Информационная безопасность
В рамках мероприятий по обеспечению требований информационной безопасности при организации и проведении экспертно-аналитических исследований (экспертизы) в ФГБНУ НИИ РИНКЦЭ создана система защиты персональных данных и проведена аттестация автоматизированных рабочих мест сотрудников ФГБНУ НИИ РИНКЦЭ, выполняющих работы, связанные с обработкой персональных данных.
Целями создания системы защиты персональных данных ФГБНУ НИИ РИНКЦЭ являются:
- предотвращение (снижение вероятности) неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- мониторинг и своевременное реагирование на предотвращение угроз безопасности персональных данных (конфиденциальности, целостности, доступности);
- устранение последствий нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.
Система защиты персональных данных предназначена для автоматизации процессов обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных ФГБНУ НИИ РИНКЦЭ, путем выполнения технических, методических и организационных мероприятий.
Система защиты персональных данных обеспечивает конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных ФГБНУ НИИ РИНКЦЭ.
Нормативные правовые документы
Мероприятия по обеспечению требований информационной безопасности реализуются в соответствии с требованиями следующих нормативных документов:
- Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федерального закона от 28.12.2010 № 390-ФЗ «О безопасности»;
- Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;
- Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановления Правительства Российской Федерации от 21.11.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
- Постановления Правительства Российской Федерации от 16.04.2012 № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»;
- Постановления Правительства Российской Федерации от 03.02.2012 № 79 «Об утверждении положения о лицензировании деятельности по технической защите конфиденциальной информации»;
- Постановления Правительства Российской Федерации от 26.06.1995 № 608 «О сертификации средств защиты информации»;
- приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная ФСТЭК 15.02.2008;
- «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная ФСТЭК 14.02.2008;
- приказа ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Локальные нормативные документы
В интересах обеспечения защиты и безопасности персональных данных при их обработке в информационных системах персональных данных в ФГБНУ НИИ РИНКЦЭ разработан комплекс соответствующих локальных нормативных документов, в том числе:
- приказ ФГБНУ НИИ РИНКЦЭ от 01.09.2020 № 72 «Об утверждении Политики обработки и защиты персональных данных»;
- приказ ФГБНУ НИИ РИНКЦЭ от 01.09.2020 № 73 «О назначении ответственного за организацию обработки персональных данных»;
- приказ ФГБНУ НИИ РИНКЦЭ от 01.09.2020 № 74 «О назначении ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных ФГБНУ НИИ РИНКЦЭ»;
- приказ ФГБНУ НИИ РИНКЦЭ от 01.09.2020 № 75 «Об утверждении перечня информационных систем персональных данных и перечня обрабатываемых в них персональных данных»;
- приказ ФГБНУ НИИ РИНКЦЭ от 01.09.2020 № 76 «Об утверждении перечня обрабатываемых персональных данных»;
- приказ ФГБНУ НИИ РИНКЦЭ от 01.09.2020 № 77 «О назначении комиссии по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных ФГБНУ НИИ РИНКЦЭ»;
- приказ ФГБНУ НИИ РИНКЦЭ от 01.09.2020 № 78 «Об утверждении перечня должностей работников, осуществляющих обработку персональных данных ФГБНУ НИИ РИНКЦЭ»;
- приказ ФГБНУ НИИ РИНКЦЭ от 02.09.2020 № 1/ЗИ «Об утверждении Модели угроз безопасности персональных данных»;
- приказ ФГБНУ НИИ РИНКЦЭ от 11.09.2020 № 2/ЗИ «Об обеспечении безопасности помещений, в которых ведётся обработка персональных данных и размещены информационные системы персональных данных»;
- приказ ФГБНУ НИИ РИНКЦЭ от 11.09.2020 № 3/ЗИ «Об обеспечении безопасности материальных носителей персональных данных»;
- приказ ФГБНУ НИИ РИНКЦЭ от 11.09.2020 № 4/ЗИ «Об утверждении документов, регламентирующих отдельные вопросы обеспечения безопасности персональных данных»;
- приказ ФГБНУ НИИ РИНКЦЭ от 11.09.2020 № 5/ЗИ «Об утверждении Положения о порядке организации и проведения работ по защите конфиденциальной информации»;
- приказ ФГБНУ НИИ РИНКЦЭ от 11.09.2020 № 6/ЗИ «О назначении администратора безопасности информационных систем персональных данных»;
- приказ ФГБНУ НИИ РИНКЦЭ от 11.09.2020 № 7/ЗИ «О назначении комиссии по проведению внутренних проверок режима обработки и обеспечения безопасности персональных данных».