АДМИНИСТРАЦИЯ ГОРОДА ИРКУТСКА
РАСПОРЯЖЕНИЕ
от 1 марта 2010 г. № 031-10-137/10
О ПРОВЕДЕНИИ ДЕКЛАРИРОВАНИЯ СООТВЕТСТВИЯ ИНФОРМАЦИОННЫХ
СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ Г. ИРКУТСКА
Руководствуясь Федеральным законом "О персональных данных", ст. 16 Федерального закона "Об общих принципах организации местного самоуправления в Российской Федерации" от 06.10.2003 № 131-ФЗ, Федеральным законом "О техническом регулировании" № 184-ФЗ, Рекомендациями по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными заместителем директора ФСТЭК России от 15.02.2008, Основными мероприятиями по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденными заместителем директора ФСТЭК России от 15.02.2008, ст.ст. 37
, 38
, 42
Устава города Иркутска:
1. Для проведения декларирования соответствия информационных систем персональных данных в администрации г. Иркутска (далее - ИСПДн администрации г. Иркутска), классифицированных по третьему классу в соответствии с приложением № 1
к настоящему распоряжению, создать комиссию в составе:
председатель комиссии:
- начальник управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска - В.И.Терновский;
члены комиссии:
- начальник департамента информатизации аппарата администрации г. Иркутска - А.Ю.Губов;
- начальник отдела мобилизационной подготовки управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска - Б.В.Курчинский;
- начальник отдела программ и проектов департамента информатизации аппарата администрации г. Иркутска - О.Е.Шейкина;
- начальник отдела информатизации аппарата администрации г. Иркутска департамента информатизации аппарата администрации г. Иркутска - Т.П.Филатова;
- начальник отдела технических средств и инфокоммуникаций департамента информатизации аппарата администрации г. Иркутска - Е.Г.Горохов;
- начальник отдела информатизации комитета по социальной политике и культуре департамента информатизации аппарата администрации г. Иркутска - Е.М.Силкова;
- начальник отдела информационных технологий по управлению городским хозяйством департамента информатизации аппарата администрации г. Иркутска - Т.Ю.Яшенко;
- начальник отдела информатизации комитета по экономике и финансам департамента информатизации аппарата администрации г. Иркутска - Е.Ф.Дубникова;
- начальник отдела информационных технологий по управлению муниципальным имуществом и землей департамента информатизации аппарата администрации г. Иркутска - С.А.Яковлева;
- начальник отдела защиты информации управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска - А.Н.Лузгин;
- главный специалист отдела защиты информации управления по мобилизационной подготовке и гражданской обороне администрации г. Иркутска - А.А.Тумаков.
2. При проведении декларирования соответствия ИСПДн администрации г. Иркутска в состав членов комиссии включать должностных лиц соответствующих структурных подразделений администрации г. Иркутска, на которых возложена обязанность определять право доступа к информационным ресурсам корпоративной информационной вычислительной сети (КИВС) администрации г. Иркутска, в соответствии с распоряжением администрации г. Иркутска "О предоставлении доступа к информационным ресурсам корпоративной информационной вычислительной сети (КИВС) администрации г. Иркутска" от 25.06.2009 № 031-10-686/9.
3. Администраторами безопасности информации в соответствующей ИСПДн администрации г. Иркутска назначить работников департамента информатизации аппарата администрации г. Иркутска, ответственных за сопровождение программного обеспечения в ИСПДн администрации г. Иркутска, в соответствии с распоряжением администрации г. Иркутска "О предоставлении доступа к информационным ресурсам корпоративной информационной вычислительной сети (КИВС) администрации г. Иркутска" от 25.06.2009 № 031-10-686/9.
4. Комиссии:
4.1. Организовать свою работу в соответствии с действующим законодательством Российской Федерации.
4.2. Провести декларирование соответствия ИСПДн администрации г. Иркутска в течение 2 (двух) месяцев со дня подписания настоящего распоряжения.
4.3. Акты декларирования соответствия ИСПДн администрации г. Иркутска по результатам работы комиссии представить мне на утверждение в течение 5 дней с момента завершения работы комиссии.
5. Утвердить типовую форму акта
декларирования соответствия ИСПДн администрации г. Иркутска (приложение № 2).
6. Утвердить Основные мероприятия
по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в администрации г. Иркутска, классифицированных по третьему классу (приложение № 3) (далее - Основные мероприятия).
7. Администраторам безопасности информации при эксплуатации ИСПДн администрации г. Иркутска руководствоваться Основными мероприятиями
, утвержденными настоящим распоряжением.
8. Контроль за исполнением настоящего распоряжения оставляю за собой.
И.о. главы администрации
Г.Д.ЗЮБР
]]>1.6. Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
1.7. Информация - сведения (сообщения, данные) независимо от формы их представления.
1.8. Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.9. Межсетевой экран - локальное (однокомпонентное) или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в ИСПДн и (или) выходящей из информационной системы.
1.10. Носитель защищаемой информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
1.11. Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
1.12. Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.13. Пользователь ИСПДн - лицо, участвующее в функционировании ИППДн или использующее результаты ее функционирования.
1.14. Ресурс ИСПДн - именованный элемент системного, прикладного или аппаратного обеспечения функционирования ИСПДн.
1.15. Средства вычислительной техники (СВТ) - совокупность программных и технических элементов систем обработки персональных данных, способных функционировать самостоятельно или в составе других систем.
1.16. Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
1.17. Технические средства ИСПДн (ТС) - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.
2. ОБЩИЕ ПОЛОЖЕНИЯ
Основные мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн в администрации г. Иркутска, классифицированных по третьему классу, разработаны на основании Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" с учетом действующих нормативных документов ФСТЭК России, Модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска, утвержденной распоряжением администрации г. Иркутска от 28.07.2009 № 24дсп, распоряжения администрации г. Иркутска "О предоставлении доступа к информационным ресурсам корпоративной информационной вычислительной сети (КИВС) администрации г. Иркутска" от 25.06.2009 № 031-10-686/9, Положения
о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска, утвержденного распоряжением администрации г. Иркутска от 30.07.2009 № 031-10-818/9.
3. МЕРОПРИЯТИЯ ПО ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ПДН В ИСПДН АДМИНИСТРАЦИИ Г. ИРКУТСКА
При однопользовательском и многопользовательском режимах обработки ПДн в ИСПДн администрации г. Иркутска как с равными, так и с разными правами доступа к ПДн пользователей для проведения декларирования соответствия ИСПДн администрации г. Иркутска должны быть проведены следующие мероприятия:
- вход в операционные системы компьютеров, серверов, управляемых свитчей, коммутаторов, маршрутизаторов и т.п., эксплуатируемых в составе конкретной ИСПДн администрации г. Иркутска (далее - технические составляющие ИСПДн администрации г. Иркутска), должен осуществляться для каждого субъекта доступа (пользователь, администратор и т.п.) по идентификатору и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
- при наличии физических соединений и каналов связи, позволяющих осуществлять подключения технических составляющих ИСПДн к сетям общего доступа или сетям международного информационного обмена, необходимо применять межсетевое экранирование. Учитывая, что корпоративная информационная вычислительная сеть (КИВС) администрации г. Иркутска не имеет прямого выхода в общие сети и сети международного информационного обмена, для реализации указанных требований возможно применение штатных средств межсетевого экранирования встроенных в операционные системы или поставляемых вместе с пакетами программ антивирусной защиты;
- перед выполнением любых операций по управлению функциями средства антивирусной защиты должна проводиться идентификация и аутентификация субъектов доступа при входе в средство антивирусной защиты по паролю (или с использованием иного механизма аутентификации) условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
- любые действия субъектов доступа по управлению функциями средства антивирусной защиты должны выполняться только после проведения его успешной аутентификации;
- в операционных системах и средствах антивирусной защиты, составляющих ИСПДн администрации г. Иркутска, все доступные для фиксации в электронных журналах события должны фиксироваться;
- должен проводиться учет всех защищаемых носителей информации, на которых хранятся ПДн конкретной ИСПДн структурного подразделения администрации г. Иркутска (как отчуждаемых (дискеты, диски и т.п.), так и неотчуждаемых (жесткие магнитные диски в составе системных блоков и т.п.)). Каждому защищаемому носителю информации присваивается свой учетный номер по журналу следующей типовой формы:
+---+---------------+---------+-----------+---------+--------+--------+-----------+
¦ № ¦ Дата, ¦ Учетный ¦ Тип ¦Расписка ¦Расписка¦ Место ¦Отметка об ¦
¦п/п¦регистрационный¦ номер, ¦защищаемого¦ в ¦ в ¦хранения¦уничтожении¦
¦ ¦ номер ¦ откуда ¦ носителя ¦получении¦обратном¦ ¦защищаемого¦
¦ ¦ ¦поступил ¦информации ¦(Ф.И.О., ¦ приеме ¦ ¦ носителя ¦
¦ ¦ ¦ ¦ ¦подпись, ¦(Ф.И.О.,¦ ¦информации ¦
¦ ¦ ¦ ¦ ¦ дата) ¦подпись,¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ дата) ¦ ¦ ¦
+---+---------------+---------+-----------+---------+--------+--------+-----------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---+---------------+---------+-----------+---------+--------+--------+-----------+
Присвоенный защищаемому носителю информации номер проставляется также и на самом носителе;
- установка общесистемного и прикладного программного обеспечения должна проводиться только администратором безопасности.
Начальник управления по мобилизационной
подготовке и гражданской обороне
администрации г. Иркутска
В.И.ТЕРНОВСКИЙ