РАЗБИРАТЕЛЬСТВА ИНЦИДЕНТА ИБ

3.1. Разбирательство по вопросам инцидентов ИБ проводится сотрудниками отдела информационной безопасности.
3.2. Цели разбирательства инцидентов ИБ:
- выработка организационных и технических решений, направленных на снижение рисков нарушения ИБ, предотвращение подобных нарушений в будущем;
- обеспечение безопасности обработки персональных данных;
- обеспечение прав субъектов персональных данных на обеспечение безопасности и конфиденциальности их персональных данных, обрабатываемых мэрией;
- предотвращение несанкционированного доступа к информационным системам.
3.3. Этапы разбирательства инцидента ИБ:
- подтверждение или опровержение факта возникновения инцидента ИБ;
- подтверждение или корректировка уровня значимости инцидента ИБ;
- уточнение дополнительных обстоятельств инцидента ИБ;
- получение доказательств возникновения инцидента ИБ, обеспечение их сохранности и целостности;
- минимизация последствий инцидента ИБ;
- информирование и консультирование сотрудников органов мэрии по действиям обнаружения, устранения последствий и предотвращения инцидентов ИБ;
- разработка мероприятий по обнаружению и (или) предупреждению инцидентов ИБ.
3.4. Выявление инцидента ИБ.
Основными источниками информации об инцидентах ИБ являются:
- результаты плановых или внеплановых проверок соответствия обработки персональных данных установленным требованиям;
- факты, выявленные сотрудниками органов мэрии.
Сотрудник органа мэрии может выявить признаки наличия Инцидента ИБ путем анализа текущей ситуации на предмет ее соответствия требованиям Положения об информационной безопасности в мэрии городского округа Тольятти, утвержденного Распоряжением мэрии от 25.03.2013 № 1678-р/1 (далее - Положение об ИБ). Выявленные несоответствия дают основания предполагать факт возникновения инцидента ИБ. Любые сведения о предполагаемом инциденте ИБ незамедлительно передаются выявившим их сотрудником в отдел информационной безопасности в произвольной форме любым доступным способом:
- по контактам, указанным в телефонном справочнике портала мэрии;
- через непосредственного руководителя.
3.5. Начальник отдела информационной безопасности после получения информации о предполагаемом инциденте ИБ незамедлительно фиксирует дату, время и место возникновения предполагаемого инцидента ИБ и определяет сотрудника отдела информационной безопасности, осуществляющего разбирательство.
3.6. В срок не более одного рабочего дня с момента поступления информации об инциденте ИБ сотрудник отдела информационной безопасности, осуществляющий разбирательство, определяет и инициирует первоочередные меры (отключение АРМ предполагаемого нарушителя ИБ от информационной системы, восстановление информации из резервной копии, исправление ошибки ввода, проведение дополнительного инструктажа по ИБ), направленные на локализацию инцидента ИБ и минимизацию его последствий.
3.7. В случае нарушения прав субъекта персональных данных разбирательство и реагирование происходит в порядке и в сроки, предусмотренные Правилами рассмотрения запросов субъектов персональных данных в мэрии городского округа Тольятти, утвержденными Постановлением мэрии от 24.05.2013 № 1670-п/1 "Об утверждении Правил рассмотрения запросов субъектов персональных данных или их представителей в мэрии городского округа Тольятти".
3.8. Проведение разбирательства инцидента ИБ:
3.8.1. В процессе проведения разбирательства инцидента ИБ устанавливаются:
- дата и время совершения инцидента ИБ;
- орган мэрии, затронутый инцидентом ИБ;
- информационные ресурсы, затронутые инцидентом ИБ;
- ФИО, должность предполагаемого нарушителя ИБ;
- уровень критичности инцидента ИБ;
- обстоятельства и мотивы совершения инцидента ИБ;
- характер и размер реального и потенциального ущерба;
- обстоятельства, способствовавшие совершению инцидента ИБ;
3.8.2. Осуществляющий разбирательство сотрудник в процессе проведения расследования инцидента ИБ при необходимости запрашивает информацию в органах мэрии. Запрос направляется на имя руководителя органа мэрии с указанием сроков предоставления информации (с учетом необходимости ее анализа, сбора и подготовки);
3.8.3. После получения необходимой информации по инциденту ИБ осуществляющий разбирательство сотрудник проводит анализ полученных данных;
3.8.4. С целью минимизации последствий инцидента ИБ возможно временное отключение прав доступа у предполагаемого нарушителя ИБ к информационным ресурсам (далее - ИР) на время проведения расследования. Информация об отключении прав доступа сотрудником, ответственным за проведение разбирательства, направляется руководителю предполагаемого нарушителя ИБ;
3.8.5. Восстановление временно отключенных у нарушителя ИБ прав доступа к ИР производится по заявке руководителя нарушителя ИБ или осуществляющего разбирательство сотрудника.
3.10. Собранная в процессе разбирательства инцидента ИБ информация фиксируется осуществляющим разбирательство сотрудником в карточке инцидента ИБ (приложение № 2 к настоящим Правилам) и учитывается при подготовке акта разбирательства инцидента ИБ (приложение № 3 к настоящим Правилам).
3.11. Осуществляющий разбирательство сотрудник направляет акт разбирательства инцидента ИБ руководителю ДИТиС для последующей передачи руководителям органов мэрии, затронутых инцидентом ИБ.
3.12. На основании полученного акта разбирательства инцидента ИБ руководитель органа мэрии, затронутого инцидентом ИБ, в срок не более трех рабочих дней организует проведение мероприятий, направленных на снижение рисков информационной безопасности в будущем:
- повторное ознакомление нарушителя ИБ с Правилами, с должностной инструкцией, с Положением об ИБ, с Руководством пользователя;
- анализ и пересмотр имеющихся прав доступа к информационным ресурсам у нарушителя ИБ;
- доведение до всех сотрудников органа мэрии требований правовых актов в области ИБ.





Приложение № 1
к Правилам осуществления внутреннего контроля
соответствия обработки персональных данных требованиям
к защите персональных данных, установленным Федеральным
законом "О персональных данных", принятыми в соответствии
с ним нормативными правовыми актами и муниципальными
правовыми актами в мэрии городского округа Тольятти

"УТВЕРЖДАЮ"
Руководитель Департамента
информационных технологий и связи
______________________________
"_____" ______________ 201_ г.

ОТЧЕТ
О РЕЗУЛЬТАТАХ ПРОВЕДЕННОЙ ___ДАТА ПРОВЕДЕНИЯ ПРОВЕРКИ___ ПРОВЕРКИ
СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ____НАИМЕНОВАНИЕ ОРГАНА МЭРИИ___________


Возможные нарушения требований к защите персональных Наличие нарушения
данных

Работа в ИСПДн на АРМ, не оборудованном СЗНД

Работа в ИСПДн на АРМ, не защищенном корпоративной
системой антивируса

Обработка ПДн сотрудниками, не включенными в перечень
допущенных к обработке ПДн

Отсутствие или неактуальность перечня сотрудников,
допущенных к обработке ПДн

Обработка ПДн после достижения цели обработки ПДн

Отсутствие журнала учета электронных носителей
персональных данных при использовании самих носителей

Отсутствие подписанных обязательств о неразглашении
персональных данных.

Хранение файлов, содержащих ПДн на АРМ

Доступность логина, пароля АРМ, ИСПДн для посторонних

Возможность считывания информации с экрана монитора для
посторонних


Рекомендации по устранению выявленных нарушений
______________________________________________________________________

_подпись ответственного за организацию обработки персональных данных_





Приложение № 2
к Правилам осуществления внутреннего контроля
соответствия обработки персональных данных требованиям
к защите персональных данных, установленным Федеральным
законом "О персональных данных", принятыми в соответствии
с ним нормативными правовыми актами и муниципальными
правовыми актами в мэрии городского округа Тольятти

КАРТОЧКА
ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (ИБ)

Дата инцидента ИБ _________________ Номер инцидента ИБ _____________

Информация о сообщившем:


Ф.И.О. должность Подразделение органа Рабочий телефон
мэрии





Тип инцидента:
Действительный Попытка Подозрение


Предполагаемый Удаленное Ошибка технический
вид угрозы Непреднамеренная Преднамеренная проектирования
информационной вмешательство информационной сбой
безопасности
системы


Нарушитель:
Отсутствует не установлен Внешний Внутренний


Организация, Орган мэрии,
Ф.И.О., должность Ф.И.О., должность
нарушителя нарушителя

Последствия нарушение работоспособности нарушение нарушение режима
инцидента: без последствий целостности ИР, конфиденциальности
компонентов ИС фальсификация
информации
документов


Объект, Средства вычислительной Программное
которому Информация Средства связи
нанесен ущерб: техники обеспечение


Действия, Описание действий никаких действий не Без привлечения С привлечением
предпринятые внешнего внешнего
для разрешения требуется
инцидента: исполнителя исполнителя



__подпись сотрудника, проводившего разбирательство__





Приложение № 3
к Правилам осуществления внутреннего контроля
соответствия обработки персональных данных требованиям
к защите персональных данных, установленным Федеральным
законом "О персональных данных", принятыми в соответствии
с ним нормативными правовыми актами и муниципальными
правовыми актами в мэрии городского округа Тольятти

"УТВЕРЖДАЮ"
Руководитель Департамента
информационных технологий и
связи
_________________________
"_____" _________ 201_ г.

АКТ № ____ ОТ __________
РАЗБИРАТЕЛЬСТВА ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Сотрудником отдела информационной безопасности _______ должность и Ф.И.О.
сотрудника, проводившего разбирательство инцидента ИБ
___________________________________________________________________________

Проведено разбирательство инцидента ИБ, выявленного _________ дата и орган
мэрии, затронутый инцидентом ИБ ________________

В результате разбирательства установлено:
Сотрудники органа мэрии, причастные к инциденту ИБ ____________должность и
Ф.И.О. __________________________________________ сотрудников органа мэрии,
причастных к возникновению инцидента ИБ ___________________________________

Инцидент ИБ ____________ описание произошедшего инцидента ИБ ______________
___________________________________________________________________________

Причины возникновения инцидента _______ причины, по которым стал возможен
инцидент ИБ _______________________________________________________________

Ущерб (при наличии), причиненный инцидентом ИБ ___ перечень пострадавших
ресурсов (объектов) _______________________________________________________

Действия, предпринятые для ликвидации последствий инцидента ИБ ____________

____________ описание действий, направленных на ликвидацию последствий
инцидента ИБ ______________________________________________________________

_______подпись сотрудника, проводившего разбирательство_________

_______подпись начальника отдела информационной безопасности____


------------------------------------------------------------------