Управление

Нам важно знать ваше мнение

1. Оцените, насколько в целом услуги в сфере социального обслуживания населения доступны?


2. Оцените, насколько в целом информация об организациях, оказывающих услуги в сфере социального обслуживания доступна?


3. Оцените, насколько в целом работники организаций социального обслуживания доброжелательны, вежливы и внимательны?



Политика информационной безопасности

УТВЕРЖДЕНА
приказом Управления социальной 
защиты населения в городе Сарапуле
от 17.03.2016 года № 24-о

ПОЛИТИКА

информационной безопасности информационных систем
персональных данных Управления социальной защиты
населения в городе Сарапуле

1. Общие положения

Настоящая Политика информационной безопасности информационных систем персональных данных Управления социальной защиты населения в городе Сарапуле (далее – Политика) разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных, изложенных в Концепции информационной безопасности информационных систем персональных данных Управления социальной защиты населения в городе Сарапуле (далее – Концепция).

В настоящей Политике используются термины и определения, условные обозначения и сокращения, установленные в Концепции.

Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённого постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781, а также на основании:

Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённых заместителем директора Федеральной службы по техническому и экспортному контролю Российской Федерации 15 февраля 2008 года;

Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённых руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 года № 149/6/6-622;

приказа Федеральной службы по техническому и экспортному контролю Российской Федерации от 05 февраля 2010 года № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищённости, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн Управления социальной защиты населения в городе Сарапуле (далее – Управление).

Целью настоящей Политики является обеспечение безопасности объектов защиты Управления от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.

Безопасность персональных данных достигается путём исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий.

Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. В Управлении обеспечивается осуществление своевременного обнаружения и реагирования на УБПДн, предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

Состав объектов защиты представлен в Перечне персональных данных и иных объектов, подлежащих защите в информационных системах персональных данных Управления социальной защиты населения в городе Сарапуле.

Состав ИСПДн, подлежащих защите, представлен в Отчёте о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных Управления социальной защиты населения в городе Сарапуле.

2. Область защиты

Требования настоящей Политики распространяются на всех специалистов Управления (постоянных, временных), а также иных лиц (подрядчиков, исполнителей, аудиторов и т.п.).

3. Система защиты персональных данных

СЗПДн в Управления строится на основании:

Отчёта о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных Управления социальной защиты населения в городе Сарапуле;

Перечня персональных данных и иных объектов, подлежащих защите в информационных системах персональных данных Управления социальной защиты населения в городе Сарапуле;

актов классификации информационных систем персональных данных Управления;

моделей угроз безопасности персональных данных при их обработке в информационных системах персональных данных Управления;

Положения о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных Управления социальной защиты населения в городе Сарапуле;

нормативных документов Федеральной службы по техническому и экспортному контролю Российской Федерации и Федеральной службы безопасности Российской Федерации, в том числе перечисленных в Концепции.

На основании указанных документов определяется необходимый уровень защищённости ПДн каждой ИСПДн Управления. На основании анализа актуальных угроз безопасности ПДн, описанного в моделях угроз безопасности персональных данных при их обработке в информационных системах персональных данных Управления, и Отчёте о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных Управления социальной защиты населения в городе Сарапуле делается вывод о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн.

Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а также ПО, участвующего в обработке ПДн, на всех элементах ИСПДн:

АРМ пользователей;

сервера приложений;

СУБД;

граница ЛВС;

каналах передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.

В зависимости от уровня защищённости ИСПДн и актуальных угроз СЗПДн может включать в себя следующие технические средства:

антивирусные средства для рабочих станций пользователей и серверов;

средства межсетевого экранирования;

средства криптографической защиты информации при передаче защищаемой информации по каналам связи.

Также в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн ОС, прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать в себя:

управление и разграничение доступа пользователей;

регистрацию и учёт действий с информацией;

обеспечение целостность данных;

осуществление обнаружения вторжений.

Функции определяются в соответствии с Положением о методах и способах защиты информации в информационных системах персональных данных, утверждённых приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 05.02.2010 № 58 и на основании анализа УБПДн.

Список необходимых мероприятий и используемых технических средств отражается в Плане мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных Управления социальной защиты населения в городе Сарапуле.

Список используемых средств защиты ПДн отражается в перечнях применяемых средств защиты информации, эксплуатационной и технической документации информационных систем персональных данных Управления социальной защиты населения в городе Сарапуле и должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн соответствующие изменения должны быть внесены в указанные перечни.

4. Требования к подсистемам СЗПДн

СЗПДн включает в себя следующие подсистемы:

управления доступом;

регистрации и учёта;

обеспечения целостности и доступности;

антивирусной защиты;

межсетевого экранирования;

анализа защищённости;

обнаружения вторжений;

криптографической защиты.

Подсистемы СЗПДн имеют различный функционал в зависимости от классов ИСПДн, определенных в актах классификации информационных систем персональных данных Управления. Список соответствия функций подсистем СЗПДн классу защищённости приведен в приложении к настоящей Политике.

4.1. Подсистема управления доступом

Подсистема управления доступом предназначена для реализации следующих функций:

идентификации и проверки подлинности субъектов доступа при входе в ИСПДн;

идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;

идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;

Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Также может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по аутентификации и контролю.

4.2. Подсистема регистрации и учёта

Подсистема регистрации и учёта СЗПДн предназначена для реализации следующих функций:

регистрации входа (выхода) субъектов доступа в систему (из системы) либо регистрация загрузки и инициализации операционной системы и её останова;

регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

Подсистема регистрации и учёта может быть реализована с помощью организационных мер защиты информации. Также может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по регистрации действий, осуществляемых в ИСПДн.

4.3. Подсистема обеспечения целостности и доступности

Подсистема обеспечения целостности и доступности СЗПДн предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн Управления, а также средств защиты при случайной или намеренной модификации.

Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов ИСПДн.

4.4. Подсистема антивирусной защиты

Подсистема антивирусной защиты СЗПДн предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей ИСПДн Управления.

Средства антивирусной защиты предназначены для реализации следующих функций:

резидентный антивирусный мониторинг;

антивирусное сканирование;

скрипт-блокирование;

централизованную/удалённую установку/деинсталляцию антивирус-ного продукта, настройку, администрирование, просмотр отчётов и статистической информации по работе продукта;

автоматизированное обновление антивирусных баз;

ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного ПО;

автоматический запуск сразу после загрузки операционной системы.

Подсистема реализуется путём внедрения специального антивирусного ПО на все элементы ИСПДн.

4.5. Подсистема межсетевого экранирования

Подсистема межсетевого экранирования СЗПДн предназначена для реализации следующих функций:

фильтрации открытого и зашифрованного (закрытого) IP-трафика по следующим параметрам:

фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;

идентификации и аутентификации администратора межсетевого экрана при его локальных запросах на доступ;

регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и её программного останова;

контроля целостности своей программной и информационной части;

фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

фильтрации с учётом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

регистрации и учёта запрашиваемых сервисов прикладного уровня;

блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

контроля над сетевой активностью приложений и обнаружения сетевых атак.

Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе ЛВС классом не ниже 4.

4.6. Подсистема анализа защищённости

Подсистема анализа защищённости СЗПДн должна обеспечивать выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.

Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.

4.7. Подсистема обнаружения вторжений

Подсистема обнаружения вторжений СЗПДн должна обеспечивать выявление сетевых атак на элементы ИСПДн, подключённые к сетям общего пользования и (или) международного обмена.

Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.

4.8. Подсистема криптографической защиты

Подсистема криптографической защиты предназначена для исключения НСД к защищаемой информации в ИСПДн Управления при её передаче по каналам связи сетей общего пользования и (или) международного обмена.

Подсистема реализуется путём внедрения криптографических программно-аппаратных комплексов.

5. Категории пользователей ИСПДн

В Концепции определены основные категории пользователей ИСПДн.

В ИСПДн Управления выделяются следующие группы пользователей ИСПДн, участвующих в обработке и хранении ПДн:

администратор ИСПДн;

администратор безопасности;

пользователь ИСПДн;

администратор сети;

технический специалист по обслуживанию периферийного оборудования;

программист-разработчик ИСПДн.

Данные о группах пользователей, уровне их доступа и информированности отражается в Положении о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных Управления.

5.1. Администратор ИСПДн

Администратор ИСПДн – специалист Управления, ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (оператора АРМ) к элементам, хранящим персональные данные.

Администратор ИСПДн обладает следующим уровнем доступа и знаний:

обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;

обладает полной информацией о технических средствах и конфигурации ИСПДн;

имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

обладает правами конфигурирования и административной настройки технических средств ИСПДн.

5.2. Администратор безопасности

Администратор безопасности – специалист Управления, ответственный за функционирование СЗПДн, включая обслуживание и настройку административного, серверного и клиентского компонентов.

Администратор безопасности обладает следующим уровнем доступа и знаний:

обладает правами администратора ИСПДн;

обладает полной информацией об ИСПДн;

имеет доступ к СЗИ и протоколирования и к части ключевых элементов ИСПДн;

не имеет прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных).

Администратор безопасности уполномочен:

реализовывать политики безопасности в части настройки средств криптографической защиты информации, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь ИСПДн получает возможность работать с элементами ИСПДн;

осуществляет аудит средств защиты;

устанавливает доверительные отношения своей защищённой сети с сетями других учреждений.

5.3. Пользователь ИСПДн

Пользователь ИСПДн – специалист Управления, осуществляющий обработку ПДн.

Обработка ПДн включает в себя: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчётов по информации, полученной из ИСПД. Пользователь ИСПДн не имеет полномочий для управления подсистемами обработки данных и СЗПДн.

Пользователь ИСПДн обладает следующим уровнем доступа и знаний:

обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

располагает конфиденциальными данными, к которым имеет доступ.

5.4. Администратор сети

Функции администратора сети выполняет специалист Управления, ответственный за функционирование телекоммуникационной подсистемы ИСПДн (далее – администратор сети). Администратор сети не имеет полномочий для управления подсистемами обработки данных и безопасности.

Администратор сети обладает следующим уровнем доступа и знаний:

обладает частью информации о системном и прикладном программном обеспечении ИСПДн;

обладает частью информации о технических средствах и конфигурации ИСПДн;

имеет физический доступ к техническим средствам обработки информации и средствам защиты;

знает, по меньшей мере, одно легальное имя доступа.

5.5. Технический специалист по обслуживанию периферийного оборудования

Технический специалист по обслуживанию периферийного оборудования – специалист Управления, осуществляющий обслуживание и настройку периферийного оборудования ИСПДн. Технический специалист по обслуживанию периферийного оборудования не имеет полномочий для управления подсистемами обработки данных и безопасности.

Технический специалист по обслуживанию периферийного оборудования обладает следующим уровнем доступа и знаний:

обладает частью информации о системном и прикладном программном обеспечении ИСПДн;

обладает частью информации о технических средствах и конфигурации ИСПДн;

знает, по меньшей мере, одно легальное имя доступа.

5.6. Программист-разработчик ИСПДн

Программист-разработчик ИСПДн – специалист, осуществляющий разработку прикладного ПО, обеспечивающий его сопровождение на защищаемом объекте. К данной группе могут относиться как специалисты Управления, так и сотрудники сторонних организаций.

Лицо этой категории:

обладает информацией об алгоритмах и программах обработки информации на ИСПДн;

обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии её разработки, внедрения и сопровождения;

может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

6. Требования к пользователям ИСПДн по обеспечению защиты ПДн

Все специалисты Управления, являющиеся пользователями ИСПДн, должны чётко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

При назначении на должность нового специалиста, имеющего доступ к ИСПДн, он должен быть ознакомлен с настоящей Политикой и документами, регламентирующими требования по защите ПДн, а также обучен навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

Специалисты Управления, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи ИСПДн несут персональную ответственность за сохранность идентификаторов.

Специалисты Управления должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).

Специалисты Управления должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи ИСПДн должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

Специалистам запрещается устанавливать постороннее ПО, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Специалистам запрещается разглашать защищаемую информацию, которая стала им известна при работе с ИСПДн, третьим лицам.

При работе с ПДн в ИСПДн специалисты Управления обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.

При завершении работы с ИСПДн специалисты обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

Специалисты Управления должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение, ознакомлены с процедурой наложения дисциплинарных взысканий на специалистов, которые нарушили настоящую Политику и процедуры безопасности ПДн.

Специалисты обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, которые могут повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководителю подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

7. Обязанности пользователей ИСПДн

Обязанности пользователей ИСПДн описаны в следующих документах:

Инструкции администратора информационных систем персональных данных Управления социальной защиты населения в городе Сарапуле;

Инструкции администратора безопасности при использовании ресурсов объекта вычислительной техники Управления социальной защиты населения в городе Сарапуле;

Инструкции пользователя информационной системы персональных данных Управления социальной защиты населения в городе Сарапуле;

Инструкции пользователя информационных систем персональных данных по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций в Управлении социальной защиты населения в городе Сарапуле.

8. Ответственность специалистов Управления

В соответствии со статьей 24 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований указанного Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

Законодательство Российской Федерации позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей.

Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершённые от имени их учётных записей или системных учётных записей, если не доказан факт несанкционированного использования учётных записей.

При нарушениях специалистами Управления – пользователями ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную законодательством Российской Федерации.

__________