Иван Трещев - Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов

в) Установления круга лиц участвующих в обработке персональных данных.

г) Выявления угроз безопасности персональных данных.

5) Разработать и внедрить:

а) План мероприятий по обеспечению защиты персональных данных.

б) Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

в) План внутренних проверок.

г) Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.

д) Инструкцию администратора безопасности информационных системах персональных данных.

е) Инструкцию пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.

6) Контроль за исполнением настоящего приказа возложить на начальника отдела безопасности.

Путин В. В. _________________

(подпись)

Приложение №1

УТВЕРЖДЕНО

Приказом ППО «Администрация президента»

по г. Москва

от «15» сентября 2017 г.

№ ______

ПОЛОЖЕНИЕ

о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в первичной профсоюзной организации «Администрация президента» по г. Москва

Комсомольск-на-Амуре

2017

Оглавление

1 Основные понятия и сокращения… 3

2 Общие положения… 6

3 Классификация информационных систем персональных данных… 7

4 Основные цели и задачи защиты информации на объекте информатизации организации… 4

5 Порядок определения защищаемой информации организации… 5

6 Технические каналы утечки защищаемой информации, циркулирующей на объекте информатизации Организации… 10

7 Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных… 11

8 Организация работ по защите информации на объекте информатизации организации… 13

9 Ответственность должностных лиц организации за обеспечение защиты информации, содержащей ПДн, на объекте информатизации… 17

10 Планирование работ по защите персональных данных… 20

11 Контроль состояния защиты персональных данных… 21

12 Аттестование информационных систем персональных данных… 22

13 Взаимодействие с другими организациями… 24

1. Основные понятия и сокращения

В настоящем Положении используются следующие основные понятия и сокращения:

Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор АС – лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.

Администратор безопасности АС – лицо, ответственное за защиту АС от несанкционированного доступа к информации.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа (ВП) – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы (ВТСС) – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных.

Доступ к персональным данным – возможность получения персональных данных и их использования.

Защита от несанкционированного доступа – предотвращение или существенное затруднение несанкционированного доступа.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов.

Контролируемая зона (КЗ) – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран – локальное (однокомпонентное) или функционально – распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Недекларированные возможности (НДВ) – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.