Межрайонный ЦЗН Зауралья

ГКУ межрайонный центр занятости населения Зауралья

Защита персональных данных

Положение
о порядке организации и проведения работ по защите информации, содержащей персональные данные при их обработке в информационных системах персональных данных
в Государственном казенном учреждении Межрайонный центр занятости населения Зауралья

1. Общие положения 

Настоящее Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах в государственном казенном учреждении межрайонный центр занятости населения Зауралья (далее — центр занятости населения) определяет основные принципы, организацию, порядок осуществления работ, основные требования и рекомендации, способы и средства защиты информации, содержащей персональные данные (далее — ПДн) при их обработке в информационных системах персональных данных, не содержащей сведения, составляющие государственную тайну.

1.1. Настоящее Положение разработано в соответствии с Федеральным законом от 27 июля 2006г. №152-ФЗ «О персональных данных», Указом Президента РФ №351 от 17 марта 2008г. «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002г. №282, постановлением Правительства РФ от 17 ноября 2007г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и другими нормативно-методическими документами по защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.

1.2. Ответственность за обеспечение требований по защите информации, содержащей персональные данные при их обработке в информационных системах персональных данных, возлагается на директора ГКУ межрайонный ЦЗН Зауралья.

1.3. Разработка организационно-технических мероприятий по защите информации, содержащей персональные данные при их обработке в информационных системах персональных данных (ИСПДн), в центре занятости населения осуществляется специалистом, назначенным приказом директора центра занятости населения для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензии на право проведения соответствующих работ.

1.4. Работники центра занятости населения, осуществляющие обработку и использование ПДн несут персональную ответственность за несоблюдение требований защиты информации, содержащей персональные данные. 

2. Основные термины и понятия 

В настоящем Положении используются следующие основные понятия и термины:

Объект защиты — материальный носитель ПДн или место его нахождения, подлежащее защите.

Утечка информации — несанкционированное и целенаправленное получение ПДн третьими лицами, которые могут ее использовать в своих интересах.

Утрата информации — несанкционированное разглашение ПДн или утрата ее носителей субъектами, которым они были доверены.

Защита информации — осуществление организационно-технических мероприятий, направленных на предотвращение утечки и утраты информации, содержащей ПДн.

Пользователь — работник центра занятости населения, имеющий доступ к информационным ресурсам ГКУ межрайонный ЦЗН Зауралья, содержащим персональные данные. 

3. Цели и задачи наличия системы защиты информации, содержащей ПДн 

Основными целями и задачами наличия системы защиты информации в ГКУ межрайонный ЦЗН Зауралья являются:

  • предотвращение утечки и утраты информации, а также ее носителей;
  • обеспечение условий быстрого, полного и всестороннего расследования случаев утечки информации;
  • устранение негативных последствий и условий в случае несанкционированной утечки или утраты информации;
  • обеспечение оптимальных условий накопления, хранения, обработки и использования информации.

4. Объекты защиты информации 

4.1. Защите в центре занятости населения подлежит информация, обрабатываемая средствами вычислительной техники (СВТ), а также представленная в виде информативных электрических сигналов, физических полей, электронных носителей и носителей на магнитной, магнито-оптической основе.

Объектами защиты при этом являются:

  • средства и системы информатизации СВТ, автоматизированные системы (АС), в том числе информационно-вычислительные комплексы, сети, системы связи и передачи данных, технические средства приема, передачи и обработки информации, программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки ПДн;
  • технические средства и системы, не обрабатывающие непосредственно ПДн, но размещенные в помещениях, где она обрабатывается (циркулирует);
  • защищаемые помещения.

4.2. Перечень сведений, содержащих ПДн при их обработке в ИСПДн и подлежащих защите, а также Перечень средств информатизации центра занятости населения, с использованием которых обрабатывается информация, содержащая ПДн, утверждаются директором ГКУ межрайонный ЦЗН Зауралья.

4.3. Все специалисты центра занятости населения должны быть ознакомлены с Перечнем сведений, содержащих ПДн при их обработке в информационных системах персональных данных.

4.4. Защита информационных систем персональных данных в центре занятости населения должна осуществляться в соответствии с требованиями методических документов, утвержденных ФСТЭК России 15 февраля 2008г. 

5. Источники угроз безопасности информации 

5.1. При использовании технических средств для обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации:

5.1.1. несанкционированный доступ к обрабатываемой в АС информации и несанкционированные действия с ней;

5.1.2. воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации посредством специально внедренных программных средств;

5.1.3. просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

5.1.4. прослушивание телефонных и радио-переговоров;

5.1.5. хищение технических средств с хранящейся в них информацией или носителей информации.

5.2. Перехват информации или воздействие на нее с использованием технических средств могут вестись:

  • из смежных помещений, принадлежащих другим организациям и расположенных в том же здании, что и объект защиты;
  • при посещении центра занятости населения посторонними лицами;
  • за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так и через вычислительные сети.

5.3. В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства съема информации (закладочные устройства), размещаемые внутри или вне защищаемых помещений.

5.4. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Это возможно, например, за счет следующих действий:

  • непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно- технических систем;
  • некомпетентных или ошибочных действий пользователей и администраторов.

6. Защита ПДн в информационно-коммуникационных системах 

6.1. С целью обеспечения безопасности ПДн в сетевых версиях автоматизированных систем, применяется система разграничения доступа к информации, содержащей ПДн с помощью программных средств используемой сетевой операционной системы (ОС). Для этого должны быть выполнены следующие мероприятия:

  • установлены права доступа пользователей к ресурсам сервера в соответствии с требованиями должностных обязанностей;
  • присвоены пользователям соответствующие имена и пароли для доступа к информации, содержащей ПДн и находящейся в локальных сетях;
  • назначать периодичность смены паролей.

6.2. Включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатываются ПДн, к сетям общего пользования, в том числе Интернет, осуществляется в соответствии с требованиями Указа Президента РФ №351 от 17 марта 2008г. «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

6.3. Для обеспечения физической безопасности информации, содержащей ПДн и циркулирующей в ЛВС, осуществляются следующие мероприятия:

6.3.1. Ограничение доступа посторонних лиц к серверам, а также сетевому оборудованию.

6.3.2. Резервное копирование информации, представляющей особую ценность (базы данных).

6.3.3. Периодический контроль ресурсов файл-серверов.

6.3.4. Применение антивирусных средств.

6.3.5. Обеспечение файл-серверов и сетевого оборудования источниками бесперебойного питания.

6.4. С целью обеспечения безопасности ПДн, обрабатываемых с использованием средств вычислительной техники, каждый пользователь, обязан выполнять следующие требования:

6.4.1. При вводе пароля убеждаться, что при наборе гарантируется его конфиденциальность.

6.4.2. При временном убытии с рабочего места и в конце рабочего дня производить отключение от используемых ресурсов или производить перезагрузку операционной системы рабочей станции.

6.4.3. При использовании в работе внешних, магнитных или иных носителей информации проверять их перед началом работы средствами антивирусной защиты.

6.4.4. При обнаружении действий, грозящих безопасности информационной системы, немедленно докладывать об этом лицам, ответственным за эксплуатацию данной системы и своему непосредственному начальнику.

6.5. Пользователю автоматизированной системы обработки персональных данных запрещается:

  • подключаться к ресурсам ЛВС и автоматизированной системе под чужим именем;
  • сообщать кому-либо пароль;
  • использовать ресурсы ЛВС для нужд, не связанных с ее назначением;
  • записывать и запускать игровые программы;
  • отключать средства защиты и регистрации доступа к информации, содержащей ПДн;
  • производить попытки несанкционированного доступа к информации, содержащей ПДн;
  • использовать в работе внешние, магнитные или иные носители информации, компакт-диски без предварительной проверки антивирусными программами;
  • производить какое-либо переключение оборудования, без согласования со специалистом, ответственным за защиту информации.

7. Методы защиты информации 

7.1. Защита информации на объектах информатизации центра занятости населения осуществляется по следующим направлениям:

  • исключение возможности незаконного получения информации, содержащей ПДн при их обработке в информационных системах персональных данных;
  • защита информации, содержащей ПДн, от компьютерных вирусов и других программно-технических воздействий, от хищения технических средств с находящейся в них информацией или отдельных носителей информации.

В этих целях:

  • ограничивается доступ посторонних лиц в помещения, в которых размещаются объекты защиты;
  • ремонт ПЭВМ осуществляется в режиме, исключающем считывание записанной или восстановление стертой на жестком диске информации, содержащей ПДн;
  • проводится аттестация объектов информатизации с оформлением «Аттестата соответствия». Аттестация проводится организацией, имеющей соответствующую лицензию Федеральной службы по техническому и экспортному контролю Российской Федерации, один раз в 3 года;
  • серверная находится в отдельном помещении, обеспечена охранной и противопожарной сигнализацией.
  • 8. Планирование работ по защите информации и контролю защиты информации 

8.1. Работа по защите информации в центре занятости населения проводится в соответствии с годовым планом.

8.2. План должен содержать мероприятия по защите информации, содержащей ПДн при их обработке в ИСПДн, направленные на выявление и учет факторов, которые воздействуют или могут воздействовать на информацию, содержащую ПДн.

Обновлено 25 мая 2017 Версия для печати
Сегодня в республиканском банке
43 413
рабочих мест

Каталог вакансий

Пользователями портала размещено
23 854
резюме

Каталог резюме

Примите участие в опросе

Ваше мнение важно для нас!

Часто задаваемые вопросы

Вопрос: В каких случаях предоставляется услуга по социальной адаптации безработных граждан на рынке труда?

Посмотреть ответ