Положение о комиссии

2

Содержание

ИНФОРМАЦИЯ О ДОКУМЕНТЕ.................................................................................................. 3

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ....................................................................................................... 4

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ.............................................................................................. 6

1. Общие положения........................................................................................................................ 7

1.1.     Формирование Комиссии.................................................................................................... 7

1.2.     Состав Комиссии.................................................................................................................. 7

1. Порядок функционирования...................................................................................................... 9

2.1.      Деятельность Комиссии....................................................................................................... 9

2.2.      Заседания Комиссии .......................................................................................................... 10

2.3.      Отчетность........................................................................................................................... 10

1. Обязанности Комиссии............................................................................................................. 11

3.1.      Задачи Комиссии................................................................................................................ 11

3.2.      Функции Комиссии............................................................................................................ 11

1. Полномочия Комиссии............................................................................................................. 14
2. Ответственность........................................................................................................................ 15

3

4

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

База данных - совокупность данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных программ.

Безопасность информации - состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

Выделенные помещения - помещения (кабинеты, актовые, конференц-залы и т.д.) специально предназначенные для обработки персональных данных.

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Информационная безопасность (учреждения) - состояние защищенности интересов учреждения в условиях угроз в информационной сфере.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Инцидент информационной безопасности - любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Непреднамеренное воздействие на информацию - ошибка пользователя информацией, сбой технических и программных средств информационных систем, природные явления или иные нецеленаправленные на изменение информации действия, приводящие к искажению, уничтожению, копированию, блокированию доступа к информации, а также утрате, уничтожению или сбою функционирования носителя информации.

Несанкционированное воздействие на информацию - воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Несанкционированный доступ (к информации) - доступ к информации, осуществляемый с нарушением установленных прав и (или) правил доступа к информации.

Носитель информации - материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

5

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор (персональных данных) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Правило доступа (к защищаемой информации) - совокупность правил, регламентирующих порядок и условия доступа субъекта к защищаемой информации и ее носителям.

Право доступа (к защищаемой информации) - совокупность правил доступа к защищаемой информации, установленных правовыми документами или собственником, владельцем информации.

Разглашение информации - несанкционированное доведение защищаемой информации до лиц, не имеющих права доступа к этой информации.

Система защиты персональных данных - совокупность организационных и (или) технических мер, определенных с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах персональных данных.

Угроза безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

Угроза информационной безопасности (организации) - совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации.

Утечка информации - неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками (ГОСТ Р 53114-2008).

6

7

1. Общие положения

1.1.    Формирование Комиссии

1.1.1.    Комиссия создается в целях исполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, а также организации процессов обработки и защиты ПДн в Учреждении.

1.1.2.    Структура, численность и персональный состав Комиссии определяются приказом директора с учетом требований раздела 1.2 настоящего положения.

1.1.3.    В состав Комиссии могут быть включены наиболее квалифицированные и ответственные работники Учреждения, а также приглашенные специалисты и эксперты сторонних организаций, компетентные в соответствующих областях знаний.

1.1.4.    Комиссия действует на постоянной основе и подчиняется директору.

1.2.    Состав Комиссии

1.2.1.     Комиссия состоит из председателя Комиссии и членов Комиссии. Из числа членов Комиссии назначаются заместитель председателя Комиссии и секретарь Комиссии.

1.2.2.    Руководство Комиссией осуществляет председатель Комиссии.

1.2.3.    Председатель Комиссии

1.2.3.1.    Председатель Комиссии является ответственным должностным лицом Учреждения за организацию СЗПДн, ее обеспечение и поддержание функционирования, выполнение возложенных на Комиссию задач и функций.

1.2.3.2.    Председатель Комиссии планирует и организует работу Комиссии, председательствует на заседаниях Комиссии, распределяет обязанности между членами Комиссии, дает им поручения. По результатам распределения обязанностей формируется перечень обязанностей членов Комиссии.

1.2.3.3.    Председатель Комиссии назначает ответственных должностных лиц из числа членов Комиссии за решение отдельных вопросов в различных направлениях деятельности Комиссии.

1.2.3.4.    Председатель Комиссии определяет место, время и утверждает повестку дня заседания Комиссии.

1.2.3.5.    Председатель Комиссии организует работу по подготовке проектов ЛНА, по внесению изменений в состав Комиссии в связи с организационно-кадровыми изменениями в течение 14 дней с момента их возникновения, по внесению изменений и дополнений в настоящее положение, по реорганизации и упразднению Комиссии.

1.2.3.6.    Председатель Комиссии осуществляет контроль реализации принятых Комиссией решений и рекомендаций и представляет Комиссию по вопросам, относящимся к ее компетенции.

1.2.3.7.    В случае временного отсутствия председателя Комиссии или невозможности временно исполнять возложенные на него функции, в срок не позднее 10 дней с момента возникновения таких обстоятельств, заместитель председателя Комиссии принимает на себя функции по организации СЗПДн, ее обеспечению и поддержанию функционирования. Передача возложенных обязательств оформляется приказом директора.

1.2.4.   Члены Комиссии

8

1.1.4.1.              Члены Комиссии подбираются на основании уровня их компетентности в вопросах защиты ПДн, а также осведомленности о структуре бизнес-процессов Учреждения.

1.1.4.2.  Члены Комиссии имеют право вносить председателю Комиссии предложения по формированию повестки дня заседания Комиссии и плана работы Комиссии в целом.

1.1.4.3.  Заместитель председателя Комиссии по поручению председателя Комиссии исполняет его обязанности в момент отсутствия. Заместитель председателя Комиссии организует деятельность членов Комиссии по порученным ему направлениям, организует участие в заседаниях Комиссии представителей заинтересованных органов государственной власти и организаций.

1.1.4.4.  Секретарь Комиссии отвечает за подготовку заседаний Комиссии, сбор и подготовку материалов к заседаниям Комиссии, подготовку проектов планов работы Комиссии, формирует проект повестки дня заседания Комиссии, оформляет протоколы заседаний Комиссии, готовит отчеты о работе Комиссии, информирует членов Комиссии о месте, времени и о повестке дня очередного заседания Комиссии и обеспечивает их необходимыми справочно-информационными материалами, формирует в дела документы Комиссии, хранит их и сдает в архив в установленном порядке.

9

1. Порядок функционирования

2.1.            Деятельность Комиссии

2.1.4.   Комиссия в своей деятельности руководствуется:

а)       настоящим положением;

б)       Положением об обработке и защите ПДн;

в)       Регламентом проведения внутренних мероприятий по контролю обеспечения защиты ПДн;

г)        Федеральным законом от 27.07.2006 № 152-ФЗ «О ПДн»;

д)       Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

е)       постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении Требований к защите ПДн при их обработке в ИСПДн»;

ж)       постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»;

з)        методическими и нормативными документами ФСТЭК России и ФСБ России в области защиты ПДн;

и)       ЛНА Учреждения, регламентирующими обработку и защиту ПДн;

к)        прочими Федеральными законами, указами Президента РФ, постановлениями Правительства РФ и иными нормативными правовыми актами, регламентирующими обработку и защиту ПДн в РФ.

2.1.5.   Деятельность Комиссии организуется и проводится в соответствии с перспективными и текущими планами работы, в которые включаются мероприятия, предусматривающие следующие основные направления:

-        анализ деятельности Учреждения в вопросах обработки и защиты ПДн за отчетный период;

-        общий контроль организации защиты ИСПДн Учреждения;

-        подготовка рекомендаций, направленных на обеспечение СЗПДн.

2.1.6.   Планы работы Комиссии формируются под руководством председателя или заместителя председателя Комиссии и утверждаются директором. При необходимости, вопросы, не нашедшие отражения в планах работы Комиссии, могут быть вынесены на рассмотрение Комиссии во внеплановом порядке.

2.1.7.   Члены Комиссии исполняют своих обязанностей и функций в качестве членов Комиссии без отрыва от основной их деятельности..

2.1.8.   Комиссия осуществляет свою деятельность в тесном взаимодействии со всеми структурными подразделениями Учреждения и, в случае необходимости, привлекает их руководителей.

10

2.2.            Заседания Комиссии

2.2.1.Заседания Комиссии проводятся по мере необходимости, но не реже одного раза в полгода.

2.1.1.  Внеочередные заседания Комиссии проводятся по решению председателя Комиссии.

2.1.2.   При необходимости, на заседания Комиссии могут приглашаться специалисты и эксперты сторонних организаций, компетентные в предметных областях.

2.1.3.   Заседание Комиссии считается правомочным, если на нем присутствует не менее половины ее членов.

2.1.4.   Рассмотрение вопросов, выносимых на заседание Комиссии, не должно приводить к необоснованному расширению круга лиц, допускаемых к сведениям по рассматриваемой тематике. Доступ приглашенных компетентных специалистов и экспертов к таким сведениям осуществляется в соответствии с распоряжением директора, а их присутствие на заседаниях Комиссии ограничивается рассмотрением вопросов, для обсуждения которых они приглашены.

2.1.5.   По результатам обсуждения на заседании запланированных вопросов Комиссия принимает решения большинством голосов.

2.1.6.   По результатам заседаний Комиссии оформляются протоколы, которые подписываются председателем (заместителем председателя) и другими членами Комиссии и представляются директору на ознакомление.

2.1.7.   Члены Комиссии, в случае несогласия с принятым на заседании Комиссии решением, имеют право письменно изложить свое особое мнение, которое подлежит обязательному приобщению к протоколу заседания.

2.3. Отчетность

2.3.1.    Комиссия подотчетна директору.

2.3.2.    Председатель Комиссии периодически, но не реже одного раза в год, представляет директору отчет об итогах работы Комиссии и реализации ее предложений и рекомендаций.

2.3.3.    Отчет об итогах работы Комиссии за истекший год представляется на рассмотрение директору не позднее одного месяца после окончания календарного года.

2.3.4.    Кроме отчета об итогах работы Комиссии директору могут быть представлены:

-         информационные материалы о состоянии ИБ Учреждения;

-         предложения по решению актуальных проблем обеспечения защиты ПДн в Учреждении, в том числе по совершенствованию СЗПДн;

-         предложения по внесению изменений и дополнений в ЛНА Учреждения, регламентирующие обработку и защиту ПДн.

11

1. Обязанности Комиссии

3.1.      Задачи Комиссии

3.1.1.   Основными задачами Комиссии являются:

3.1.1.1.   Разработка единой концепции обеспечения безопасности ПДн в Учреждении, определение требований к СЗПДн и документообороту на бумажных и машинных носителях информации.

3.1.1.2.   Планирование и организация мероприятий, и координация работ по обеспечению безопасности ПДн на всех этапах их обработки.

3.1.1.3.   Определение необходимости обеспечения установленных Правительством РФ уровней защищенности ПДн при их обработке в ИСПДн.

3.1.1.4.   Контроль и оценка эффективности принимаемых мер защиты ПДн и применяемых СЗИ.

3.1.1.5.   Организация и проведение учебно-методических мероприятий с работниками Учреждения по вопросам защиты ПДн.

3.1.1.6.   Обеспечение законности и правомерности обработки ПДн в Учреждении, а также свободной реализации прав и интересов субъектов ПДн.

3.2.      Функции Комиссии

3.2.1.   С целью эффективного решения поставленных задач Комиссия выполняет следующие функции:

3.2.1.1.   Организационные:

3.2.1.1.1.          Формирует перечень обрабатываемых ПДн, проводит их категорирование, определяет сроки хранения и порядок уничтожения носителей ПДн.

3.2.1.1.2.          Формирует списки лиц, допущенных к обработке ПДн, в выделенные помещения, к информационным ресурсам и ИСПДн в целом.

3.2.1.1.3.   Организует и обеспечивает порядок доступа в выделенные помещения.

3.2.1.1.4.   Формирует планы резервного копирования ресурсов ИСПДн.

3.2.1.1.5.          Принимает решение об использовании в Учреждении сертифицированных программных, аппаратных, программно-аппаратных и криптографических СЗИ.

3.2.1.1.6.          Анализирует и прогнозирует ситуации в области защиты ПДн, в том числе проводит анализ возможных УБПДн и каналов их утечки, прогнозирует появления новых еще не известных угроз, разрабатывает предложения по их предотвращению.

3.2.1.1.7.          Анализирует и прогнозирует изменение нормативных правовых актов и требований законодательства РФ в области ПДн.

3.2.1.1.8.   Создает условия и механизмы оперативного реагирования на УБПДн.

3.2.1.1.9.          Составляет акты и другую техническую документацию о степени защищенности выделенных помещений, АРМ и ИСПДн в целом.

12

3.2.1.1.10.       Планирует и организует практические мероприятия по предотвращению попыток несанкционированного вмешательства в процессы нормального функционирования ИСПДн и попыток НСД к обрабатываемым ПДн.

3.2.1.1.11.       Создает условия для максимально возможного возмещения ущерба и локализации негативных последствий, возникших в результате неправомерных действий физических лиц или случайных событий, ослабления последствий нарушения безопасности ПДн.

3.2.1.1.12.       Принимает мотивированные решения о передаче ПДн субъектов ПДн или о предоставлении к ним доступа третьим лицам или сторонним организациям.

3.2.1.1.13.       Принимает решения о необходимости привлечения сторонних специализированных организаций для выполнения отдельных работ, связанных с модернизацией и (или) аудитом СЗПДн, ремонтом ТС ИСПДн и др.

3.2.1.1.14.       Осуществляет подготовку к организуемым контролирующими органами мероприятиям по контролю защиты ПДн в Учреждении.

3.2.1.1.15. Доводит до сведения работников Учреждения требования законодательства РФ в области ПДн, а также требования ЛНА Учреждения, регламентирующих обработку и защиту ПДн.

3.2.1.1.16. Организует и проводит занятия с работниками Учреждения по вопросам защиты ПДн, правилам работы в ИСПДн и изучению ЛНА, регламентирующих обработку и защиту ПДн.

3.2.1.1.17. Осуществляет ведение журналов учета СЗПДн.

3.2.1.1.18.       Принимает и обрабатывает обращения и запросы субъектов ПДн и (или) контролирует прием и обработку таких обращений и запросов в Учреждении.

3.2.1.1.19. Планирует свою деятельность.

3.2.1.2.  Контрольные:

3.2.1.2.1.          Принимает участие в проектировании, приемке, сдаче в эксплуатацию программных средств и автоматизированных систем Учреждения (в части требований к обеспечению безопасности ПДн).

3.2.1.2.2.          Организует контроль над выполнением специальных требований по размещению ТС ИСПДн, прокладке кабельных трасс и инженерных систем, организации резервного копирования ПДн, а также созданию и использованию эталонных копий ПО в части обеспечения безопасности ПДн и процессов их обработки.

3.2.1.2.3.          Организует и проводит работы по контролю наличия материальных носителей ПДн, экспертизе ценности документов, условий их хранения и уничтожения.

3.2.1.2.4.          Контролирует соблюдение требований          технических условий, правил эксплуатации и сертификатов на эксплуатируемые СЗИ.

3.2.1.2.5.          Контролирует полноту и своевременность выполнения мероприятий по защите ПДн и принятых решений Комиссии в структурных подразделениях Учреждения.

13

3.2.1.2.6.    Осуществляет периодический контроль системных журналов СЗИ.

3.2.1.2.7.          Проводит экспертизу договоров Учреждения со сторонними организациями по вопросам обеспечения безопасности ПДн.

3.2.1.2.8.           Организует и контролирует выполнение плановых заданий, договорных обязательств, а также сроков, полноты и качества работ, выполняемых соисполнителями.

3.2.1.2.9.          Контролирует функционирование СЗПДн и подготавливает предложения по ее совершенствованию.

3.2.1.2.10.       Обеспечивает соответствие проводимых работ по защите ПДн технике безопасности, правилам и нормам охраны труда.

3.2.1.3.  Технические:

3.2.1.3.1.          Организует и контролирует проектирование, разработку, внедрение, установку, настройку, администрирование и удаление СЗИ и СЗПДн в целом.

3.2.1.3.2.          Организует и проводит мероприятия по очистке и (или) уничтожению машинных носителей ПДн.

3.2.1.4.  Специальные:

3.2.1.4.1.          Проводит служебные расследования по фактам нарушения безопасности ПДн, в том числе анализирует обстоятельства и причины такого нарушения, определяет реальный и потенциальный ущерб для Учреждения и (или) субъекта ПДн.

3.2.1.4.2.          Проводит анализ и расследование инцидентов ИБ, вырабатывает стратегии устранения последствий подобных инцидентов, а также требования и рекомендации по их предупреждению и устранению в будущем.

14

1. Полномочия Комиссии

4.1.    Комиссия имеет право:

4.1.1.   Знакомиться с документами и материалами, необходимыми для выполнения возложенных задач и функций.

4.1.2.   Выступать с инициативой по разработке проектов ЛНА, регламентирующих обработку и защиту ПДн в Учреждении.

4.1.3.   Давать работникам Учреждения обязательные для выполнения указания по защите ПДн, определяемые действующим законодательством РФ и ЛНА Учреждения.

4.1.4.   Принимать мотивированные решения о привлечении сторонних специализированных организаций к проведению работ по технической защите ПДн.

4.1.5.   Организовывать и координировать работу всех структурных подразделений Учреждения в вопросах обработки и защиты ПДн.

4.1.6.   Запрашивать и получать от всех структурных подразделений Учреждения сведения или справочные материалы, необходимые для осуществления своей деятельности.

4.1.7.    Привлекать                                                                                                            в установленном порядке работников Учреждения, имеющих

непосредственное отношение к рассматриваемым проблемам, для более детального изучения отдельных вопросов, возникающих в процессе своей работы, и выработки обоснованных рекомендаций и заключений.

4.1.8.   Привлекать лицо, ответственное за обеспечение работоспособности ПО и ТС ИСПДн к выполнению работ по установке, настройке, администрированию и удалению СЗИ, а также к администрированию СЗПДн.

4.1.9.   Проводить проверки соблюдения установленного порядка защиты ПДн во всех структурных подразделениях Учреждения и докладывать об их результатах директору.

4.1.10.Взаимодействовать в соответствии с законодательством РФ с федеральными органами

исполнительной   власти, федеральными государственными органами, органами местного самоуправления, организациями по вопросам ИБ и защиты ПДн.

4.1.11.                Вносить руководителям структурных подразделений Учреждения предложения о приостановке действий, противоречащих законодательству РФ в области ПДн, по направлениям, отнесенным к компетенции Комиссии в соответствии с разделом 3 настоящего положения.

4.1.12.                Принимать необходимые меры в случае обнаружения нарушения установленного порядка защиты ПДн, вплоть до приостановки обработки ПДн в ИСПДн, структурных подразделениях или в Учреждении в целом.

4.1.13.                Требовать от работников Учреждения письменных объяснений необходимых обстоятельств и фактов при проведении служебных расследований.

4.1.14.                Подготавливать и представлять в установленном порядке директору предложения о порядке определения размера ущерба, который может быть причинен Учреждению, его работникам либо субъектам ПДн вследствие нарушения безопасности ПДн.

4.1.15.                Вносить предложения директору об отстранении от выполнения служебных (трудовых) обязанностей работников Учреждения, систематически нарушающих требования по защите ПДн