Постановление Администрации города Комсомольска-на-Амуре от 24.12.2013 N 4198-па "Об утверждении Порядка проектирования, создания, ввода в эксплуатацию и сопровождения информационных систем персональных данных администрации города Комсомольска-на-Амуре, ее территориальных и отраслевых органах"
АДМИНИСТРАЦИЯ ГОРОДА КОМСОМОЛЬСКА-НА-АМУРЕ
ПОСТАНОВЛЕНИЕ
от 24 декабря 2013 г. № 4198-па
ОБ УТВЕРЖДЕНИИ ПОРЯДКА ПРОЕКТИРОВАНИЯ, СОЗДАНИЯ,
ВВОДА В ЭКСПЛУАТАЦИЮ И СОПРОВОЖДЕНИЯ ИНФОРМАЦИОННЫХ
СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ АДМИНИСТРАЦИИ ГОРОДА
КОМСОМОЛЬСКА-НА-АМУРЕ, ЕЕ ТЕРРИТОРИАЛЬНЫХ
И ОТРАСЛЕВЫХ ОРГАНАХ
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", во исполнение Постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Уставом муниципального образования города Комсомольска-на-Амуре постановляю:
1. Утвердить прилагаемый Порядок проектирования, создания, ввода в эксплуатацию и сопровождения информационных систем персональных данных администрации города Комсомольска-на-Амуре, ее территориальных и отраслевых органах.
2. Утвердить комиссию для определения уровня защищенности информационных систем персональных данных и проведения внутреннего контроля соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, в составе:
Председатель комиссии:
Уханов Сергей Владимирович
-
начальник управления информатизации администрации города Комсомольска-на-Амуре
Члены комиссии:
Антонюк Дмитрий Александрович
-
начальник отдела системного администрирования, телекоммуникаций и защиты информации управления информатизации администрации города Комсомольска-на-Амуре
Смирнов Максим Тарасович
-
ведущий специалист отдела системного администрирования, телекоммуникаций и защиты информации управления информатизации администрации города Комсомольска-на-Амуре"
3. Комиссия в своей работе руководствуется Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и порядком проектирования, создания, ввода в эксплуатацию и сопровождения информационных систем персональных данных администрации города Комсомольска-на-Амуре, ее территориальных и отраслевых органах.
4. Опубликовать постановление в газете "Дальневосточный Комсомольск" и разместить на официальном сайте органов местного самоуправления города Комсомольска-на-Амуре в информационно-телекоммуникационной сети "Интернет".
5. Контроль выполнения постановления возложить на первого заместителя главы администрации города Комсомольска-на-Амуре Гусеву Л.Д.
Глава города
В.П.Михалев
УТВЕРЖДЕН
Постановлением
администрации города
Комсомольска-на-Амуре
от 24 декабря 2013 г. № 4198-па
ПОРЯДОК
ПРОЕКТИРОВАНИЯ, СОЗДАНИЯ, ВВОДА В ЭКСПЛУАТАЦИЮ
И СОПРОВОЖДЕНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ
ДАННЫХ АДМИНИСТРАЦИИ ГОРОДА КОМСОМОЛЬСКА-НА-АМУРЕ,
ЕЕ ТЕРРИТОРИАЛЬНЫХ И ОТРАСЛЕВЫХ ОРГАНАХ
1. Общие положения
1.1. Порядок разработан в соответствии с:
- Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");
- Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и защите информации";
- Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Порядок проектирования, создания, ввода в эксплуатацию и сопровождения информационной системы персональных данных администрации города Комсомольска-на-Амуре устанавливает:
1.2.1. Процедуры, направленные на проектирование, создание, ввод в эксплуатацию и сопровождение информационной системы персональных данных.
1.2.2. Перечень документов, разрабатываемых при проектировании, создании, вводе в эксплуатацию и сопровождении информационной системы персональных данных.
1.2.3. Мероприятия, направленные на обеспечение информационной безопасности информационной системы персональных данных.
1.2.4. Правила осуществления внутреннего контроля соответствия информационной системы персональных данных администрации города Комсомольска-на-Амуре требованиям законодательства Российской Федерации в области персональных данных.
2. Основные термины и определения
- Администрация - администрация города Комсомольска-на-Амуре и ее территориальные и отраслевые органы.
- Подразделения - территориальные и отраслевые органы администрации города Комсомольска-на-Амуре.
- ИСПДн - информационная система персональных данных.
- ПДн - персональные данные.
- СЗИ - средства защиты информации.
3. Процедуры, направленные на проектирование,
создание, ввод в эксплуатацию и сопровождение ИСПДн
3.1. Процедуры проводятся специалистами подразделения, в котором она создается совместно с управлением информатизации администрации.
3.2. При создании ИСПДн должны учитываться требования по защите информации.
3.3. Закупка аппаратного и программного обеспечения для создания ИСПДн производится в соответствии с постановлением администрации города Комсомольска-на-Амуре от 21 марта 2013 г. № 888-па "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для муниципальных нужд и нужд муниципальных бюджетных учреждений".
3.4. Установка и настройка аппаратного и программного обеспечения производится специалистами управления информатизации администрации.
3.5. Подразделения администрации предоставляют доступ к средствам автоматизированной обработки специалистам управления информатизации администрации для проведения работ по созданию, вводу в эксплуатацию и сопровождению ИСПДн.
3.6. В подразделениях администрации, обрабатывающих ПДн с использованием ИСПДн, назначается ответственный за организацию обработки ПДн, а также лицо, его замещающее.
3.7. Ответственный за организацию обработки ПДн в подразделении администрации в своей работе руководствуется инструкцией лица, ответственного за организацию обработки ПДн в администрации.
3.8. Техническое обслуживание автоматизированных систем обработки и средств защиты ПДн ИСПДн администрации производится специалистами управления информатизации администрации.
3.9. Ответственные за организацию обработки персональных данных в подразделении осуществляют ведение журналов в соответствии с пунктом 4.1 настоящего Порядка.
4. Перечень документов, разрабатываемых при проектировании,
создании, вводе в эксплуатацию и сопровождении ИСПДн
4.1. Документы, разрабатываемые в подразделении администрации, обрабатывающем ПДн, лицами, ответственными за организацию обработки ПДн:
- Распоряжение главы города Комсомольска-на-Амуре о вводе ИСПДн в эксплуатацию.
- Перечень должностей муниципальных служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн в подразделении администрации.
- Перечень ПДн, обрабатываемых в ИСПДн.
- Перечень должностей, замещение которых предусматривает допуск к обработке ПДн в ИСПДн.
- Список лиц, допущенных к обработке ПДн в ИСПДн.
- Список сотрудников, допущенных к техническому обслуживанию ИСПДн.
- Список мест хранения ПДн в ИСПДн (файлы, каталоги, шкафы, сейфы и т.д.).
- Журнал учета обращений субъектов ПДн о выполнении их законных прав при обработке ПДн в ИСПДн.
- Журнал учета машинных носителей в ИСПДн.
- Журнал учета нештатных ситуаций в ИСПДн.
- Журнал проведения внутреннего контроля соблюдения правил обработки ПДн и состояния системы защиты ИСПДн.
- Журнал технического обслуживания автоматизированных систем обработки и средств защиты ПДн в ИСПДн.
- Приложение к положению о разграничении прав доступа к обрабатываемым ПДн в ИСПДн.
4.2. Документы, разрабатываемые комиссией, утвержденной постановлением главы города Комсомольска-на-Амуре:
- Акт определения уровня защищенности ИСПДн.
- Протокол внутреннего контроля соответствия ИСПДн требованиям законодательства Российской Федерации в области ПДн.
4.3. Документы, разрабатываемые специалистами управления информатизации администрации:
- Частная модель угроз безопасности ПДн при их обработке в ИСПДн.
- Технический паспорт ИСПДн.
- Положение о разграничении прав доступа к обрабатываемым ПДн в ИСПДн.
- Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов.
- Положение по организации безопасности персональных данных при их автоматизированной обработке в ИСПДн.
- Инструкция по антивирусной защите.
- Инструкция по парольной защите.
- Инструкция администратора безопасности ИСПДн.
- Инструкция системного администратора.
- Инструкция по безопасной эксплуатации средств криптографической защиты.
- Инструкция по работе с СЗИ.
5. Мероприятия, направленные
на обеспечение информационной безопасности ИСПДн
5.1. Работы по технической защите информации - проектирование, создание, ввод в эксплуатацию и сопровождение системы защиты осуществляются совместно с проектированием, созданием, вводом в эксплуатацию и сопровождением ИСПДн специалистами отдела системного администрирования, телекоммуникаций и защиты информации.
5.2. Требования по защите информации к создаваемой ИСПДн составляются на основе обследования средств автоматизированной обработки ПДн и проекта ИСПДн.
5.3. Закупка СЗИ производится в соответствии с постановлением администрации города Комсомольска-на-Амуре от 21 марта 2013 г. № 888-па "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для муниципальных нужд и нужд муниципальных бюджетных учреждений".
5.4. Установка и настройка СЗИ производятся после установки, настройки и отладки аппаратного и программного обеспечения в ИСПДн администрации.
5.5. Разработка документации по технической защите ИСПДн ведется в соответствии с пунктом 4.3 настоящего Порядка.
5.6. Внутренний контроль соответствия требованиям законодательства Российской Федерации в области ПДн осуществляется в соответствии с частью 6 настоящего Порядка.
6. Правила осуществления внутреннего контроля
соответствия требованиям законодательства
Российской Федерации в области ПДн
6.1. В целях определения соответствия обработки ПДн требованиям законодательства Российской Федерации в области ПДн в администрации осуществляется внутренний контроль условий обработки ПДн.
6.2. Внутренний контроль осуществляется в соответствии со статьей 17 Постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
6.3. Внутренний контроль соответствия обработки ПДн требованиям законодательства Российской Федерации в области персональных данных проводится комиссией, утвержденной постановлением главы города Комсомольска-на-Амуре.
6.4. При проведении внутреннего контроля соответствия обработки ПДн требованиям по защите информации проверяются:
- порядок и условия применения организационных мер по обеспечению безопасности ПДн;
- правильность установки, настроек и эксплуатации СЗИ;
- эффективность принимаемых мер по обеспечению безопасности ПДк;
- состояние учета машинных носителей ПДн;
- соблюдение правил доступа к ПДн;
- наличие (отсутствие) фактов НСД к ПДн и принятие необходимых мер;
- осуществление мероприятий по обеспечению целостности ПДн.
------------------------------------------------------------------