В целях обеспечения безопасности персональных данных субъектов персональных данных, обрабатываемых в Вологодской городской Думе, в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», на основании части 6 статьи 27, пункта 9 части 2 статьи 38 Устава муниципального образования «Город Вологда»:

1. Утвердить следующие прилагаемые локальные правовые акты по обеспечению безопасности персональных данных при их обработке в Вологодской городской Думе:

1.1. Положение о защите персональных данных в Вологодской городской Думе.

1.2. Положение об антивирусной защите в Вологодской городской Думе.

1.3. Положение о разграничении прав доступа к обрабатываемым персональным данным в информационной системе персональных данных Вологодской городской Думы.

1.4. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационной системе персональных данных Вологодской городской Думы.

1.5. Инструкция администратора информационной системы персональных данных Вологодской городской Думы.

1.6. Инструкция администратора безопасности информационной системы персональных данных Вологодской городской Думы.

1.7. Инструкция пользователя информационной системой персональных данных Вологодской городской Думы.

1.8. Форма журнала учета носителей информации в Вологодской городской Думе.

2. Признать утратившими силу:

постановление Председателя Вологодской городской Думы от 17 января 2011 года № 3 «Об утверждении локальных правовых актов по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Вологодской городской Думы»;

пункты 10-14 постановления Председателя Вологодской городской Думы от 09 апреля 2012 года № 51 «О внесении изменений в отдельные постановления Председателя Вологодской городской Думы»;

постановление Председателя Вологодской городской Думы от 29 июня 2012 года № 110 «О внесении изменений в постановление Председателя Вологодской городской Думы от 17 января 2011 года № 3 «Об утверждении локальных правовых актов по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в Вологодской городской Думе»»;

постановление Председателя Вологодской городской Думы от 18 декабря 2015 года № 328 «О внесении изменений в постановление Председателя Вологодской городской Думы от 17 января 2011 года № 3 «Об утверждении локальных правовых актов по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Вологодской городской Думы»».

Глава города Вологды Ю.В. Сапожников

УТВЕРЖДЕНО

распоряжением Главы города Вологды

от 16 сентября 2019 года № 2/120

Положение

о защите персональных данных в Вологодской городской Думе

1. Общие положения

1.1. Настоящее Положение о защите персональных данных в Вологодской городской Думе (далее - Положение) определяет порядок защиты персональных данных, обрабатываемых в Вологодской городской Думе (далее также - городская Дума, Дума), путем обеспечения безопасности персональных данных при их обработке.

1.2. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральными законами «О персональных данных», «Об информации, информационных технологиях и о защите информации», Указом Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» и другими нормативными правовыми актами.

1.3. Документы, содержащие персональные данные, хранятся в течение сроков, установленных в соответствии с приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»» (с последующими изменениями).

2. Организация защиты персональных данных

2.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

2.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

2.3. Защита персональных данных представляет собой регламентированный технологический процесс, обеспечивающий безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке.

2.4. Организацию защиты персональных данных осуществляют начальник отдела автоматизации и материально-технического обеспечения Управления по обеспечению деятельности Вологодской городской Думы и специалист отдела автоматизации и материально-технического обеспечения Управления по обеспечению деятельности Вологодской городской Думы, являющийся лицом, ответственным за обеспечение безопасности персональных данных в информационной системе Вологодской городской Думы.

2.5. Начальник отдела автоматизации и материально-технического обеспечения:

2.5.1. Осуществляет общий контроль над соблюдением работниками аппарата Вологодской городской Думы и депутатами Вологодской городской Думы мер по обеспечению безопасности персональных данных, обрабатываемых указанными лицами в соответствии с постановлением Главы города Вологды от 19 апреля 2019 года № 207 «О мерах по обеспечению выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами»».

2.5.2. Обеспечивает ознакомление работников аппарата Вологодской городской Думы и депутатов Вологодской городской Думы под роспись с локальными правовыми актами по обеспечению безопасности персональных данных при их обработке в Вологодской городской Думе.

2.5.3. Обеспечивает истребование с работников аппарата Вологодской городской Думы и депутатов Вологодской городской Думы письменных обязательств о соблюдении режима конфиденциальности персональных данных и соблюдении правил их обработки.

2.6. Специалист отдела автоматизации и материально-технического обеспечения Управления по обеспечению деятельности Вологодской городской Думы, являющийся лицом, ответственным за обеспечение безопасности персональных данных в информационной системе Вологодской городской Думы, осуществляет технический контроль над соблюдением работниками аппарата Вологодской городской Думы и депутатами Вологодской городской Думы мер по обеспечению безопасности персональных данных, обрабатываемых указанными лицами в соответствии с постановлением Главы города Вологды от 19 апреля 2019 года № 207 «О мерах по обеспечению выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами»».

2.7. Организацию и контроль за обеспечением безопасности персональных данных в структурных подразделениях аппарата Вологодской городской Думы, работники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.

2.8. Защите подлежат:

- информация о персональных данных;

- документы, содержащие персональные данные;

- персональные данные, содержащиеся на электронных носителях.

2.9. Внутренняя защита персональных данных.

2.9.1. Для обеспечения внутренней защиты персональных данных в Вологодской городской Думе соблюдаются следующие меры:

- определение состава работников Думы, функциональные обязанности которых требуют обработки персональных данных;

- рациональное размещение рабочих мест работников Думы, при котором исключалось бы бесконтрольное использование защищаемых персональных данных;

- наличие необходимых условий в помещении для работы с персональными данными;

- определение порядка доступа работников Думы и иных лиц в помещения, в которых ведется обработка персональных данных;

- своевременное уничтожение персональных данных при наличии соответствующих оснований;

- своевременное выявление нарушения требований системы идентификация и аутентификация субъектов доступа и объектов доступа;

- разъяснительная работа с работниками Думы по предупреждению несанкционированного разглашения персональных данных.

2.9.2. Защита персональных данных обеспечивается с помощью системы защиты персональных данных, представляющей собой совокупность организационных и технических мероприятий для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий с ними.

2.10. Внешняя защита персональных данных.

2.10.1. Для защиты персональных данных создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, подмена, фальсификация и т.п.

2.10.2. Под посторонним лицом понимается любое лицо, не входящее в Перечень должностей в Вологодской городской Думе, замещение которых предусматривает осуществление обработки персональных данных.

2.10.3. Для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:

- режим доступа работников Думы и иных лиц в помещения, в которых ведется обработка персональных данных;

- учет и порядок выдачи служебных удостоверений работников аппарата Думы и удостоверений депутатов Вологодской городской Думы;

- технические средства охраны помещений, в которых ведется обработка персональных данных.

2.10.4. Работники аппарата Вологодской городской Думы и депутаты Вологодской городской Думы до начала обработки персональных данных обязаны подписать обязательство о соблюдении режима конфиденциальности персональных данных и соблюдении правил их обработки.

2.10.5. По возможности персональные данные обезличиваются.

2.10.5.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, по достижению целей обработки персональных данных.

2.10.5.2. Способы обезличивания персональных данных определяются в соответствии Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05 сентября 2013 года № 996.

2.10.5.3. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

2.10.5.4. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:

- использование паролей;

- использование антивирусных программ;

- соблюдение правил работы со съемными носителями;

- соблюдение правил резервного копирования информации;

- соблюдение правил доступа работников Думы и иных лиц в помещения, в которых ведется обработка персональных данных.

2.10.5.5. При обработке обезличенных персональных данных без использования средств автоматизации необходимо:

- обеспечение хранения бумажных носителей, которые содержат персональные данные;

- соблюдение правил доступа работников Думы и иных лиц в помещения, в которых ведется обработка персональных данных.

3. Заключительные положения

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, уголовную и иную ответственность в соответствии с действующим законодательством.

УТВЕРЖДЕНО

распоряжением Главы города Вологды

от 16 сентября 2019 года № 2/120

Положение

об антивирусной защите в Вологодской городской Думе

1. Общие положения

1.1. Настоящее Положение об антивирусной защите в Вологодской городской Думе (далее - Положение) определяет требования к организации защиты в Вологодской городской Думе (далее также - городская Дума, Дума) от воздействия вредоносных компьютерных программ (вирусов) (далее также - вирус) и устанавливает ответственность лиц, эксплуатирующих и сопровождающих информационную систему персональных данных Вологодской городской Думы (далее - ИСПДн), за их выполнение.

1.2. Целью мероприятий по антивирусной защите является предотвращение потерь информации в ИСПДн.

1.3. Задачами антивирусной защиты являются:

- определение состава и регламента запуска антивирусных диагностических средств, регламента их ревизии и обновления;

- проведение профилактических работ с применением антивирусных диагностических средств;

- непрерывное обеспечение защиты информации от действия вредоносных программ на всех этапах эксплуатации ИСПДн.

1.4. Защите от вирусов различными способами подлежат:

- шлюзы информационно-телекоммуникационной сети «Интернет» - проверка входящего/исходящего потоков интернет-трафика городской Думы;

- подсистемы электронной почты - контроль входящей/исходящей электронной почты и прикрепленных файлов;

- серверы;

- компьютеры (рабочие станции пользователей).

1.5. В целях настоящего Положения используются следующие термины и определения:

- вредоносная компьютерная программа (вирус) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения;

- основные симптомы вирусного поражения - замедление работы некоторых программ, увеличение размеров файлов (особенно выполняемых), появление не существовавших ранее подозрительных файлов, уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы), внезапно возникающие видео и звуковые эффекты. При всех вышеперечисленных симптомах, а также при других странных проявлениях в работе системы (неустойчивая работа, частые самостоятельные перезагрузки и прочее) следует немедленно произвести проверку системы на наличие вирусов;

- зараженный диск - это диск, в загрузочном секторе которого находится вирус. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения ЕХЕ, СОМ, SYS или ВАТ;

- зараженная программа - это программа, содержащая внедренный в нее вирус.

2. Организация мероприятий по антивирусной защите

2.1. Организацию работ по антивирусной защите осуществляет отдел автоматизации и материально-технического обеспечения Управления по обеспечению деятельности Вологодской городской Думы, в том числе обеспечивает:

- проверку приобретенных программ;

- установку средств антивирусной защиты на компьютерах и их учет;

- настройку параметров средств антивирусной защиты;

- регулярную выборочную проверку наличия вирусов;

- создание резервных копий программных продуктов;

- уничтожение вирусов.

2.2. К использованию в Вологодской городской Думе допускаются только лицензионные антивирусные средства.

В случае необходимости использования антивирусных средств, не вошедших в перечень рекомендованных, их применение осуществляется отделом автоматизации и материально-технического обеспечения Управления по обеспечению деятельности Вологодской городской Думы.

2.3. Антивирусное программное обеспечение подлежит учету.

2.4. Обновление антивирусных баз должно производиться не реже одного раза в сутки автоматически согласно возможностям программного обеспечения. В случае сбоя автоматического обновления обновление баз производится вручную с той же периодичностью.

2.5. Мероприятия по антивирусной защите на компьютерах в Вологодской городской Думе включают в себя:

профилактику вирусов;

анализ ситуаций, возникающих в ходе антивирусной защиты;

применение средств антивирусной защиты;

проведение расследований инцидентов, связанных с вирусами.

2.6. Пользователи Вологодской городской Думы (работники аппарата и депутаты Думы), эксплуатирующие и сопровождающие ИСПДн, выполняют следующие требования к организации защиты ИСПДн от воздействия компьютерных вирусов:

- проводят антивирусный контроль (запускают антивирусную проверку) всех внешних носителей информации (дискета, флеш-карта, CD-ROM, DVD-ROM, мобильное устройство и т.п.), в том числе поступающих со стороны (из внешних организаций, других структурных подразделений аппарата Думы и т.п.) или полученных по компьютерным сетям (скопированных на общедоступный ресурс локального компьютера другими пользователями);

- во всех случаях возможного проявления действия вирусов, обнаружения файлов, пораженных вирусом, или подозрения на наличие вируса, незамедлительно сообщают об этом администратору безопасности информационной системы персональных данных Вологодской городской Думы;

- делают резервные копии файлов, содержащих ценную служебную информацию, если эти файлы не размещены в сетевых папках на серверах Вологодской городской Думы;

- не устанавливают самостоятельно программное обеспечение, если это не входит в их должностные обязанности;

- не пользуются нелицензионным или не относящимся к выполнению ими своих должностных обязанностей программным обеспечением;

- используют съемные носители информации, принадлежащие лицам, временно допущенным к работе на компьютерах в Вологодской городской Думе, только в случае проведения антивирусного контроля указанных носителей.

3. Профилактика вирусов

3.1. К основным профилактическим работам и мероприятиям по выявлению вирусов относятся:

- ежедневная автоматическая проверка наличия вирусов при включении компьютера;

- регулярная (не реже одного раза в квартал) выборочная проверка компьютеров на наличие вирусов, даже при отсутствии внешних проявлений вирусов;

- проверка наличия вирусов на компьютере прошедшем ремонт, в том числе гарантийный, в сторонних организациях;

- создание резервных копий программных продуктов сразу же после приобретения компьютера;

- защита системных дискет и дискет с наиболее важными программами от записи на них информации путем установки переключателя на 3.5-дискетах в положение «для чтения»;

- тщательная проверка всех поступающих и приобретенных программ и баз данных;

- ограничение доступа к компьютеру посторонних лиц.

3.2. При обнаружении вирусов на компьютере, работающем в локальной сети, проверке подлежат все компьютеры, включенные в эту сеть и работающие с общими данными и программным обеспечением.

4. Анализ ситуаций

4.1. Если антивирусные программы выдают на экран дисплея компьютера сообщения о подозрении на наличие вирусов на компьютере, то, прежде всего, необходимо убедиться в действительном наличии вирусов. Возможны ситуации, при которых эти сообщения являются следствием неисправности компьютера.

При возникновении подобной ситуации необходимо приостановить работу и немедленно известить об этом администратора безопасности информационной системы персональных данных Вологодской городской Думы, который выполняет анализ ситуации наличия вирусов или неисправности какого-либо устройства компьютера.

При анализе могут использоваться специальные программы проверки исправности компьютера. В результате анализа делается вывод либо об уничтожении вирусов, либо о необходимости дальнейшего восстановления работоспособности компьютера.

4.2. Основные источники вирусов:

- съемный носитель (дискета, флеш-карта, CD-ROM, DVD-ROM, мобильное устройство и т.п.), на котором находятся зараженные вирусом файлы;

- компьютерная сеть, в том числе система электронной почты и информационно-телекоммуникационная сеть «Интернет»;

- жесткий диск компьютера, на который попал вирус в результате работы с зараженными программами.

Если вирус проник на компьютер со съемного носителя, то необходимо определить источник и, если источник информации на съемном носителе находится в Вологодской городской Думе, то необходимо проверить на наличие вирусов компьютер - источник информации на съемном носителе. Если источник дискеты или съемного носителя - коммерческая или другая организация, то необходимо сообщить в эту организацию о факте выявления вирусов и в дальнейшем обратить особое внимание на носители информации, поступающие из этой организации.

В случае действительного наличия вирусов отдел автоматизации и материально-технического обеспечения Управления по обеспечению деятельности Вологодской городской Думы проводит служебное расследование.

5. Применение средств антивирусной защиты

5.1. Если вирус поразил какие-либо программы, то уничтожение вируса выполняется путем уничтожения программы на диске либо на дискете. После уничтожения зараженной программы необходимо восстановить программу, используя ее резервную копию.

5.2. Если вирус поразил файлы, то вирус уничтожается либо путем стирания этих файлов, либо путем использования специальных программ. Использование специальных программ не дает полной гарантии восстановления файла. Поэтому после восстановления файла необходима проверка эффективности проведенных работ. Программы используются лишь в тех случаях, когда отсутствует резервная копия зараженной программы либо файла с данными, либо восстановление уничтоженного файла с помощью резервной копии затруднительно.

5.3. После уничтожения вирусов и восстановления зараженных программ и файлов с данными необходимо еще раз выполнить проверку наличия вирусов, используя антивирусные программы. Перед повторной проверкой необходимо перезагрузить компьютер через выключение и последующее включение компьютера.

5.4. Использование специализированного программного обеспечения для восстановления системных областей (FAT, загрузочной записи, и т.п.) возможно лишь в тех случаях, когда отсутствует резервная копия диска компьютера, либо его восстановление с помощью резервной копии затруднительно.

6. Ответственность

6.1. Ответственность за выполнение мероприятий антивирусного контроля и соблюдение требований настоящего Положения возлагается на всех работников Вологодской городской Думы, являющихся пользователями ИСПДн.

6.2. Ответственность за проведение профилактических мероприятий по обеспечению антивирусной защиты в ИСПДн, а также уничтожение выявленных вирусов возлагается на отдел автоматизации и материально-технического обеспечения Управления по обеспечению деятельности Вологодской городской Думы.

6.3. Периодический контроль за состоянием антивирусной защиты в ИСПДн, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящего Положения работниками Вологодской городской Думы осуществляется ответственными специалистами отдела автоматизации и материально-технического обеспечения Управления по обеспечению деятельности Вологодской городской Думы.

УТВЕРЖДЕНО

распоряжением Главы города Вологды

от 16 сентября 2019 года № 2/120

Положение

о разграничении прав доступа к обрабатываемым персональным данным

в информационной системе персональных данных

Вологодской городской Думы

1. Разграничение прав доступа к обрабатываемым персональным данным в информационной системе персональных данных Вологодской городской Думы (далее - ИСПДн) осуществляется между:

- администратором ИСПДн;

- администратором безопасности ИСПДн;

- пользователями ИСПДн.

2. Разграничение прав доступа к обрабатываемым персональным данным в ИСПДн приведено в таблице.

Должностное лицо	Права доступа к обрабатываемым персональным данным в ИСПДн	Разрешенные действия в рамках выполнения должностных обязанностей и при наличии соответствующих оснований
Администратор ИСПДн	1. Права доступа: 1.1. Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. 1.2. Обладает полной информацией о технических средствах и конфигурации ИСПДн. 1.3. Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн. 1.4. Обладает правами конфигурирования и административной настройки технических средств ИСПДн.	- сбор; - запись; - систематизация; - накопление; - хранение; - уточнение (обновление, изменение); - извлечение; - использование; - передача (распространение, предоставление, доступ); - обезличивание; - блокирование; - удаление; - уничтожение.
Администратор безопасности ИСПДн	1. Права доступа: 1.1. Обладает правами Администратора ИСПДн. 1.2. Обладает полной информацией об ИСПДн. 1.3. Имеет доступ к средствам защиты информации, протоколирования и к ключевым элементам ИСПДн.	- сбор; - запись; - систематизация; - накопление; - хранение; - уточнение (обновление, изменение); - извлечение; - использование; - передача (распространение, предоставление, доступ); - обезличивание; - блокирование; - удаление; - уничтожение.
Пользователи ИСПДн	Права доступа: 1. Обладают всеми необходимыми сведениями (например, паролем), обеспечивающими доступ к обрабатываемым ими персональным данным. 2. Располагают конфиденциальными данными, к которым имеют доступ. 3. Не имеют полномочий для управления системой защиты персональных данных. 4. Имеют доступ к персональным данным в ИСПДн в соответствии с возложенными на них должностными обязанностями и в соответствии с постановлением Главы города Вологды от 19 апреля 2019 года № 207 «О мерах по обеспечению выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами», распоряжением Главы города Вологды от 01 июля 2019 года № 2/95 «Об обеспечении защиты персональных данных в информационной системе персональных данных Вологодской городской Думы «Персональные данные».	- сбор; - запись; - систематизация; - накопление; - хранение; - уточнение (обновление, изменение); - извлечение; - использование; - передача (распространение, предоставление, доступ); - обезличивание; - блокирование; - удаление; - уничтожение.

УТВЕРЖДЕН

распоряжением Главы города Вологды

от 16 сентября 2019 года № 2/120

Порядок

резервирования и восстановления работоспособности технических средств

и программного обеспечения, баз данных и средств защиты информации

в информационной системе персональных данных

Вологодской городской Думы

1. Назначение и область действия

1.1. Настоящий Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационной системе персональных данных Вологодской городской Думы (далее - Порядок) определяет действия, связанные с функционированием информационной системы персональных данных (далее - ИСПДн) Вологодской городской Думы (далее также - городская Дума, Дума), меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн.

1.2. Целью настоящего Порядка является превентивная защита элементов ИСПДн от предотвращения потери защищаемой информации.

1.3. Задачами настоящего Порядка являются:

- определение мер защиты от потери информации;

- определение действий восстановления в случае потери информации.

1.4. Действие настоящего Порядка распространяется на всех пользователей Вологодской городской Думы (работники аппарата и депутаты Думы), эксплуатирующих и сопровождающих ИСПДн, а также на основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:

- системы обеспечения отказоустойчивости;

- системы резервного копирования и хранения данных;

- системы контроля физического доступа.

1.5. Ответственным сотрудником за реагирование на инциденты безопасности, приводящие к потере защищаемой информации, является администратор ИСПДн.

1.6. Ответственным сотрудником за контроль обеспечения мероприятий по предотвращению инцидентов безопасности, приводящих к потере защищаемой информации, является администратор безопасности ИСПДн.

2. Порядок реагирования на инцидент

2.1. В настоящем Порядке под инцидентом понимаются факты:

- нарушения и (или) прекращения функционирования ИСПДн или ее элементов;

- нарушения безопасности обрабатываемой в ИСПДн информации, в том числе произошедший в результате компьютерной атаки.

2.2. Происшествие, вызывающее инцидент, может произойти:

- в результате непреднамеренных действий пользователей;

- в результате преднамеренных действий третьих лиц;

- в результате нарушения правил эксплуатации технических средств ИСПДн;

- в результате возникновения внештатных ситуаций и обстоятельств непреодолимой силы.

2.3. В кратчайшие сроки, не превышающие одного рабочего дня с момента инцедента, администратор ИСПДн предпринимает меры по восстановлению работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационной системе персональных данных Вологодской городской Думы.

3. Меры обеспечения непрерывности работы

восстановления ресурсов при возникновении инцидентов

3.1. Технические меры:

3.1.1. К техническим мерам обеспечения непрерывной работы и восстановления ресурсов относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения инцидентов, такие как:

- системы обеспечения отказоустойчивости;

- системы резервного копирования и хранения данных;

- системы контроля физического доступа.

3.1.2. Кроме того, к техническим мерам можно отнести следующие средства:

- пожарные сигнализации и системы пожаротушения;

- системы вентиляции и кондиционирования;

- системы резервного питания.

3.1.3. Все помещения, в которых размещаются элементы ИСПДн и средства защиты, должны быть оборудованы средствами пожарной сигнализации и пожаротушения.

3.1.4. Для выполнения требований по эксплуатации (температура, относительная влажность воздуха) программно-аппаратных средств ИСПДн в помещениях, где они установлены, должны применяться системы вентиляции и кондиционирования воздуха.

3.1.5. Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИСПДн, сетевое и коммуникационное оборудование, а также рабочие станции должны подключаться к сети электропитания через источники бесперебойного питания.

В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания:

- локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных компьютеров;

- источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения;

- дублированные системы электропитания в устройствах (серверы, концентраторы, мосты и т. д.);

- резервные линии электропитания в пределах комплекса зданий;

- аварийные электрогенераторы.

3.1.6. Системы обеспечения отказоустойчивости:

- кластеризация;

- технология RAID.

3.1.7. Для обеспечения отказоустойчивости критичных компонентов ИСПДн при сбое в работе оборудования и их автоматической замены без простоев должны использоваться методы кластеризации. Для наиболее критичных компонентов ИСПДн должны использоваться территориально удаленные системы кластеров.

3.1.8. Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, которые (кроме RAID-0) применяют дублирование данных, хранимых на дисках.

Система резервного копирования и хранения данных, должна обеспечивать хранение защищаемой информации на твердый носитель (ленту, жесткий диск и т.п.).

3.2. Организационные меры:

3.2.1. Резервное копирование и хранение данных должно осуществляться на периодической основе:

- для обрабатываемых персональных данных - не реже 1 раза в неделю;

- для технологической информации - не реже 1 раза в месяц;

- копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы ИСПДн - не реже 1 раза в месяц, и каждый раз при внесении изменений в копии (выход новых версий).

3.2.2. Носители, на которые произведено резервное копирование, должны быть пронумерованы: номером носителя, датой проведения резервного копирования.

Носители должны храниться в несгораемом шкафу или помещении, оборудованном системой пожаротушения.

Носители должны храниться не менее 1 года, для возможности восстановления данных.

УТВЕРЖДЕНА

распоряжением Главы города Вологды

от 16 сентября 2019 года № 2/120

Инструкция

администратора информационной системы персональных данных Вологодской городской Думы

1. Общие положения

1.1. Администратором информационной системы персональных данных (далее - ИСПДн) Вологодской городской Думы (далее также - городская Дума, Дума) является специалист отдела автоматизации и материально-технического обеспечения Управления по обеспечению деятельности Вологодской городской Думы, являющийся лицом, ответственным за обеспечение безопасности персональных данных в информационной системе Вологодской городской Думы (далее - администратор ИСПДн).

1.2. Администратор ИСПДн отвечает за обеспечение устойчивой работоспособности элементов ИСПДн и средств защиты при обработке персональных данных.

2. Основные функции администратора ИСПДн

2.1. Обеспечивает установку, настройку и своевременное обновление элементов ИСПДн:

- программного обеспечения и серверов (операционные системы, прикладное и специальное программное обеспечение);

- аппаратных средств управления;

- аппаратных и программных средств защиты.
2.2. Обеспечивает работоспособность элементов ИСПДн и локальной вычислительной сети.
2.3. Осуществляет контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.
2.4. Обеспечивает функционирование и поддерживает работоспособность средств защиты в рамках возложенных на него функций.
2.5. В случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе средств защиты информации, принимает меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.
2.6. Проводит периодический контроль за принятием мер по защите в пределах возложенных на него функций.
2.7. Осуществляет контроль за правильностью использования персонального пароля пользователями ИСПДн.
2.8. Осуществляет хранение, прием и выдачу персональных паролей пользователей.
2.9. Обеспечивает постоянный контроль за выполнением пользователями ИСПДн установленного комплекса мероприятий по обеспечению безопасности информации.
2.10. Принимает меры для прекращения обработки информации как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн или средств защиты.
2.11. Обеспечивает строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их на техническое обслуживание и в ремонт.
2.12. Присутствует при выполнении технического обслуживания элементов ИСПДн сторонними физическими лицами и организациями.
2.13. В случае возникновения внештатных ситуаций и аварийных ситуаций принимает меры по реагированию с целью ликвидации их последствий.

УТВЕРЖДЕНА

распоряжением Главы города Вологды

от 16 сентября 2019 года № 2/120

Инструкция

администратора безопасности информационной системы персональных данных Вологодской городской Думы

1. Общие положения

1.1. Администратором безопасности информационной системы персональных данных (далее - ИСПДн) Вологодской городской Думы (далее также - городская Дума, Дума) является специалист отдела автоматизации и материально-технического обеспечения Управления по обеспечению деятельности Вологодской городской Думы, являющийся лицом, ответственным за обеспечение безопасности персональных данных в информационной системе Вологодской городской Думы. (далее - администратор безопасности ИСПДн).

1.2. Администратор безопасности ИСПДн отвечает за поддержание необходимого уровня безопасности объектов защиты и является ответственным должностным лицом Вологодской городской Думы, уполномоченным на проведение работ по технической защите информации и поддержанию достигнутого уровня защиты ИСПДн и ее ресурсов.

2. Основные функции администратора безопасности ИСПДн

2.1. Осуществляет настройку средств криптографической защиты информации, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь ИСПДн (оператор АРМ) получает возможность работать с элементами ИСПДн.

2.2. Осуществляет аудит средств защиты персональных данных.

2.3. Обеспечивает безопасность взаимодействия внутренней информационной сети Вологодской городской Думы (далее - внутренняя информационная сеть) с сетями других организаций (в случае осуществления взаимодействия).

2.4. Осуществляет установку, настройку и сопровождение технических средств защиты.

2.5. Участвует в контрольных и тестовых испытаниях, проверках элементов ИСПДн и приемке новых программных средств.

2.6. Обеспечивает доступ к защищаемой информации пользователям ИСПДн согласно установленным правам доступа.

2.7. Уточняет в установленном порядке обязанности пользователей ИСПДн по работе на (в) объектах защиты.

2.8. Ведет контроль над процессом осуществления резервного копирования объектов защиты.

2.9. Анализирует состояние защиты ИСПДн и ее отдельных подсистем.

2.10. Контролирует неизменность состояния средств защиты их параметров и режимов защиты.
2.11. Контролирует физическую сохранность средств и оборудования ИСПДн.
2.12. Контролирует исполнение пользователями ИСПДн введенного режима безопасности, а также правильность работы с элементами ИСПДн и средствами защиты.
2.13. Контролирует исполнение пользователями парольной политики.
2.14. Контролирует работу пользователей во внутренней информационной сети и (или) международного обмена.
2.18. Осуществляет периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ИСПДн.
2.19. В случае отказа работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты, принимает меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

2.15. Не допускает установку, использование, хранение и размножение в ИСПДн программных средств, не связанных с выполнением функциональных задач.

2.16. Не допускает к работе на элементах ИСПДн посторонних лиц.

2.17. Оказывает помощь пользователям ИСПДн в части применения средств защиты и консультирует по вопросам введенного режима защиты.

2.20. В случае возникновения внештатных и аварийных ситуаций принимает меры по реагированию с целью ликвидации их последствий.

УТВЕРЖДЕНА

распоряжением Главы города Вологды

от 16 сентября 2019 года № 2/120

Инструкция

пользователя информационной системой персональных данных

Вологодской городской Думы

1. Общие положения

1.1. Пользователь информационной системой персональных данных Вологодской городской Думы (далее - Пользователь ИСПДн) осуществляет обработку персональных данных в информационной системе персональных данных Вологодской городской Думы (далее - ИСПДн).

1.2. Пользователями ИСПДн являются работники аппарата Вологодской городской Думы и депутаты Вологодской городской Думы, эксплуатирующие и сопровождающие ИСПДн.

2. Основные функции пользователя ИСПДн

2.1. Знать и выполнять требования действующих нормативных документов, а также внутренних локальных правовых актов, регламентирующих порядок действий по защите информации.

2.2. Выполнять на автоматизированном рабочем месте (АРМ) процедуры в рамках прав доступа к обрабатываемым персональным данным.

2.3. Знать и соблюдать установленные требования по режиму обработки и обеспечению безопасности персональных данных, учету, хранению и пересылке носителей информации.

2.4. Соблюдать требования по организации парольной защиты, установленные разделом 3 настоящей Инструкции.

2.5. Соблюдать правила при работе в сетях общего доступа и (или) информационно-телекоммуникационной сети «Интернет», установленные разделом 4 настоящей Инструкции.

2.6. Располагать экран монитора в помещении во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами при их нахождении в помещении, а также через оконные проемы, либо завешивать шторы на оконных проемах (закрывать жалюзи).

2.7. Сообщать обо всех выявленных нарушениях, связанных с информационной безопасностью администратору безопасности ИСПДн.

2.8. Обращаться для получения консультаций по вопросам работы и настройки элементов ИСПДн, а также по вопросам информационной безопасности к ответственным специалистам отдела автоматизации и материально-технического обеспечения Управления по обеспечению деятельности Вологодской городской Думы.

2.9. При отсутствии визуального контроля за компьютером блокировать доступ к компьютеру (одновременное нажатие комбинации клавиш «Ctrl»-«Alt»-«Del», далее выбор опции «Блокировка»).

2.10. Соблюдать следующие запреты:

- разглашать защищаемую информацию третьим лицам;

- копировать защищаемую информацию на внешние носители;

- самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;

- несанкционированно открывать общий доступ к папкам, содержащим информацию о персональных данных, на своем компьютере;

- подключать к компьютеру и внутренней информационной сети личные внешние носители и мобильные устройства;

- отключать (блокировать) средства защиты информации;

- обрабатывать на компьютере информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн;

- сообщать или передавать посторонним лицам электронные ключи и атрибуты доступа к ресурсам ИСПДн;

- привлекать посторонних лиц для производства ремонта или настройки компьютера.

3. Организация парольной защиты

3.1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей и контроль за действиями пользователей при работе с паролями возлагается на администратора безопасности ИСПДн.

3.2. Первичные личные пароли и имена пользователей для первоначального доступа к элементам ИСПДн выдаются администратором безопасности ИСПДн. При первичном входе в систему, предусматривающую доступ к элементам ИСПДн, пользователь обязан самостоятельно создать новый личный пароль.

3.3. Правила формирования пароля.

3.3.1. Пароль не может содержать имя учетной записи пользователя или какую-либо его часть.

3.3.2. Пароль должен состоять не менее чем из 8 символов.

3.3.3. В пароле должны присутствовать следующие символы:

- прописные буквы английского алфавита от A до Z;

- строчные буквы английского алфавита от a до z;

- десятичные цифры (от 0 до 9);

- символы, не принадлежащие алфавитно-цифровому набору (например, !, $, #, %).

3.3.4. Запрещается использовать в качестве пароля легко вычисляемые сочетания слов и символов (простые пароли типа «123», «111», «qwerty» и им подобные, а также имена, фамилии, даты рождения себя и своих родственников, клички домашних животных, номера автомобилей, телефонов, известные названия, словарные и жаргонные слова, и другие пароли, о которых можно догадаться, основываясь на информации о пользователе).

3.3.5. Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов.

3.3.6. Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.).

3.3.7. Запрещается выбирать пароли, которые уже использовались ранее, при смене пароля новый пароль должен отличаться от старого не менее чем в шести позициях.

3.4. При формировании первичных личных паролей пользователей ответственность за правильность их формирования и распределения возлагается на администратора безопасности ИСПДн.

3.5. При смене первичных личных паролей пользователей ответственность за их формирование возлагается на пользователя. Пользователь обязан сразу же после смены своего пароля передать его новое значение (вместе с именем своей учетной записи) администратору безопасности ИСПДн.

3.6. Правила ввода пароля:

- ввод пароля должен осуществляться с учетом регистра, в котором пароль был задан;

- во время ввода паролей необходимо исключить произнесение его вслух, исключить возможность наблюдения за вводом пароля третьими лицами или техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и др.).

3.7. Полная плановая смена паролей проводится не реже одного раза в три месяца.

3.8. В случае прекращения полномочий пользователя ИСПДн администратор безопасности ИСПДн должен немедленно удалить его учетную запись сразу после окончания последнего сеанса работы данного пользователя с системой.

3.9. Срочная (внеплановая) полная смена паролей производится в случае прекращения полномочий администратора безопасности ИСПДн и других работников, которым предоставлены полномочия по управлению системой парольной защиты.

3.10. Правила хранения пароля:

- запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах, к которым имеют доступ посторонние лица;

- запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем;

- допускается хранение пользователем своего пароля на бумажном носителе только в сейфе (металлическом шкафу).

3.11. Пользователи ИСПДн обязаны:

- четко знать и строго выполнять требования настоящей Инструкции;

- своевременно сообщать администратору безопасности ИСПДн об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.

3.12. В случае утери или компрометации пароля администратор безопасности ИСПДн немедленно предпринимает меры для срочной (внеплановой) смены пароля пользователем ИСПДн.

3.13. Ответственность за организацию парольной защиты в Вологодской городской Думы возлагается на администратора безопасности ИСПДн.

3.14. Пользователи ИСПДн несут ответственность за выполнение норм настоящей Инструкции в части соблюдения правил парольной защиты.

4. Правила работы в сетях общего доступа

и (или) информационно-телекоммуникационной сети «Интернет»

4.1. Работа в сетях общего доступа и (или) информационно-телекоммуникационной сети «Интернет» (далее - сеть) на элементах ИСПДн, должна проводиться в целях исполнения должностных обязанностей.

4.2. При работе в сети запрещается:

- осуществлять работу при отключенных средствах защиты (антивирус);

- передавать по сети защищаемую информацию без использования средств шифрования;

- скачивать из сети программное обеспечение и другие файлы;

- посещать сайты, содержащие информацию, не связанную с исполнением должностных обязанностей.

Начат: «____» _______________ 20___г.

Окончен: «____» _______________ 20___г.