О нас Политика информационной безопасности

Политика информационной безопасности

Прослушать

Политика информационной безопасности

Федерального казенного учреждения

«Главное бюро медико-социальной экспертизы

по Курганской области» Минтруда России.

Общие положения

Настоящий документ служит основой для реализации практических мер по обеспечению информационной безопасности Федерального казенного учреждения «Главное бюро медико-социальной экспертизы по Курганской области» Минтруда России (ФКУ «ГБ МСЭ по Курганской области» Минтруда России). Основные положения Политики информационной безопасности могут быть распространены также на подразделения других организаций и учреждений, осуществляющих взаимодействие с ФКУ «ГБ МСЭ по Курганской области» Минтруда России в качестве поставщиков и (или) потребителей (пользователей) информации.

Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации ФКУ «ГБ МСЭ по Курганской области» Минтруда России. Соблюдение настоящей Политики обязательно для всех сотрудников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации ФКУ «ГБ МСЭ по Курганской области» Минтруда России, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.

Настоящий документ не затрагивает вопросы обеспечения безопасности информации на традиционных (бумажных) носителях.

Цель создания системы обеспечения информационной безопасности — защита всех категорий субъектов, прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных или преднамеренных нежелательных воздействий на информацию и системы её обработки и передачи. В качестве защищаемых объектов должны рассматриваться информация, её носители и процессы обработки.

Политика информационной безопасности - совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Под обеспечением информационной безопасности понимается обеспечение основных свойств информации:

Конфиденциальности - информация ограниченного использования должна быть защищена от несанкционированного доступа.
Целостности - информационные ресурсы должны быть защищены от искажения, уничтожения и/или несанкционированной модификации.
Доступности - информация должна быть доступна в том виде, в том месте и в то время, когда она необходима законному пользователю.

Для обеспечения информационной безопасности так же необходимо:

повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами ФКУ «ГБ МСЭ по Курганской области» Минтруда России;
определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности в ФКУ «ГБ МСЭ по Курганской области» Минтруда России;

Руководители подразделений ФКУ «ГБ МСЭ по Курганской области» Минтруда России должны обеспечить регулярный контроль за соблюдением положений настоящей Политики. Кроме того, должна быть организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки Руководству.

В ФКУ «ГБ МСЭ по Курганской области» Минтруда России обрабатывается информация ограниченного доступа. Режим защиты такой информации, согласно ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации” и ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», устанавливается ФКУ «ГБ МСЭ по Курганской области» Минтруда России, как собственником информационных ресурсов.

В ФКУ «ГБ МСЭ по Курганской области» Минтруда России не обрабатывается информация, отнесенная к государственной тайне, обработка такого рода информации не предполагается.

Реализация права собственника на защиту информации осуществляется путем создания комплексной системы обеспечения информационной безопасности, включающей комплекс организационных и инженерно- технических мер. Идеологической основой этих мер является политика информационной безопасности ФКУ «ГБ МСЭ по Курганской области» Минтруда России.

Каждый сотрудник ФКУ «ГБ МСЭ по Курганской области» Минтруда России несёт ответственность за строгое соблюдение положений данной Политики, в части, его касающейся, отражённой в его должностных инструкциях и других документах.

Организационные положения

В ФКУ «ГБ МСЭ по Курганской области» Минтруда России должна быть образована Комиссия по определению уровней защищенности информационных систем персональных данных (далее - Комиссия). Комиссия по определению уровней защищенности информационных систем персональных данных образуется приказом руководителя ФКУ «ГБ МСЭ по Курганской области» Минтруда России, и должна включать в себя, как минимум, 3 члена:

Должностное лицо из состава высшего руководства ФКУ «ГБ МСЭ по Курганской» Минтруда России, курирующее вопросы обеспечения информационной безопасности в ФКУ «ГБ МСЭ по Курганской области» Минтруда России.
Должностное лицо ФКУ «ГБ МСЭ по Курганской области» Минтруда России, назначенное ответственным за обеспечение информационной безопасности в ФКУ «ГБ МСЭ по Курганской области» Минтруда России.
Должностное лицо подразделения, обеспечивающего функционирование информационных систем, ответственное за обеспечение информационной безопасности.

Не реже одного раза в год необходимо проводить совещания Комиссии по вопросам обеспечения информационной безопасности между членами Комиссии и, возможно, приглашенными лицами, в числе которых могут быть как технические специалисты ФКУ «ГБ МСЭ по Курганской области» Минтруда России, так и специалисты, из других организаций (учреждений).

Обмен информацией по вопросам безопасности должен быть ограничен, чтобы гарантировать, что информация, содержащая служебную тайну учреждения, другие сведения ограниченного доступа и информация о применяемых средствах и методах защиты не попадет в руки лиц, не имеющих соответствующих полномочий.

Желательным является поддержание отношений с консалтинговыми организациями и поставщиками информационных сервисов, чтобы обеспечить своевременное установление контактов и получение рекомендаций в случае инцидента в системе безопасности.

Договоры, предусматривающие доступ сторонних организаций к информационным ресурсам ФКУ «ГБ МСЭ по Курганской области» Минтруда России, должны содержать в своем составе положения о неразглашении информации ограниченного доступа или предусматривать заключение соответствующего Соглашения в виде самостоятельного документа. В этих Соглашениях о неразглашении должен быть определен порядок и условия использования сторонами защищаемой информации ФКУ «ГБ МСЭ по Курганской области» Минтруда России, а также ответственность сторон за ее разглашение.

Должно быть произведено описание должностных обязанностей работников ФКУ «ГБ МСЭ по Курганской области» Минтруда России, с точки зрения действенного обеспечения информационной безопасности (к каким информационным ресурсам в соответствии со своими функциональными обязанностями может быть допущено то или иное должностное лицо).

Любое серьёзное нарушение порядка и правил работы в информационных системах сотрудниками ФКУ «ГБ МСЭ по Курганской области» Минтруда России или других организаций и учреждений, осуществляющих взаимодействие с ФКУ «ГБ МСЭ по Курганской области» Минтруда России в качестве поставщиков и (или) потребителей (пользователей) информации, должно расследоваться. К виновным должны применяться адекватные меры воздействия.

Необходимо возложить персональную ответственность за обеспечение информационной безопасности и нормальное функционирование системы обработки информации на каждого сотрудника ФКУ «ГБ МСЭ по Курганской области» Минтруда России, в пределах его полномочий, а также на представителей других организаций и учреждений, осуществляющих взаимодействие с ФКУ «ГБ МСЭ по Курганской области» Минтруда России в качестве поставщиков и (или) потребителей (пользователей) информации.

Порядок наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые в организации политику и процедуры обеспечения информационной безопасности, определяется в соответствии с действующим трудовым законодательством РФ.

Классификация и категорирование информационных ресурсов

В ФКУ «ГБ МСЭ по Курганской области» Минтруда России должна быть проведена инвентаризация и категорирование ресурсов (паспортизация информационных ресурсов) — все информационные ресурсы должны быть учтены и иметь назначенного владельца. Следует определить владельцев основных ресурсов и назначить ответственных за реализацию соответствующих защитных мер. Каждый ресурс должен быть четко идентифицирован, а его владелец и категория согласованы и задокументированы.

Необходимо разработать и утвердить Перечень компонентов информационных систем по обработке персональных данных, содержащий описание компонентов ИСПДн: серверов, АРМ, коммутационного оборудования, принтеров, сканеров и МФУ.

Правила обеспечения необходимой защищенности в ФКУ «ГБ МСЭ по Курганской области» Минтруда России основываются на Концепции информационной безопасности в ФКУ «ГБ МСЭ по Курганской области» Минтруда России, обеспечивающей базовый уровень информационной безопасности. Базовый уровень обеспечивается совокупностью организации информационной безопасности всех элементов системы обеспечения информационной безопасности ФКУ «ГБ МСЭ по Курганской области» Минтруда России и ориентируется на существующие и проверенные стандартные решения построения и оценки.

Учёт, хранение, использование и уничтожение распечаток, отчуждаемых носителей информации и других материалов, содержащих служебную тайну и другие сведения ограниченного доступа, организуется в соответствии с требованиями режима информационной безопасности ФКУ «ГБ МСЭ по Курганской области» Минтруда России.

Штатный раздел

В процессе обеспечения информационной безопасности должны быть задействованы все пользователи информационных систем ФКУ «ГБ МСЭ по Курганской области» Минтруда России, которые разделяются на:

Членов Комиссии по вопросам обеспечения информационной безопасности. Они определяют и контролируют режим информационной безопасности.
Администраторов. Они обеспечивают заданный режим информационной без опасности.
Пользователей. Они работают в рамках заданного режима информационной безопасности.

Каждый, вновь принимаемый на работу, сотрудник должен пройти вводный инструктаж по общим правилам работы в ФКУ «ГБ МСЭ по Курганской области» Минтруда России и правилам обеспечения информационной безопасности. В ходе этого инструктажа должна быть или подтверждена квалификация сотрудника как пользователя для работы с необходимой частью информационной системы, или должно быть принято решение о срочном проведении повышения его квалификации до необходимого уровня, для выполнения своих должностных обязанностей.

Для пользователей рабочих станций, на которых обрабатывается информация ограниченного доступа ФКУ «ГБ МСЭ по Курганской области» Минтруда России, должна быть разработана «Инструкция пользователя информационной системы персональных данных», содержащая требования по обеспечению информационной безопасности при работе с такого рода информацией, и «Инструкция о порядке работы с персональными данными», содержащая перечень требований для пользователя по работе с ПДн.

Организация просвещения сотрудников ФКУ «ГБ МСЭ по Курганской области» Минтруда России в области информационной безопасности возлагается на ответственного за обеспечение безопасности ПДн. Подписи сотрудников об ознакомлении заносятся в «Журнал ознакомления с локальными нормативными актами».

Доведение требований этого документа до лиц, допущенных к обработке информации ограниченного доступа ФКУ «ГБ МСЭ по Курганской области» Минтруда России, должно осуществляться ответственным за обеспечение информационной безопасности, под роспись.

Пользователям должно быть запрещено хранить на постоянной основе информацию ограниченного доступа ФКУ «ГБ МСЭ по Курганской области» Минтруда России, на жёстких дисках рабочих станций. Такая информация должна храниться на серверах (администрируемых сетевых ресурсах с контролем доступа пользователей) в специально выделенных областях памяти.

Пользователи должны знать и неукоснительно выполнять требования документов, посвящённые обязанностям сотрудников по обеспечению информационной безопасности,

Производственная необходимость предоставления сотрудникам полномочий и прав доступа к ресурсам ФКУ «ГБ МСЭ по Курганской области» Минтруда России и сервисам сети «Интернет» определяется руководителями соответствующих структурных подразделений ФКУ «ГБ МСЭ по Курганской области» Минтруда России. Руководители структурных подразделений обязаны своевременно предоставлять заявки на предоставление своим сотрудникам или лишение сотрудников соответствующих прав доступа и полномочий по работе с ресурсами ФКУ «ГБ МСЭ по Курганской области» Минтруда России и сервисов сети «Интернет».

Все сотрудники ФКУ «ГБ МСЭ по Курганской области» Минтруда России, должны быть ознакомлены с процедурой уведомления о различных типах компьютерных инцидентов (нарушение безопасности, угроза, слабость или сбой), которые могут повлиять на безопасность информационных ресурсов ФКУ «ГБ МСЭ по Курганской области» Минтруда России.

Следует обязать пользователей без промедления сообщать обо всех наблюдаемых или подозрительных случаях такого рода в информационно-статистический отдел ФКУ «ГБ МСЭ по Курганской области» Минтруда России.

Ни один сотрудник ФКУ «ГБ МСЭ по Курганской области» Минтруда России не должен обладать всей полнотой полномочий для единоличного, бесконтрольного уничтожения и изменения, либо создания и авторизации ресурсов в ФКУ «ГБ МСЭ по Курганской области» Минтруда России.

Должен быть назначен ответственный администратор за работу с информацией о пользователях и средствах управления доступом, действующий в соответствии с «Инструкцией ответственного за обеспечение безопасности ПДн». Любые изменения состава и полномочий пользователей информационных систем должны производиться согласно документу, определяющему порядок внесения изменений в списки пользователей и наделению их полномочиями доступа к ресурсам.

Ввод в эксплуатацию новых рабочих станций и все изменения в конфигурации технических и программных средств рабочих станций в ФКУ «ГБ МСЭ по Курганской области» Минтруда России должны осуществляться только в соответствии с документом, регламентирующим порядок установки, модификации и технического обслуживания программного обеспечения и аппаратных средств рабочих станций.

Меры физической безопасности

Должна быть организована физическая защита помещений и собственно технических средств ФКУ «ГБ МСЭ по Курганской области» Минтруда России с помощью охранно-технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации. Для разграничения доступа в помещения могут быть использованы электронные замки, основанные на методах идентификации и аутентификации персонала.

Физическая целостность аппаратных компонентов, серверов и рабочих станций должна обеспечиваться организационными мерами и применением механических запоров (при наличии), пломб (наклеек, печатей или т.п.) на блоках и устройствах вычислительной техники.

Для обеспечения физической безопасности компонентов информационных систем необходимо осуществить ряд организационных и технических мероприятий, включающих;

введение дополнительных ограничений по доступу в помещения, предназначенные для хранения и обработки информации, содержащей служебную тайну и другие сведения ограниченного доступа;

Должна быть разработана «Инструкция по физической охране, контролю доступа в помещения», в которой описывается порядок доступа в помещения, где обрабатываются персональные данные, в том числе при проведении строительных и ремонтных работ.

Необходимо вести «Журнал учета ключей от сейфов, шкафов и помещений», в котором фиксируются лица, которым был выдан ключ от защищаемого помещения, сейфа, металлических и коммутационных шкафов. Журнал должен быть утвержден приказом руководителя ФКУ «ГБ МСЭ по Курганской области» Минтруда России и назначен ответственный по его ведению.

оборудование ФКУ «ГБ МСЭ по Курганской области» Минтруда России устройствами защиты от сбоев электропитания.

Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранятся информация ФКУ «ГБ МСЭ по Курганской области» Минтруда России.

Сотрудникам запрещено самостоятельно изменять конфигурацию аппаратного и программного обеспечения.

Управление системой обеспечения информационной безопасности

Управление системой обеспечения информационной безопасности ФКУ «ГБ МСЭ по Курганской области» Минтруда России должно представлять собой целенаправленное воздействие на компоненты (организационные, технические и программные) с целью достижения требуемых показателей и норм защищенности, циркулирующей в ФКУ «ГБ МСЭ по Курганской области» Минтруда России информации в условиях реализации основных угроз безопасности. Целями управления системой обеспечения информационной безопасности являются обязательное и неукоснительное выполнение предусмотренных на этапе создания системы обеспечения информационной безопасности правил и процедур, направленных на обеспечение информационной безопасности, всеми задействованными в системе участниками, эффективное пресечение посягательств на информационные ресурсы, технические средства и информационные технологии, своевременное выявление негативных тенденций и совершенствование управления в области защиты информации.

Правила доступа к информации бизнес-приложений

Бизнес-приложение - это надстройка к базовым программам, представляющая инструментарий для поиска, сбора, консолидации, анализа, моделирования и доставки точных и оперативных данных по любой сфере деятельности учреждения.

Каждому сотруднику, имеющему доступ к информации, содержащей служебную тайну и другие сведения ограниченного доступа ФКУ «ГБ МСЭ по Курганской области» Минтруда России должны предоставляться минимально необходимые для выполнения им своих функциональных обязанностей права и полномочия по доступу к ресурсам ФКУ «ГБ МСЭ по Курганской области» Минтруда России и сервисам сети «Интернет». Должна быть реализована процедура пересмотра прав доступа пользователей к ресурсам ФКУ «ГБ МСЭ по Курганской области» Минтруда России и сервисам сети «Интернет».

Для каждого вида прикладного ПО автоматизации, бизнес-процессов должны быть четко сформулированы правила разграничения и контроля доступа к данным, которые определяют права доступа каждого пользователя или группы пользователей. Эти правила должны учитывать следующее:

требования к безопасности отдельных приложений автоматизации бизнес-процессов;
правила распространения информации и разграничения доступа.
обязательства, касающиеся защиты доступа к данным и сервисам.

Следует рассмотреть возможность создания стандартных профилей полномочий доступа пользователей для общих категорий работ.

Должны быть предусмотрены процедуры, включающие в себя все стадии жизненного цикла управления доступом пользователей — от начальной регистрации новых пользователей до удаления учетных записей пользователей, которые больше не нуждаются в доступе к прикладному ПО автоматизации бизнес-процессов.

Доступ к многопользовательскому прикладному ПО автоматизации бизнес-процессов необходимо контролировать посредством формального процесса регистрации пользователей, который должен включать в себя:

проверку, предоставлено ли пользователю разрешение на использование сервиса владельцем ресурса;
ведение формального учёта всех зарегистрированных лиц,

использующих ПО;

немедленное изъятие прав доступа у тех пользователей, которые сменили, работу или покинули организацию;
периодические проверки и удаление пользовательских идентификаторов и учетных записей, которые больше не требуются.

Разработка и сопровождение программного обеспечения

ФКУ «ГБ МСЭ по Курганской области» Минтруда России

Все программное обеспечение (приобретенное у фирм-производителей, разработанное специалистами ФКУ «ГБ МСЭ по Курганской области» Минтруда России, полученное в качестве технической поддержки или централизованно), должно проходить проверку (испытания) и передаваться в хранилище эталонных копий.

Использование неучтенного (не зарегистрированного и не имеющего разрешения на использование в ФКУ «ГБ МСЭ по Курганской области» Минтруда России) программного обеспечения должно быть запрещено.

Разработка автоматизированных систем и подсистем для ФКУ «ГБ МСЭ по Курганской области» Минтруда России должна вестись в соответствии с действующим законодательством Российской Федерации в области лицензирования, стандартизации процесса разработки и безопасности.

Анализ требований к безопасности следует проводить на стадии анализа требований к каждому проекту разработки систем. При формулировании производственных требований к новым системам или модернизации существующих систем, необходимо задать требования к средствам управления безопасностью. Основу анализа требований к безопасности составляют;

рассмотрение требований обеспечения конфиденциальности, целостности и доступности информационных ресурсов;
встроенные средства обеспечения безопасности программного обеспечения должны быть интегрированы в систему обеспечения информационной безопасности ФКУ «ГБ МСЭ по Курганской области» Минтруда России и в совокупности обеспечивать необходимый уровень защищённости.

Разработка, внедрение и сопровождение программного обеспечения, силами специалистов ФКУ «ГБ МСЭ по Курганской области» Минтруда России, должны проводиться в соответствии с документом, устанавливающим порядок разработки, внедрения и сопровождения программного обеспечения.

Задачи, требующие работ специалистов узкого профиля, предпочтительно выполнять с привлечением внешних специалистов, не являющихся постоянными сотрудниками ФКУ «ГБ МСЭ по Курганской области» Минтруда России. Эти специалисты должны обладать подтверждённой высокой квалификацией, гарантированно быть доступны в течение фиксированного времени, и иметь некоторое представление об информационной системе заказчика. Такие специалисты могут быть привлечены к обслуживанию информационной системы в случае взаимодействия с внешними организациями, которые бы гарантированно обеспечивали выполнение работ высококвалифицированными специалистами в фиксированные сроки.

Антивирусное программное обеспечение должно быть лицензированным и иметь сертификаты соответствия ФСТЭК.

Сотрудники ФКУ «ГБ МСЭ по Курганской области» Минтруда России не должны:

блокировать антивирусное программное обеспечение;
устанавливать другое антивирусное программное обеспечение;
изменять настройки и конфигурацию антивирусного программного обеспечения.

Копирование данных и обеспечение непрерывной работы и восстановления

В информационных системах ФКУ «ГБ МСЭ по Курганской области» Минтруда России должно проводиться резервное копирование данных в соответствии с разработанной «Инструкцией о порядке резервирования и восстановления работоспособности ТС и ПО, баз данных, СЗИ», описывающая порядок создания резервных копий баз данных, файлов, а также технология их дальнейшего восстановления в случае сбоев.

Должно регулярно пополняться и обновляться хранилище эталонных копий программ. Должно быть обеспечено хранение резервных копий данных и эталонных копий программ вне помещения серверной комнаты. Периодичность резервного копирования должна обеспечивать, в случае возникновения аварийной ситуации, восстановление работы информационных систем без существенных потерь для ФКУ «ГБ МСЭ по Курганской области» Минтруда России.

Важные документы, (в том числе те, которые ФКУ «ГБ МСЭ по Курганской области» Минтруда России обязано хранить несколько лет) должны храниться в нескольких экземплярах

Должна быть рассмотрена возможность архивирования юридически значимой Информации, информации о спорных ситуациях и проведённых расследованиях в области информационной безопасности.

Электронные архивы должны удовлетворять следующим требованиям:

Недоступность архива для модификации, добавления или удаления файлов любым лицом, включая ответственного за ведение архива.
Архив должен быть надёжно защищён от утраты и уничтожения (дублирование, выбор носителей соответствующей надёжности).

Утилизация одноразовых сменных носителей, использованных для архивации данных, и удаление с иных носителей информации, утратившей актуальность по окончании срока архивации, должно производится по решению Комиссии по информационной безопасности в соответствии с требованиями международных стандартов ISO 15489.

Для защиты критически важных производственных процессов от последствий крупных аварий необходимо иметь план обеспечения непрерывной работы и восстановления.

Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении инцидентов, должны включать в себя:

Технические меры (программные, аппаратные и технические средства и системы, используемы для предотвращения инцидентов).
Организационные меры

В «Инструкции о порядке резервирования и восстановления работоспособности ТС и ПО, баз данных, СЗИ» должен быть описан детальный перечень мероприятий, которые должны быть выполнены до, вовремя и после бедствия.

План обеспечения непрерывной работы ФКУ «ГБ МСЭ по Курганской области» Минтруда России представляет собой периодически обновляемый документ, который поддерживается в рабочем состоянии благодаря процессу обновлений, испытаний и экспертиз. План должен отражать актуальное состояние рабочей среды организации.

Правовые положения

Законодательную основу разработки и функционирования системы защиты информации составляют:

Конституция Российской Федерации;
Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных.»
Трудовой кодекс Российской Федерации от 30 декабря 2001 года N 197- ФЗ. Глава. .1.4
Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 года N 195-ФЗ»
Уголовный кодекс РФ от 13 июня 1996 года N 63-ФЗ
Указ Президента РФ от 06.03,1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»
Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства РФ от 15 августа 2006 г. N504

«О лицензировании деятельности по технической защите конфиденциальной информации»

Распоряжение Правительства РФ от 15 августа 2007 г. N 1055-р об утверждении Плана подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»;
Приказ ФСТЭК России, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г, N 55/86/20 «Об утверждении Порядка проведения классификации и информационных систем персональных данных»
Приказ Россвязьохранкультуры от 28 марта 2008 г. N 153 «Об утверждении формы уведомления об обработке персональных данных»
Приказ Россвязьохранкультуры от 28 марта 2008 г, N 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»
«Базовая модель угроз безопасности ПДн при их обработке в ИСПДн», «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн», утвержденные Заместителем директора ФСТЭК России 15 февраля 2008 г.
Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержден приказом Гостехкомиссии России от 30.08,2002 г.
Положение по аттестации объектов информатизации, по требованиям безопасности информации», утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

Все лицензионные, правовые и договорные требования, имеющие отношение к безопасности, необходимо определить в явном виде и задокументировать для каждой подсистемы.

Каждый сотрудник ФКУ «ГБ МСЭ по Курганской области» Минтруда России при приеме на работу должен, подписывать Соглашение о соблюдении установленных требований по сохранению служебной тайны, другой информации ограниченного доступа ФКУ «ГБ МСЭ по Курганской области» Минтруда России, а также ответственности за их нарушение.

Каждый сотрудник ФКУ «ГБ МСЭ по Курганской области» Минтруда России должен быть осведомлён, что, приступая к работе с информацией, циркулирующей в ФКУ «ГБ МСЭ по Курганской области» он вступает в договорные отношения с собственником этой информации — ФКУ «ГБ МСЭ по Курганской области» Минтруда России, и несет ответственность за неразглашение конфиденциальной информации.

Пользователи и обслуживающий персонал информационных систем ФКУ «ГБ МСЭ по Курганской области» Минтруда России должны иметь представление об ответственности за правонарушения в области систем автоматизированной обработки информации и других нарушений установленного в ФКУ «ГБ МСЭ по Курганской области» Минтруда России режима информационной безопасности (статьи 272, 273, 274 УК РФ, статьи 139, 727 ГК РФ, статья 243 ТК РФ, статья 21 Закона РФ "Об информации, информационных технологиях и о защите информации"; статьи 18, 1.9, 20, 21 Федерального Закона № 152-ФЗ «О персональных данных» и тт.).

Доступ к ресурсам сети «Интернет» ограничить в зависимости от обрабатываемой на ПК информации.