2.2. Организация и проведение работ по обеспечению безопасности информации, содержащей ПДн, на объекте информатизации Организации проводится на основании законодательных и нормативных актов Российской Федерации в области защиты информации и настоящего Положения. Безопасность ПДн при их обработке в ИСПДн достигается путем исключения НСД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
2.3. Требования настоящего Положения являются обязательными для исполнения в Организации, а также организациями, учреждениями и предприятиями, выполняющими работы по защите информации в Организации.
2.4. Положение определяет порядок организации и проведения работ по защите информации, содержащей ПДн, на объект информатизации как в период их создания, так и в процессе повседневной эксплуатации.
2.5. Принимаемые меры по защите информации на объекте информатизации должны обеспечивать выполнение действующих требований и норм по защите информации.
При обработке ПДн в ИСПДн должно быть обеспечено:
– проведение мероприятий, направленных на предотвращение НСД к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
– своевременное обнаружение фактов НСД к ПДн;
– недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
– возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
– постоянный контроль за обеспечением уровня защищенности ПДн.
2.6. Разработка мер и обеспечение защиты информации на объекте информатизации осуществляются отделом безопасности Организации или ответственным за защиту информации работником.
Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в ИСПДн информационные технологии.
Для обеспечения безопасности ПДн при обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
Методы и способы защиты ПДн в ИСПДн устанавливаются ФСТЭК России и ФСБ России в пределах их полномочий.
Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензии ФСТЭК России и ФСБ России на право проведения соответствующих работ.
Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн оценивается при проведении государственного контроля и надзора.
Согласование планируемых мер, контроль выполнения работ на местах, соответствия принятых мер и проводимых мероприятий по защите информации действующим требованиям и нормам производит отдел безопасности или администратор информационной безопасности.
2.7. Объект информатизации Организации должен соответствовать требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России.
Размещение ИСПДн и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
2.8. Защита информации организуется в соответствии с действующими нормативными документами ФСТЭК России.
Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства. Ответственность за общее состояние и организацию работ по созданию и эксплуатации объекта информатизации возлагается на начальника Организации. Ответственность за обеспечение требований по защите информации, циркулирующей на объекте информатизации, возлагается на начальников структурных подразделений организации, эксплуатирующих объект информатизации.
Читать дальше