Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных
Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование совокупности мероприятий, осуществляемых на всех стадиях жизненного цикла ИСПДн, согласованных по цели, задачам, месту и времени, направленных на предотвращение (нейтрализацию) и парирование угроз безопасности ПДн в ИСПДн, на восстановление нормального функционирования ИСПДн после нейтрализации угрозы, с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз. Обеспечение безопасности ПДн при их обработке в автоматизированных ИСПДн должно проводиться путем выполнения комплекса организационных и технических мероприятий (применения технических средств) в рамках системы (подсистемы) защиты персональных данных, развертываемой в ИСПДн в процессе ее создания или модернизации.
Порядок организации обеспечения безопасности ПДн в ИСПДн должен предусматривать:
- оценку обстановки;
- обоснование требований по обеспечению безопасности ПДн
и формулирование задач защиты ПДн;
- разработку замысла обеспечения безопасности ПДн;
- -выбор целесообразных способов (мер и средств) защиты ПДн
в соответствии с задачами и замыслом защиты;
- решение вопросов управления обеспечением безопасности ПДн
в динамике изменения обстановки и контроля эффективности защиты;
- обеспечение реализации принятого замысла защиты;
- планирование мероприятий по защите ПДн;
- организацию и проведение работ по созданию системы защиты персональных данных (СЗПДн) в рамках разработки (модернизации) ИСПДн,
в том числе с привлечением специализированных сторонних организаций к разработке и развертыванию СЗПДн или ее элементов в ИСПДн, а также решение основных задач взаимодействия, определение их задач и функций на различных стадиях создания и эксплуатации ИСПДн;
- разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн;
- развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн;
- доработку СЗПДн по результатам опытной эксплуатации.
При выборе способов обеспечения безопасности ПДн, обрабатываемых в ИСПДн, необходимо определить организационные меры и технические (аппаратные, программные и программно-аппаратные) средства защиты. При выборе технических средств защиты следует использовать сертифицированные средства защиты информации.
Решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты является важным аспектом поддержания требуемого уровня безопасности ПДн.
К основным вопросам управления относятся:
- распределение функций управления доступом к данным и их обработкой между должностными лицами;
- определение порядка изменения правил доступа к защищаемой информации;
- определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
- определение порядка действий должностных лиц в случае возникновения нештатных ситуаций;
- определение порядка проведения контрольных мероприятий и действий по его результатам.
Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться оператором или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
Решение основных вопросов обеспечения защиты ПДн должно предусматривать подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения.
При подготовке документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн в обязательном порядке разрабатываются:
- положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
- требования по обеспечению безопасности ПДн при обработке в ИСПДн;
- должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;
- рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.
Испытания СЗПДн проводятся в процессе развертывания и ввода в опытную эксплуатацию ИСПДн в соответствии с частным техническим заданием. Заключение по результатам испытаний должно содержать вывод о степени соответствия СЗПДн заданным требованиям по обеспечению безопасности ПДн.
2. Политика обработки персональных данных в ОАО «Газпром»
Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ОАО «Газпром» вопросы обработки персональных данных работников ОАО «Газпром» и других субъектов персональных данных.
Политика является основой для разработки дочерними обществами и организациями ОАО «Газпром» локальных нормативных актов, определяющих политику обработки персональных данных указанных организаций.
2.1. Законодательные и иные нормативные правовые акты Российской Федерации, в соответствии с которыми определяется Политика обработки персональных данных в ОАО «Газпром»
Политика обработки персональных данных в ОАО «Газпром» определяется в соответствии со следующими нормативными правовыми актами:
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
- приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
В целях реализации положений Политики в ОАО «Газпром» разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
- положение об обработке персональных данных в ОАО «Газпром»;
- положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ОАО «Газпром», его дочерних обществ и организаций;
- перечень должностей структурных подразделений администрации ОАО «Газпром», его филиалов и представительств, при замещении которых осуществляется обработка персональных данных;
- регламенты обработки персональных данных структурных подразделений администрации ОАО «Газпром», его филиалов и представительств;
- иные локальные нормативные акты и документы, регламентирующие в ОАО «Газпром» вопросы обработки персональных данных.