Отдел

Нам важно знать ваше мнение

1. Оцените, насколько в целом услуги в сфере социального обслуживания населения доступны?


2. Оцените, насколько в целом информация об организациях, оказывающих услуги в сфере социального обслуживания доступна?


3. Оцените, насколько в целом работники организаций социального обслуживания доброжелательны, вежливы и внимательны?



Положение и информационные системы

Утверждено приказом Министерства социальной, семейной и демографической политики Удмуртской Республики от 20 февраля 2015 г. № 83, Приложение 26


ПОЛОЖЕНИЕ

об Отделе социальной защиты населения

в Малопургинском районе

I. Общие положения

      1. Отдел социальной защиты населения в Малопургинском районе (далее - территориальный орган) является территориальным органом Министерства социальной, семейной и демографической политики Удмуртской Республики. Функции и полномочия учредителя территориального органа от имени Правительства Удмуртской Республики осуществляет Министерство социальной, семейной и демографической политики Удмуртской Республики. Территориальный орган в своей деятельности подчиняется Министерству социальной, семейной и демографической политики Удмуртской Республики. Структура территориального органа устанавливается Министерством социальной, семейной и демографической политики Удмуртской Республики.

      2. Территориальный орган в своей деятельности руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, иными нормативными правовыми актами Российской Федерации, Конституцией Удмуртской Республики, законами Удмуртской Республики, актами Главы Удмуртской Республики и Правительства Удмуртской Республики, иными нормативными правовыми актами Удмуртской Республики, настоящим Положением, а также приказами и распоряжениями Министерства социальной, семейной и демографической политики Удмуртской Республики.

     3. Полное наименование территориального органа на русском языке – Отдел социальной защиты населения в Малопургинском районе, сокращённое наименование – ОСЗН в Малопургинском районе, наименование на удмуртском языке – Пичи Пурга ёросысь калыкез мерлыко утёнъя ёзэс.

        4. Территориальный орган является юридическим лицом, имеет печать с изображением Государственного герба Удмуртской Республики и со своим наименованием, иные печати, штампы, бланки и счета, открываемые в установленном порядке.

           5.  Местонахождение территориального органа – с. Малая Пурга.

II. Полномочия 

       Территориальный орган осуществляет следующие полномочия: 

       1) осуществляет деятельность по предоставлению государственных услуг в соответствии с законодательством;

       2) является органом опеки и попечительства в отношении совершеннолетних граждан, проживающих на территории Малопургинского района;

    3) осуществляет региональный государственный контроль (надзор) в сфере социального обслуживания граждан на территории Удмуртской Республики;

      4) осуществляет деятельность по: предоставлению ежемесячной денежной выплаты ветеранам труда, ветеранам труда Удмуртской Республики, труженикам тыла, реабилитированным лицам и лицам, признанным пострадавшими от политических репрессий;

назначению и выплате ежемесячной денежной компенсации расходов на оплату жилого помещения и коммунальных услуг и доплаты к ней отдельным категориям граждан, проживающим в Удмуртской Республике; 

назначению и выплате государственных пособий гражданам, имеющим детей, в соответствии с законодательством;

назначению ежемесячных компенсационных выплат нетрудоустроенным женщинам, имеющим детей в возрасте до 3 лет, уволенным в связи с ликвидацией организации, если они находились на момент увольнения в отпуске по уходу за ребёнком и не получают пособия по безработице; 

назначению и выплате единовременного пособия беременным женщинам, не состоящим в трудовых отношениях;

предоставлению ежемесячной денежной выплаты нуждающимся в поддержке семьям при рождении в семье после 31 декабря 2012 года третьего и последующих детей;

назначению пособия на проведение летнего оздоровительного отдыха, ежемесячного пособия детям отдельных категорий военнослужащих и сотрудников некоторых федеральных органов исполнительной власти в соответствии с законодательством; 

предоставлению единовременного денежного вознаграждения женщинам- матерям, награждённым знаком отличия «Материнская слава»;

предоставлению единовременного денежного вознаграждения лицам (одному из родителей или одинокому отцу), награждённым знаком отличия «Родительская слава»;

предоставлению ежегодной денежной выплаты инвалидам боевых действий, проходившим военную службу по призыву;

выплате государственных единовременных пособий и ежемесячных денежных компенсаций гражданам при возникновении у них поствакцинальных осложнений в соответствии с законодательством; 

назначению ежемесячных денежных компенсаций в возмещение вреда, причинённого здоровью граждан в связи с радиационным воздействием вследствие чернобыльской катастрофы либо с выполнением работ по ликвидации последствий аварии на Чернобыльской АЭС, а также аварии на производственном объединении «Маяк» и сбросов радиоактивных отходов в реку Теча;

назначению и выплате пособий, компенсаций и иных выплат гражданам, подвергшимся воздействию радиации, в соответствии с законодательством; 

назначению и выплате денежной компенсации лицам, подвергшимся репрессиям в виде лишения свободы, помещения на принудительное лечение в психиатрические лечебные учреждения и реабилитированным в установленном порядке;

выплате социального пособия на погребение в случаях, установленных законодательством; 

назначению ежемесячной денежной компенсации военнослужащим или гражданам, призванным на военные сборы, которым в период прохождения военной службы (военных сборов) либо после увольнения с военной службы (отчисления с военных сборов или окончания военных сборов) установлена инвалидность вследствие военной травмы, членам семьи умершего (погибшего) инвалида, а также членам семьи военнослужащего или гражданина, призванного на военные сборы, погибших (умерших) при исполнении обязанностей военной службы либо умерших вследствие военной травмы, пенсионное обеспечение которых осуществляется Пенсионным фондом Российской Федерации;

назначению членам семей погибших (умерших) военнослужащих и сотрудников некоторых федеральных органов исполнительной власти компенсационных выплат в связи с расходами по оплате жилых помещений, коммунальных и других видов услуг; 

приёму документов и принятию решения о выделении средств на проведение ремонта индивидуальных жилых домов, принадлежащих членам семей военнослужащих и сотрудников некоторых федеральных органов исполнительной власти, потерявшим кормильца;

оформлению и выдаче удостоверений (дубликатов удостоверений) о праве на льготы отдельным категориям граждан, имеющим право на меры социальной поддержки;

чествованию супружеских пар, отмечающих 50-, 55-, 60-, 65-, 70- и 75-летие совместной жизни, в соответствии с законодательством Удмуртской Республики;

выдаче талонов на бесплатный проезд на междугородном автомобильном транспорте внутриреспубликанского сообщения (кроме такси) для отдельных категорий граждан, имеющих право на меры социальной поддержки; 

выдаче студентам справки на получение государственной социальной помощи; выдаче справки о среднедушевом доходе семьи для обеспечения детей в возрасте до трёх лет по заключению врачей полноценным питанием, в том числе через специальные пункты питания и магазины;

предоставлению гражданам, имеющим право на получение государственной социальной помощи в виде набора социальных услуг, при наличии медицинских показаний путёвок на санаторно-курортное лечение, осуществляемое в целях профилактики основных заболеваний, и бесплатного проезда на междугородном транспорте к месту лечения и обратно;

обеспечению инвалидов техническими средствами реабилитации и (или) услугами и отдельных категорий граждан из числа ветеранов протезами (кроме зубных протезов), протезно-ортопедическими изделиями, выплате компенсации за самостоятельно приобретённые инвалидами технические средства реабилитации (ветеранами протезы (кроме зубных протезов), протезно-ортопедические изделия) и (или) оплаченные услуги и ежегодной денежной компенсации расходов инвалидов на содержание и ветеринарное обслуживание собак-проводников; 

приёму документов для предоставления социального обслуживания граждан, принятию решения о признании гражданина нуждающимся в социальном обслуживании либо об отказе в социальном обслуживании;

составлению индивидуальной программы предоставления социальных услуг в соответствии с законодательством;

      5) в соответствии с законодательством совместно с Министерством социальной, семейной и демографической политики Удмуртской Республики участвует в осуществлении деятельности по вопросам: 

назначения и выплаты пенсии за выслугу лет государственным гражданским служащим Удмуртской Республики, доплат к пенсии, выплачиваемых за счёт средств бюджета Удмуртской Республики; 

предоставления ежегодной денежной выплаты гражданам, награждённым нагрудным знаком «Почётный донор России»; 

назначения и выплаты инвалидам (в том числе детям-инвалидам), имеющим транспортные средства в соответствии с медицинскими показаниями, или их законным представителям компенсации уплаченной ими страховой премии по договору обязательного страхования гражданской ответственности владельцев транспортных средств; 

присвоения званий «Ветеран труда», «Ветеран труда Удмуртской Республики» и выдачи удостоверений (дубликатов удостоверений) ветерана; 

оформления и выдачи удостоверений (дубликатов удостоверений) гражданам, пострадавшим вследствие воздействия радиации; 

предоставления государственной социальной помощи, в том числе на основании социального контракта, малоимущим гражданам и гражданам, находящимся в трудной жизненной ситуации; 

    6) формирует дела получателей пособий, компенсаций, мер социальной поддержки в соответствии с законодательством, обеспечивает их учёт и хранение;

  7) проводит обследование условий проживания граждан с составлением акта социально-бытового обследования в соответствии с законодательством; 

     8) возмещает расходы на погребение за счёт средств бюджета Удмуртской Республики в соответствии с законодательством;

   9) осуществляет меры по профилактике безнадзорности несовершеннолетних и организует индивидуальную профилактическую работу в отношении безнадзорных и беспризорных несовершеннолетних, их родителей или иных законных представителей, не исполняющих своих обязанностей по воспитанию, содержанию несовершеннолетних и (или) отрицательно влияющих на их поведение либо жестоко обращающихся с ними;

   10) осуществляет приём использованных проездных билетов при перевозке несовершеннолетних, самовольно ушедших из семей, организаций для детей-сирот и детей, оставшихся без попечения родителей, образовательных организаций и иных организаций, и передачу указанных билетов государственному казённому учреждению социального обслуживания Удмуртской Республики «Республиканский социально-реабилитационный центр для несовершеннолетних» в соответствии с законодательством; 

   11) осуществляет мероприятия по организации отдыха и оздоровления детей, находящихся в трудной жизненной ситуации, в соответствии с законодательством Российской Федерации и законодательством Удмуртской Республики; 

     12) осуществляет координацию мероприятий по реализации индивидуальной программы реабилитации инвалида (ребёнка-инвалида) и оказание необходимого содействия инвалиду; 

    13) определяет потребность в специальных рабочих местах для трудоустройства инвалидов и минимального количества специальных рабочих мест для каждой организации в пределах установленной квоты для приёма на работу инвалидов;

     14) осуществляет формирование и актуализацию регистров, реестров и баз данных по вопросам, отнесённым к ведению территориального органа, в соответствии с законодательством;

     15) осуществляет межведомственное информационное взаимодействие в установленной сфере деятельности;    

  16) обеспечивает доступ к информации о деятельности территориального органа на официальном сайте территориального органа в информационно- телекоммуникационной сети «Интернет»;

   17) участвует в реализации государственных программ Российской Федерации, государственных и иных программ Удмуртской Республики в установленной сфере деятельности; 

      18) рассматривает обращения граждан и организаций по вопросам, относящимся к установленной сфере деятельности территориального органа;

      19) осуществляет приём граждан, консультирование по вопросам применения законодательства в установленной сфере деятельности;

      20) информирует население Малопургинского района по вопросам, относящимся к установленной сфере деятельности территориального органа, в том числе с использованием средств массовой информации;

      21) в установленном порядке направляет необходимые бюджетные заявки; 

      22) представляет отчётность в соответствии с законодательством; 

   23) изучает, обобщает и распространяет передовой опыт работы по вопросам, относящимся к установленной сфере деятельности территориального органа. Разрабатывает и внедряет рациональные формы и методы работы на основе использования новейших технологий и техники, прогрессивных форм управления и организации труда; 

      24) осуществляет: 

функции получателя средств бюджета Удмуртской Республики, предусмотренных на его содержание и реализацию возложенных на него функций; 

полномочия заказчика для обеспечения государственных нужд в установленной сфере деятельности в соответствии с законодательством; 

мероприятия по противодействию терроризму в установленной сфере деятельности территориального органа; 

организацию и ведение гражданской обороны в территориальном органе; 

мобилизационную подготовку территориального органа;

организацию обеспечения безопасных условий труда работников территориального органа; 

работу по комплектованию, хранению, учёту и использованию архивных документов, образовавшихся в процессе деятельности территориального органа;

 в пределах своей компетенции защиту сведений, составляющих государственную тайну, а также иной информации ограниченного доступа, в том числе персональных данных;

     25) осуществляет иные полномочия в установленной сфере деятельности территориального органа, если такие полномочия предусмотрены законами Удмуртской Республики, нормативными правовыми актами Главы Удмуртской Республики, Правительства Удмуртской Республики, Министерства социальной, семейной и демографической политики Удмуртской Республики.

      7. Территориальный орган с целью реализации полномочий в установленной сфере деятельности вправе: 

    1) запрашивать и получать в установленном порядке сведения, необходимые для принятия решений по вопросам, отнесённым к установленной сфере деятельности территориального органа, в том числе в порядке межведомственного информационного взаимодействия при предоставлении государственных услуг; 

      2) проводить проверки достоверности сведений, представленных гражданами, в том числе путём получения необходимой информации у органов и организаций, в соответствии с законодательством; 

      3) осуществлять иные права в соответствии с законодательством.

 III. Организация деятельности 

      8. Территориальный орган возглавляет начальник, назначаемый и освобождаемый от должности министром социальной, семейной и демографической политики Удмуртской Республики или уполномоченным им лицом. Начальник территориального органа несёт персональную ответственность за выполнение возложенных на территориальный орган полномочий.

      9. Начальник территориального органа: 

      1) утверждает положения о структурных подразделениях территориального органа (при их наличии); 

      2) утверждает в пределах установленной штатной численности и фонда оплаты труда штатное расписание территориального органа по согласованию с Министерством социальной, семейной и демографической политики Удмуртской Республики; 

      3) представляет на утверждение в Министерство социальной, семейной и демографической политики Удмуртской Республики бюджетную смету на содержание территориального органа; 

      4) осуществляет права и несёт обязанности представителя нанимателя в отношении государственных гражданских служащих Удмуртской Республики, замещающих должности государственной гражданской службы Удмуртской Республики в территориальном органе, решает вопросы, связанные с прохождением государственной гражданской службы Удмуртской Республики в территориальном органе; 

      5) назначает на должность и освобождает от должности работников территориального органа, заключает, изменяет, расторгает с ними трудовые договоры в порядке, установленном законодательством, осуществляет иные права и несёт обязанности работодателя в отношении работников территориального органа; 

      6) является ответственным лицом территориального органа за работу по профилактике коррупционных нарушений; 

      7) действует без доверенности от имени территориального органа; 8) принимает решения, издаёт по оперативным и другим текущим вопросам деятельности территориального органа приказы и распоряжения; 

      9) осуществляет права и несёт обязанности получателя бюджетных средств, предусмотренных на содержание территориального органа и реализацию возложенных на него функций, распоряжается в порядке, предусмотренном законодательством, денежными средствами территориального органа, а также имуществом, закреплённым за территориальным органом на праве оперативного управления, разрешает иные вопросы, относящиеся к финансово-хозяйственной деятельности территориального органа; 

     10) от имени территориального органа заключает государственные контракты, договоры и соглашения, выдаёт доверенности; 

     11) открывает и закрывает лицевые счета территориального органа, совершает по ним операции, подписывает финансовые документы территориального органа; 

     12) обеспечивает соблюдение в территориальном органе финансовой и учётной дисциплины, несёт персональную ответственность за нарушение бюджетного законодательства Российской Федерации; 

     13) организует приём граждан должностными лицами территориального органа и осуществляет личный приём граждан;

     14) осуществляет иные полномочия в соответствии с законодательством. 

     10. В случаях, когда начальник территориального органа временно (в связи с болезнью, отпуском или командировкой) не может исполнять свои обязанности, их временно исполняет заместитель начальника территориального органа. В случае временного отсутствия (отсутствия) заместителя начальника территориального органа исполнение обязанностей начальника территориального органа по приказу начальника территориального органа осуществляет иное должностное лицо территориального органа.


                                                                                                                              ____________________




УТВЕРЖДЕНА

приказом 

Отдела социальной защиты населения 

в Малопургинском районе

от «09» августа 2019 года № 31

КОНЦЕПЦИЯ

информационной безопасности информационных систем
Отдела социальной защиты населения в Малопургинском районе

I. Общие положения

1. Настоящая Концепция определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных, используемых в информационных системах Отдела социальной защиты населения в Малопургинском районе (далее – Отдел).

2. Настоящая Концепция определяет основные требования и базовые подходы к реализации системы защиты персональных данных для достижения требуемого уровня безопасности информации.

3. Настоящая Концепция разработана в соответствии с системным подходом к обеспечению информационной безопасности. Системный подход предполагает проведение комплекса мероприятий, включающих исследование угроз информационной безопасности и разработку системы защиты персональных данных с позиции комплексного применения технических и организационных мер и средств защиты.

4. Под информационной безопасностью персональных данных понимается защищённость персональных данных и обрабатывающей их инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, её владельцам (субъектам персональных данных) или инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба от возможной реализации угроз безопасности персональных данных, а также к прогнозированию и предотвращению таких воздействий.

5. Настоящая Концепция является методологической основой для:

формирования и проведения единой политики в области обеспечения безопасности персональных данных в информационных системах Отдела;

принятия управленческих решений и разработки практических мер для реализации политики безопасности персональных данных и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз персональных данных;

координации деятельности структурных подразделений Отдела при проведении работ по развитию и эксплуатации информационных систем Отдела с соблюдением требований обеспечения безопасности персональных данных;

разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности персональных данных в информационных системах Отдела.

II. Построение системы защиты персональных данных в Отделе

6. Система защиты персональных данных представляет собой совокупность организационных и технических мероприятий для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий с ними.

7. Безопасность персональных данных достигается путём исключения несанкционированного, в том числе случайного, доступа к ним, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

8. Структура, состав и основные функции системы защиты персональных данных определяются исходя из уровня защищённости и класса защищённости информационных систем Отдела.

9. Система защиты персональных данных включает в себя организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

10. Система защиты персональных данных призвана обеспечить:

конфиденциальность информации (защита от несанкционированного ознакомления);

целостность информации (актуальность и непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения);

доступность информации (возможность за приемлемое время получить требуемую информационную услугу).

11. Организационные меры как составная часть системы защиты персональных данных включают в себя создание и поддержание правовой базы безопасности персональных данных и разработку (введение в действие) предусмотренных Политикой информационной безопасности информационных систем персональных данных Отдела.

12. Технические средства защиты информации реализуются при помощи соответствующих программно-технических средств и методов защиты. Перечень необходимых мер и средств защиты информации определяется по результатам внутренней проверки обеспечения защиты персональных данных в информационных системах Отдела.

III. Задачи системы защиты персональных данных в Отделе

13. Основной целью системы защиты персональных данных в Отделе является минимизация ущерба от возможной реализации угроз безопасности персональных данных.

14. Для достижения основной цели система защиты персональных данных информационных систем Отдела должна обеспечивать эффективное решение следующих задач:

1) защиту от вмешательства в процесс функционирования информационных систем Отдела посторонних лиц (возможность использования информационных систем Отдела и доступ к её ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);

2) разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам информационных систем Отдела (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям информационных систем Отдела для выполнения своих должностных обязанностей), то есть защиту от несанкционированного доступа:

к информации, циркулирующей в информационных системах Отдела;

средствам вычислительной техники информационных систем Отдела;

аппаратным, программным и криптографическим средствам защиты, используемым в информационных системах Отдела;

3) регистрацию действий пользователей при использовании защищаемых ресурсов информационных систем Отдела в системных журналах и периодический контроль корректности действий пользователей системы путём анализа содержимого этих журналов;

4) контроль целостности (обеспечение неизменности) среды исполнения программ и её восстановление в случае нарушения;

5) защиту от несанкционированной модификации и контроль целостности используемых в информационных системах Отдела программных средств, а также защиту системы от внедрения несанкционированных программ;

6) защиту персональных данных от утечки по техническим каналам при их обработке, хранении и передаче по каналам связи;

7) защиту персональных данных, хранимых, обрабатываемых и передаваемых по каналам связи, от несанкционированного разглашения или искажения;

8) обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;

9) своевременное выявление источников угроз безопасности персональных данных, причин и условий, способствующих нанесению ущерба субъектам персональных данных, создание механизма оперативного реагирования на угрозы безопасности персональных данных и негативные тенденции;

10) создание условий для минимизации и локализации наносимого неправомерными действиями физических и юридических лиц ущерба, ослабления негативного влияния и ликвидация последствий нарушения безопасности персональных данных.

IV. Объекты защиты персональных данных в Отделе

15. Объектами защиты персональных данных в Отдела являются информация, обрабатываемая в информационных системах Отдела, и технические средства её обработки и защиты.

16. Перечень персональных данных, подлежащих защите, определяется в Перечне персональных данных и иных объектов, подлежащих защите в информационных системах Отдела, утверждаемым приказом Отдела.

17. Объекты защиты персональных данных в Отделе включают в себя:

обрабатываемую информацию;

технологическую информацию;

программно-технические средства обработки;

каналы информационного обмена;

помещения, в которых размещены компоненты информационных систем Отдела.

V. Классификация пользователей 
информационных систем Отдела

18. Пользователем информационных систем Отдела является лицо, участвующее в функционировании информационной системы Отдела или использующее результаты её функционирования.

19. Пользователи информационных систем Отдела делятся на две основные категории:

1) администратор информационной системы Отдела;

2) пользователь информационной системы Отдела;

20. Категории пользователей определяются для каждой информационной системы Отдела.

персональных данных в Отделе

21. Построение системы защиты персональных данных в Отдела и её функционирование должны осуществляться в соответствии со следующими основными принципами:

законность;

системность;

комплексность;

непрерывность;

своевременность;

преемственность и непрерывность совершенствования;

персональная ответственность;

минимизация полномочий;

взаимодействие и сотрудничество;

гибкость системы защиты;

открытость алгоритмов и механизмов защиты;

простота применения средств защиты;

научная обоснованность и техническая реализуемость;

специализация и профессионализм;

обязательность контроля.

22. Принцип законности предполагает осуществление защитных мероприятий и разработку системы защиты персональных данных в Отделе в соответствии с требованиями законодательства в области защиты персональных данных и других нормативных актов по безопасности информации, утверждённых органами государственной власти в пределах их компетенции.

Пользователи информационных систем Отдела должны быть осведомлены о порядке работы с защищаемой информацией и об ответственности за нарушение режима защиты персональных данных, установленного в Отделе.

23. Системный подход к построению системы защиты персональных данных в Отделе предполагает учёт всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности персональных данных.

При создании системы защиты персональных данных в Отделе должны учитываться все слабые и наиболее уязвимые места системы обработки персональных данных, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределённые системы и несанкционированный доступ к информации.

Система защиты персональных данных в Отдела должна строиться с учётом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учётом возможности появления принципиально новых путей реализации угроз безопасности.

24. Комплексное использование методов и средств защиты персональных данных предполагает согласованное применение разнородных средств при построении целостной системы защиты персональных данных, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных её компонентов.

Защита персональных данных должна строиться эшелонировано. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Создание защитных рубежей осуществляется с учётом того, чтобы для их преодоления потенциальному злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях.

Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укреплённых рубежей призваны быть средства криптографической защиты, реализованные с использованием технологии VPN. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.

25. Принцип непрерывности подразумевает непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла информационных систем Отдела.

Информационные системы должны находиться в защищённом состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом должны приниматься меры по недопущению перехода информационной системы в незащищённое состояние.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная техническая и организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имён, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления её функционирования.

26. Принцип своевременности предполагает упреждающий характер мер обеспечения безопасности персональных данных, то есть постановку задач по комплексной защите информационных систем Отдела и реализацию мер обеспечения безопасности персональных данных на ранних стадиях разработки информационной системы в целом и её системы защиты информации, в частности.

Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счёте, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищённые системы.

27. Принципы преемственности и непрерывности совершенствования мер и средств защиты информации обеспечиваются на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационной системы и её системы защиты с учётом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

28. Принцип персональной ответственности предполагает возложение ответственности за обеспечение безопасности персональных данных и системы их обработки на каждого сотрудника Отдела в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей специалистов строится таким образом, чтобы в случае любого нарушения круг виновников был чётко известен или сведён к минимуму.

29. Принцип минимизации полномочий означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью, на основе принципа «всё, что не разрешено, запрещено».

Доступ к персональным данным должен предоставляться только в том случае и объёме, если это необходимо специалисту для выполнения его должностных обязанностей.

30. Принцип взаимодействия и сотрудничества предполагает создание благоприятной атмосферы в коллективах структурных подразделений, обеспечивающих деятельность информационных систем Отдела, для снижения вероятности возникновения негативных действий, связанных с человеческим фактором.

31. Принцип гибкости системы защиты подразумевает возможность расширения, исключения или замены мер защиты информации на работающей информационной системе без нарушения процесса её нормального функционирования.

32. Принцип открытости алгоритмов и механизмов состоит в том, что защита не должна обеспечиваться только за счёт секретности структурной организации и алгоритмов функционирования её подсистем. Знание алгоритмов работы системы защиты не должно давать возможности её преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.

33. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных в установленном порядке пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

34. Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности персональных данных.

Система защиты персональных данных должна быть ориентирована на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку.

35. Принцип специализации и профессионализма предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности персональных данных, имеющих опыт практической работы и лицензию на право оказания услуг в этой области.

36. Принцип обязательности контроля предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности персональных данных на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты персональных данных в Отдела должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

защищённости информационных систем Отдела

37. Обеспечение требуемого уровня защищённости должности достигаться с использованием мер, методов и средств безопасности.

38. Все меры обеспечения безопасности информационных систем подразделяются на:

законодательные (правовые);

морально-этические;

организационные (административные);

физические;

технические (аппаратно-программные).

39. К законодательным (правовым) мерам обеспечения безопасности информационных систем относятся действующие в Российской Федерации нормативные акты, регламентирующие правила обращения с персональными данными, закрепляющие права и обязанности участников информационных отношений в процессе её обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию персональных данных и являющиеся сдерживающим фактором для потенциальных нарушителей. Законодательные (правовые) меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями информационных систем.

40. К морально-этическим мерам обеспечения безопасности информационных систем относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в Отдела и снижают вероятность возникновения негативных действий, связанных с человеческим фактором.

41. Организационные (административные) меры обеспечения безопасности информационных систем - это меры организационного характера, регламентирующие процессы функционирования информационных систем, использование ресурсов информационных систем, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

42. Организационные меры обеспечения безопасности должны предусматривать регламент информационных отношений, исключающих возможность несанкционированных действий в отношении объектов защиты; определять коалиционные и иерархические принципы и методы разграничения доступа к персональным данным; определять порядок работы с программно-математическими и техническими (аппаратными) средствами защиты и криптозащиты и других защитных механизмов; организовать меры противодействия несанкционированного доступа на этапах аутентификации, авторизации, идентификации, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

43. Физические меры обеспечения безопасности информационных систем основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи.

44. Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путём установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.

45. Технические (аппаратно-программные) меры обеспечения безопасности информационных систем основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

46. В состав системы защиты персональных данных в Отдела должны быть включены следующие средства:

средства защиты от несанкционированного доступа;

средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей информационных систем;

средства разграничения доступа зарегистрированных пользователей системы к ресурсам информационных систем Отдела;

средства обеспечения и контроля целостности программных и информационных ресурсов;

средства оперативного контроля и регистрации событий безопасности;

средства защиты от утечки информации по техническим каналам связи и по каналам побочных электромагнитных излучений и наводок;

криптографические и антивирусные средства защиты персональных данных;

программно-аппаратные средства защиты информации.

47. Успешное применение технических мер обеспечения безопасности информационных систем на основании основных принципов построения системы комплексной защиты информации предполагает, что выполнение перечисленных ниже требований обеспечено организационными (административными) мерами и используемыми физическими средствами защиты:

обеспечена физическая целостность всех компонентов информационных систем;

обеспечен учёт и хранение съёмных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

обеспечено резервирование технических средств, дублирование носителей информации;

обеспечено использование антивирусных средств защиты от вредоносного программного обеспечения и криптографических средств защиты информации;

обеспечено использование средств защиты информации, позволяющих вести собственные журналы регистрации событий параллельно со встроенными в информационными системами;

обеспечено использование межсетевого экранирования как при использовании программных, так и при использовании аппаратных межсетевых экранов;

каждый пользователь информационных систем имеет уникальное системное имя и минимально необходимые для выполнения ими своих функциональных обязанностей полномочия по доступу к ресурсам информационной системы;

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальных помещениях, шкафах, и т.п.);

пользователями информационных систем осуществляется непрерывное управление и административная поддержка функционирования средств защиты.

VIII. Модель угроз безопасности персональных данных при их обработке в информационных системах Отдела

48. Для информационных систем Отдела выделяются следующие основные категории угроз безопасности персональных данных:

угрозы от утечки по техническим каналам;

угрозы несанкционированного доступа к информации:

угрозы уничтожения, хищения аппаратных средств информационных систем, носителей информации путём физического доступа к элементам информационных систем;

угрозы хищения, несанкционированной модификации или блокирования информации путём несанкционированного доступа с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);

угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования информационных систем и средств защиты персональных данных в её составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадёжности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера;

угрозы преднамеренных действий внутренних нарушителей;

угрозы несанкционированного доступа по каналам связи.

персональных данных в Отделе

49. Контроль эффективности системы защиты персональных данных должен осуществляться на периодической основе. В Отделе целью контроля эффективности является своевременное выявление ненадлежащих режимов работы системы защиты персональных данных (отключение средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а так же прогнозирование и превентивное реагирование на новые угрозы безопасности персональных данных.

50. Контроль эффективности системы защиты персональных данных может проводиться как администратором безопасности информационных систем Отдела, так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также Федеральной службой по техническому и экспортному контролю Российской Федерации и Федеральной службой безопасности Российской Федерации в пределах их компетенции.

51. Контроль может осуществляться администратором безопасности информационных систем Отдела как с помощью штатных средств системы защиты персональных данных, так и с помощью специальных программных средств контроля.

52. Оценка эффективности системы защиты персональных данных проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

X. Ответственность

53. Ответственным за разработку мер защиты персональных данных и контроль за обеспечением безопасности персональных данных является начальник Отдела социальной защиты населения в Малопургинском районе (далее – начальник).

54. Начальник может делегировать часть полномочий по обеспечению безопасности персональных данных заместителю или специалисту Отдела.

55. При взаимодействии со сторонними организациями в случаях, когда сотрудникам этих организаций предоставляется доступ к персональным данным, обрабатываемым в Отделе, с этими организациями заключается соглашение о конфиденциальности либо соглашение о соблюдении режима безопасности персональных данных.

56. Реализация настоящей Концепции позволит:

оценить состояние безопасности информации информационных систем Отдела, выявить источники внутренних и внешних угроз информационной безопасности, определить приоритетные направления предотвращения, отражения и нейтрализации этих угроз;

разработать организационно-распорядительные документы применительно к информационных системам Отдела;

провести классификацию информационных систем Отдела;

провести организационно-режимные и технические мероприятия по обеспечению безопасности персональных данных в Отделе;

обеспечить необходимый уровень безопасности объектов защиты персональных данных в Отделе.

57. Осуществление этих мероприятий обеспечит создание единой и целостной системы информационной безопасности информационных систем персональных данных и создаст условия для её дальнейшего совершенствования.

                                                                                    __________


УТВЕРЖДЕНА

приказом  

Отдела социальной защиты населения

 в Малопургинском районе

от «09» августа 2019 года № 31

                                                                               ПОЛИТИКА

информационной безопасности информационных систем
Отдела социальной защиты населения в Малопургинском районе

I. Общие положения

1. Настоящая Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных, изложенными в Концепции информационной безопасности информационных систем Отдела социальной защиты населения в Малопургинском районе (далее – Отдел).

2. Целью настоящей Политики является обеспечение безопасности объектов защиты персональных данных Отдела от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности персональных данных.

3. Безопасность персональных данных достигается путём исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

4. В Отделе обеспечивается осуществление своевременного обнаружения и реагирования на угрозы безопасности персональных данных, предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения персональных данных.

5. Требования настоящей Политики распространяются на всех специалистов Отдела (постоянных, временных), а также иных лиц (подрядчиков, исполнителей, аудиторов и т.п.).

II. Система защиты персональных данных

6. Система защиты персональных данных строится в Отделе на основании:

законодательства Российской Федерации в области защиты персональных данных, руководящих документов Федеральной службы по техническому и экспортному контролю России и Федеральной службы безопасности России;

организационно-распорядительных документов Отдела в сфере защиты персональных данных.

На основании указанных документов определяется необходимый уровень защищённости персональных данных каждой информационной системы Отдела.

7. На основании анализа актуальных угроз безопасности персональных данных, описанного в моделях угроз безопасности при их обработке в информационных системах Отдела и отчёте о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах Отдела, делается вывод о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности персональных данных.

8. В зависимости от уровня защищённости информационных систем и актуальных угроз система защиты персональных данных может включать в себя следующие технические средства:

антивирусные средства для персональных компьютеров пользователей и серверов;

средства межсетевого экранирования;

средства криптографической защиты информации при передаче защищаемой информации по каналам связи.

Также в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки персональных данных операционной системы, прикладным программным обеспечением и специальными комплексами, реализующими средства защиты. Список функций защиты может включать в себя:

управление и разграничение доступа пользователей;

регистрацию и учёт действий с информацией;

обеспечение целостность данных;

осуществление обнаружения вторжений.

III. Требования к подсистемам системы защиты персональных данных

9. Система защиты персональных данных включает в себя следующие подсистемы:

управления доступом;

регистрации и учёта;

обеспечения целостности и доступности;

антивирусной защиты;

анализа защищённости;

обнаружения вторжений;

криптографической защиты.

10. Подсистемы системы защиты персональных данных имеют различный функционал в зависимости от класса информационной системы, установленного в акте классификации информационной системы.

11. Подсистема управления доступом предназначена для реализации следующих функций:

идентификации и проверки подлинности субъектов доступа при входе в информационную систему.

Подсистема управления доступом может быть реализована с помощью штатных средств обработки персональных данных (операционных систем, приложений и СУБД). Также может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по аутентификации и контролю.

12. Подсистема регистрации и учёта предназначена для реализации следующих функций:

регистрации входа (выхода) субъектов доступа в систему (из системы) либо регистрация загрузки и инициализации операционной системы и её останова;

регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

Подсистема регистрации и учёта может быть реализована с помощью организационных мер защиты информации. Также может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по регистрации действий, осуществляемых в информационной системе

13. Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности персональных данных, программных и аппаратных средств информационных систем, а также средств защиты при случайной или намеренной модификации.

Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов информационных систем.

14. Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты персональных компьютеров пользователей и серверов.

Средства антивирусной защиты предназначены для реализации следующих функций:

резидентный антивирусный мониторинг;

антивирусное сканирование;

скрипт-блокирование;

централизованную /удалённую установку/ деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчётов и статистической информации по работе продукта;

автоматизированное обновление антивирусных баз;

ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;

автоматический запуск сразу после загрузки операционной системы.

Подсистема реализуется путём внедрения специального антивирусного программного обеспечения на все элементы информационных систем.

15. Подсистема межсетевого экранирования предназначена для реализации следующих функций:

фильтрации открытого и зашифрованного (закрытого) IP-трафика по следующим параметрам:

фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;

идентификации и аутентификации администратора межсетевого экрана при его локальных запросах на доступ;

регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и её программного останова;

контроля целостности своей программной и информационной части;

фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

фильтрации с учётом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

регистрации и учёта запрашиваемых сервисов прикладного уровня;

блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

контроля за сетевой активностью приложений и обнаружения сетевых атак.

Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе локальной вычислительной сети классом не ниже 4.

16. Подсистема анализа защищённости должна обеспечивать выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационных систем, которые могут быть использованы нарушителем для реализации атаки на систему.

Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.

17. Подсистема обнаружения вторжений должна обеспечивать выявление сетевых атак на элементы информационных систем, подключённые к сетям общего пользования и (или) международного обмена.

Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.

18. Подсистема криптографической защиты предназначена для исключения несанкционированного доступа к защищаемой информации при её передаче по каналам связи сетей общего пользования и (или) международного обмена.

Подсистема реализуется путём внедрения криптографических программно-аппаратных комплексов.

IV. Категории пользователей информационных систем Отдела

19. В Концепции информационной безопасности информационных систем Отдела социальной защиты населения в Малопургинском районе определены основные категории пользователей информационных систем Отдела.

20. Для определения требований к пользователям информационных систем, степени ответственности, уровня защищённости, должностным обязанностям сотрудников, ответственных за обеспечение безопасности персональных данных выделяются следующие группы пользователей информационных систем Отдела, участвующих в обработке и хранении персональных данных:

1) администратор информационной системы Отдела:

администратор информационной системы;

администратор безопасности;

2) пользователь информационной системы Отдела:

пользователь информационной системы.

21. Данные о группах пользователей, уровне их доступа и информированности отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным в информационных системах Отдела.

V. Администратор информационных систем Отдела

22. Администратором информационной системы Отдела является специалист Отдела, который выполняет функции настройки, внедрения и сопровождения информационной системы Отдела.

23. Администратор информационной системы Отдела обеспечивает функционирование подсистемы управления доступом информационных систем Отдела и уполномочен осуществлять предоставление и разграничение доступа пользователей к элементам информационных систем, хранящим персональные данные.

24. Администратор информационной системы Отдела обладает следующим уровнем доступа:

обладает полной информацией о системном и прикладном программном обеспечении информационной системы Отдела;

обладает полной информацией о технических средствах и конфигурации информационной системы Отдела;

имеет доступ ко всем техническим средствам обработки информации и данным информационной системы Отдела;

обладает правами конфигурирования и административной настройки технических средств информационной системы Отдела.

25. Администратором безопасности является специалист Отдела, ответственный за функционирование системы защиты персональных данных, включая обслуживание и настройку административного, серверного и клиентского компонентов.

26. Администратор безопасности обладает следующим уровнем доступа и знаний:

обладает правами администратора информационной системы Отдела;

обладает полной информацией об информационной системе Отдела;

имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов информационной системы Отдела;

не имеет прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных).

27. Администратор безопасности уполномочен:

реализовывать политики безопасности в части настройки средств криптографической защиты информации, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь информационной системы получает возможность работать с элементами информационной системы;

осуществляет аудит средств защиты;

устанавливает доверительные отношения своей защищённой сети с сетями других учреждений.

28. Администратором сети является специалист Отдела, ответственный за функционирование телекоммуникационной подсистемы информационной системы. Администратор сети не имеет полномочий для управления подсистемами обработки данных и безопасности.

29. Администратор сети обладает следующим уровнем доступа и знаний:

обладает частью информации о системном и прикладном программном обеспечении информационной системы Отдела;

обладает частью информации о технических средствах и конфигурации информационной системы Отдела;

имеет физический доступ к техническим средствам обработки информации и средствам защиты;

знает, по меньшей мере, одно легальное имя доступа.

VI. Пользователь информационных систем Отдела

30. Пользователем информационной системы Отдела является специалист Отдела, участвующий в процессе эксплуатации информационной системы Отдела и осуществляющий обработку персональных данных.

31. Пользователь информационной системы Отдела обладает следующим уровнем доступа:

обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству персональных данных;

располагает конфиденциальными данными, к которым имеет доступ.

VII. Требования к пользователям информационных систем Отдела по обеспечению защиты персональных данных

32. Все пользователи информационных систем Отдела должны чётко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности персональных данных.

33. При назначении на должность сотрудника Отдела он должен быть ознакомлен с настоящей Политикой и документами, регламентирующими требования по защите персональных данных в Отдела, а также обучен навыкам выполнения процедур, необходимых для санкционированного использования информационных систем Отдела.

34. Пользователи информационных систем Отдела, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать несанкционированный доступ к ним, а так же исключить возможность их утери или использования третьими лицами.

Пользователи информационных систем Отдела несут персональную ответственность за сохранность идентификаторов.

35. Пользователи информационных систем Отдела должны следовать установленным процедурам поддержания режима безопасности персональных данных при выборе и использовании паролей (если не используются технические средства аутентификации).

36. Пользователи информационных систем Отдела должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица; должны знать требования по безопасности персональных данных и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

37. Пользователям информационных систем Отдела запрещается:

устанавливать постороннее программное обеспечение;

подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию;

разглашать защищаемую информацию третьим лицам.

38. При работе с персональными данными пользователи информационных систем Отдела обязаны обеспечить отсутствие возможности просмотра персональных данных третьими лицами с мониторов персональных компьютеров или терминалов.

При завершении работы в информационной системе пользователи информационных систем Отдела обязаны защитить персональный компьютер или терминал с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

39. Пользователи информационных систем Отдела должны быть проинформированы об угрозах нарушения режима безопасности персональных данных и ответственности за его нарушение.

40. Пользователи информационных систем Отдела обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы информационных систем, которые могут повлечь за собой угрозы безопасности персональных данных, а также о выявленных ими событиях, затрагивающих безопасность персональных данных, руководителю подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности персональных данных.

VIII. Ответственность

41. Пользователи информационных систем Отдела, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

__________


Приложение 1

к Политике информационной безопасности информационных систем в Отделе социальной защиты населения в Малопургинском районе

ПЕРЕЧЕНЬ

организационно-распорядительных документов Отдела социальной защиты населения в Малопургинском районе в сфере защиты персональных данных

В Отделе социальной защиты населения в Малопургинском районе (далее – Отдел) принимаются следующие виды организационно-распорядительных документов в сфере защиты персональных данных, обрабатываемых в информационных системах Отдела:

1) Инструкция администратора безопасности информационных систем Отдела;

2) Инструкция о порядке допуска сотрудников Отдела к самостоятельной работе со средствами криптографической защиты информации;

3) Инструкция по обеспечению безопасности эксплуатации шифровальных (криптографических) средств в информационных системах Отдела;

4) Инструкция по организации антивирусной защиты информационных систем Отдела;

5) Инструкция по организации парольной защиты в информационных системах Отдела;

6) Инструкция пользователя информационных систем Отдела;

7) Инструкция пользователя информационных систем по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций в Отдела;

8) Концепция информационной безопасности информационных систем Отдела;

9) Модель нарушителя в информационных системах Отдела;

10) Модель угроз безопасности персональных данных при их обработке в информационных системах Отдела;

11) Отчёт о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах Удмуртской Республики;

12) Перечень информационных систем Отдела;

13) Перечень лиц, имеющих доступ в контролируемую зону Отдела;

14) Перечень мер защиты информации информационных систем Отдела;

15) Перечень персональных данных и иных объектов, подлежащих защите в информационных системах Отдела;

16) Перечень средств защиты информации информационных систем Отдела;

17) План мероприятий по обеспечению защиты персональных данных в информационных системах Отдела;

18) Политика информационной безопасности информационных систем Отдела;

19) Положение об обработке персональных данных в Отделе;

20) Порядок доступа работников Министерства в помещения, в которых ведётся обработка персональных данных;

21) Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах Отдела;

22) Правила обработки персональных данных в Отделе;

23) Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», в Отделе;

24) Правила рассмотрения запросов субъектов персональных данных или их представителей в Отделе;

25) Приказ о вводе в эксплуатацию информационных систем Отдела;

26) Приказ об утверждении состава экспертной комиссии по защите информации Отдела;

27) Приказ о назначении ответственного за организацию обработки персональных данных в Отделе;

28) Приказ об установлении контролируемой зоны в Отделе;

29) Разграничение прав доступа к обрабатываемым персональным данным в информационных системах Отдела;

30) Список лиц, имеющих доступ к персональным данным Отдела;

31) Список лиц, наделённых правом использования электронной подписи;

32) Список лиц, являющихся уполномоченными пользователями защищённой сети передачи данных Отдела;

33) Список ответственных лиц, допущенных к работе со средствами криптографической защиты информации в Отделе;

____________