Основная информация
| Дата опубликования: | 12 апреля 2017г. |
| Номер документа: | RU54000201700242 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Новосибирская область |
| Принявший орган: | Министерство образования, науки и инновационной политики Новосибирской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
ПРИКАЗ
МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
от 27.02. 2017 № 408
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ УПРАВЛЕНИИ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
В связи с осуществлением обработки персональных данных в информационной системе персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - ИСПДн Минобрнауки Новосибирской области), в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке и информационных системах персональных данных", Приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13.06.2001 № 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", руководящим документом "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержденным решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года, приказываю:
1. Утвердить прилагаемые:
1) Положение об управлении доступом субъектов доступа к объектам доступа в ИСПДн Минобрнауки Новосибирской области;
2) Правила идентификации и аутентификации субъектов доступа и объектов доступа в ИСПДн Минобрнауки Новосибирской области;
3) Правила регистрации событий безопасности в ИСПДн Минобрнауки Новосибирской области;
4) перечень событий безопасности в ИСПДн Минобрнауки Новосибирской области;
5) форму заявления на выдачу (перевыпуск) ключевых документов;
6) форму Акта об уничтожении криптографических ключей, содержащихся на ключевых носителях, и ключевых документов;
7) описание технологического процесса обработки персональных данных в ИСПДн Минобрнауки Новосибирской области;
8) инструкцию по контролю защищенности персональных данных в ИСПДн Минобрнауки Новосибирской области;
9) форму журнала хранилищ (сейфов) для хранения средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
2. Контроль за исполнением требований настоящего оставляю за собой.
Министр
С.А.НЕЛЮБОВ
Утверждено
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ПОЛОЖЕНИЕ
ОБ УПРАВЛЕНИИ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящее Положение определяет права и привилегии субъектов доступа, описывает разграничение доступа субъектов доступа к объектам доступа на основе совокупности правил разграничения доступа, установленных в информационных системах персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - Минобрнауки Новосибирской области), а также контроль соблюдения этих правил.
2. Разграничение прав осуществляется на основании "Модели угроз безопасности персональных данных при их обработке в ИСПДн Минобрнауки Новосибирской области", а также исходя из характера и режима обработки персональных данных в ИСПДн Минобрнауки Новосибирской области.
3. Уровень прав доступа представлен в таблице 1.
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИСПДн, осуществляется в соответствии с их должностными обязанностями. Доступ к объектам доступа с учетом разделения полномочий (ролей) обеспечивается в соответствии с матрицей доступа (приложение к настоящему Положению).
Таблица 1
№ п/п
Группа
Уровень доступа к ПДн, ТС, прикладному ПО и СЗИ
Разрешенные действия
1
Администратор ИСПДн
Доступ на правах администратора к ПДн, ТС и прикладному ПО. Без доступа к СЗИ
1) модернизация, настройка и мониторинг работоспособности комплекса ТС (серверов, рабочих станций);
2) установка, модернизация, настройка и мониторинг работоспособности системного и базового ПО;
3) установка, настройка и мониторинг прикладного ПО;
4) соблюдение правил, оговоренных в инструкции администратора
2
Администратор ИБ ИСПДн
Доступ на правах администратора к СЗИ. Без доступа на изменение к ПДн, ТС и прикладному ПО
1) разработка, управление и реализация эффективной политики информационной безопасности системы;
2) управление (администрирование) системой защиты информации ИСПДн;
3) выявление инцидентов и реагирование на них;
управление конфигурацией ИСПДн и ее системы защиты;
4) контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в ИСПДн;
управление правами доступа пользователей к функциям системы;
5) проверка состояния используемых СЗИ от НСД, проверка правильности их настройки;
6) обеспечение функционирования и поддержание работоспособности СЗИ;
проведение инструктажа эксплуатационного персонала и пользователей СВТ по правилам работы с используемыми СЗИ;
7) контроль и предотвращение несанкционированного изменения целостности ресурсов;
8) контроль аппаратной конфигурации защищаемых компьютеров и предотвращение попытки ее несанкционированного изменения
3
Администратор ВИ
Доступ на правах администратора к прикладному ПО. Без доступа на изменение ПДн, ТС и СЗИ
1) установка, модернизация, настройка и мониторинг работоспособности ВИ;
2) доступ к операциям создания, запуска, останова, создания копий, удаления виртуальных машин;
3) доступ к конфигурации виртуальных машин
4
Администратор резервного копирования
Доступ на правах администратора к прикладному ПО. Без доступа на изменение ПДн, ТС и СЗИ
1) настройка и контроль работы процедуры резервного копирования;
2) изготовление резервных копий информации;
3) анализ объемов данных резервного копирования;
4) контроль состояния оборудования системы резервного копирования;
5) замена неработоспособных или выработавших свой ресурс носителей резервной информации или оборудования системы резервного копирования;
6) восстановление программ и данных из резервных копий в случае порчи или утери данных
5
Ответственный за эксплуатацию СКЗИ
Доступ на правах администратора к сертифицированным СКЗИ. Без доступа на изменение к ПДн, ТС, прикладному ПО, СЗИ
1) поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним;
2) контроль за соблюдением условий использования криптосредств, установленных эксплуатационной и технической документацией на СКЗИ и настоящей инструкцией;
3) учет пользователей криптосредств;
4) надежное хранение эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей дистрибутивов криптосредств, бумажных и машинных носителей ПДн;
5) расследования и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению требуемого уровня безопасности информации;
6) разработка и принятие мер по предотвращению возможных негативных последствий нарушений
6
Пользователь
Доступ на правах пользователя к ПДн, ТС, прикладному ПО и СЗИ. Без доступа на изменение ПО, СЗИ и ТС
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление записей, содержащих ПДн
4. Доступ в помещения, в которых расположены технические средства ИСПДн Минобрнауки Новосибирской области (далее - Помещения), осуществляется в соответствии с перечнем лиц, утверждаемым приказом Минобрнауки Новосибирской области.
II. Правила разграничения доступа
5. В ИСПДн Минобрнауки Новосибирской области реализуется:
1) управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей, возлагается на администратора ИБ, а также внутри виртуальных машин на администратора ВИ путем следующих функций:
а) определение типа учетной записи (внутреннего пользователя, внешнего пользователя; системная, приложения; гостевая (анонимная), временная и (или) иные типы записей);
б) объединение учетных записей в группы (при необходимости);
в) верификация пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя;
г) заведение, активация, блокирование и уничтожение учетных записей пользователей (при необходимости);
д) пересмотр и, при необходимости, корректировка учетных записей не реже одного раза в три месяца;
е) уничтожение временных учетных записей пользователей, предоставленных для однократного (ограниченного по времени) выполнения задач в информационной системе;
ж) предоставление пользователям прав доступа к объектам доступа ИСПДн, основываясь на задачах, решаемых пользователями в ИСПДн и взаимодействующими с ней ИСПДн.
Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).
Заведение временных учетных записей осуществляется на основании подписанного администратором ИБ и ответственным за обработку и защиту персональных данных соответствующего акта, содержащего цель, место, наименование и сроки;
2) дискреционный метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе идентификационной информации субъекта и для каждого объекта доступа - списка, содержащего набор субъектов доступа (групп субъектов) и ассоциированных с ними типов доступа. Типы доступа должны включать операции по чтению, записи, удалению, выполнению и иные операции, разрешенные к выполнению пользователем (группе пользователей).
Правила разграничения доступа реализуются на основе матрицы доступа и обеспечивают управление доступом пользователей (групп пользователей) и запускаемых от их имени процессов при входе в систему, доступе к ТС, устройствам (в том числе внешним), объектам файловой системы, запускаемым и исполняемым модулям, объектам СУБД, параметрам настройки СЗИ, в том числе внутри виртуальных машин, информации о конфигурации системы защиты информации и иной информации о функционировании системы защиты информации.
В ИСПДн Минобрнауки Новосибирской области правила разграничения доступа должны обеспечивать:
а) управление доступом субъектов при входе в ИСПДн;
б) управление доступом субъектов к ТС, устройствам, внешним устройствам;
в) управление доступом субъектов к объектам, создаваемым общесистемным (общим) ПО;
г) управление доступом субъектов внутри виртуальной инфраструктуры;
3) в ИСПДн Минобрнауки Новосибирской области осуществляется управление информационными потоками при передаче информации между устройствами, сегментами в рамках информационной системы, включающее:
а) фильтрацию информационных потоков в соответствии с установленными правилами управления потоками;
б) разрешение передачи информации в ИСПДн Минобрнауки Новосибирской области только по установленному маршруту;
в) изменение (перенаправление) маршрута передачи информации в случаях необходимости, по согласованию с администратором информационной безопасности;
4) права и привилегии, назначаемые пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование ИСПДн Минобрнауки Новосибирской области, являются минимально необходимыми для выполнения ими своих должностных обязанностей (функций);
5) ограничение неуспешных попыток входа в ИСПДн (доступа к ИСПДн), равных 5 (пяти), при этом обеспечивается блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в ИСПДн (доступа к ИСПДн) не менее чем на 5 (пять) минут;
6) блокирование сеанса доступа в ИСПДн Минобрнауки Новосибирской области, после 15 минут времени бездействия (неактивности) пользователя или по его запросу.
Блокирование сеанса доступа пользователя в ИСПДн обеспечивает временное приостановление работы пользователя со СВТ или с виртуальной машиной, с которых осуществляется доступ к ИСПДн Минобрнауки Новосибирской области (без выхода из ИСПДн).
Для заблокированного сеанса осуществляется блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса.
Блокирование сеанса доступа пользователя в ИСПДн сохраняется до прохождения им повторной идентификации и аутентификации;
7) запрет всех действий пользователей до прохождения процедур идентификации и аутентификации в ИСПДн (кроме необходимых для прохождения процедур идентификации и аутентификации).
Администратору ИБ разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования ИСПДн в случае сбоев в работе или выходе из строя отдельных ТС (устройств).
Применяемые термины и сокращения:
Аутентификационная информация (информация аутентификации)
-
информация, используемая для установления подлинности (верификации) субъекта доступа в информационной системе
Аутентификация
-
проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности субъекта доступа в информационной системе)
Идентификатор
-
представление (строка символов), однозначно идентифицирующее субъект и (или) объект доступа в информационной системе
Идентификация
-
присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен) и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов
Локальный доступ
-
доступ субъектов доступа к объектам доступа, осуществляемый непосредственно через подключение (доступ) к компоненту информационной системы или через локальную вычислительную сеть (без использования информационно-телекоммуникационной сети)
Многофакторная аутентификация
-
аутентификация с использованием двух (двухфакторная) или более различных факторов аутентификации
Непривилегированная учетная запись
-
учетная запись пользователя (процесса, выполняемого от его имени) информационной системы
Объект доступа
-
единица информационного ресурса информационной системы (файл, техническое средство, узел сети, линия (канал) связи, мобильное устройство, программа, том, каталог, запись, поле записей и иные объекты), доступ к которой регламентируется правилами разграничения доступа и по отношению к которой субъекты доступа выполняют операции
Пользователь
-
лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в информационной системе или использующее результаты ее функционирования
Привилегированная учетная запись
-
учетная запись администратора информационной системы
Роль
-
предопределенная совокупность правил, устанавливающих допустимое взаимодействие между пользователем и информационной системой
Субъект доступа
-
пользователь, процесс, выполняющие операции (действия) над объектами доступа и действия которых регламентируются правилами разграничения доступа
Удаленный доступ
-
процесс получения доступа (через внешнюю сеть) к объектам доступа информационной системы из другой информационной системы (сети) или со средства вычислительной техники, не являющегося постоянно (непосредственно) соединенным физически или логически с информационной системой, к которой он получает доступ
Управление доступом
-
ограничение и контроль доступа субъектов доступа к объектам доступа в информационной системе в соответствии с установленными правилами разграничения доступа
ВИ
-
виртуальная инфраструктура
ИБ
-
информационная безопасность
ИСПДн
-
информационная система персональных данных
НСД
-
несанкционированный доступ
ПО
-
программное обеспечение
СВТ
-
средство вычислительной техники
СЗИ
-
средство защиты информации
СКЗИ
-
средство криптографической защиты информации
СУБД
-
система управления базой данных
ТС
-
техническое средство
Приложение
к Положению
об управлении доступом субъектов
доступа к объектам доступа в
информационной системе персональных
данных министерства образования,
науки и инновационной политики
Новосибирской области
Матрица
доступа субъектов доступа по отношению к защищаемым
информационным ресурсам в информационных системах
министерства образования, науки и инновационной
политики Новосибирской области
Матрица доступа субъектов доступа по отношению к защищаемым информационным ресурсам в информационных системах министерства образования, науки и инновационной политики Новосибирской области (далее - матрица доступа) устанавливает полномочия субъектов доступа по доступу к защищаемым информационным ресурсам в информационных системах министерства образования, науки и инновационной политики Новосибирской области (далее - ИС Минобрнауки Новосибирской области), приведенных в таблице 1.
В соответствии с таблицей 2 (не приводится) осуществляется предоставление пользователям прав доступа к объектам доступа информационной системы, основываясь на задачах, решаемых пользователями в ИС Минобрнауки Новосибирской области и взаимодействующими с ними информационными системами.
В ИС Минобрнауки Новосибирской области работает 37 человек, допущенных только к определенным информационным ресурсам ИС Минобрнауки Новосибирской области в соответствии с таблицей 1.
Таблица 1
№ п/п
Информационные системы
1
ИС "Персональные данные грантополучателей, стипендиатов и лауреатов премий Правительства Новосибирской области, Губернатора Новосибирской области, обучающихся, награжденных премией Губернатора Новосибирской области"
2
ИС "Персональные данные претендентов на заключение договоров о целевом обучении, в том числе на условиях целевого приема в образовательных организациях высшего образования, расположенных на территории Новосибирской области, за счет средств областного бюджета"
3
ИС "Учет иностранных студентов"
4
ИС "Персональные данные заявителей из числа физических лиц (индивидуальных предпринимателей) на включение сведений об инновационной продукции в Реестр инновационной, в том числе нанотехнологической продукции, производимой в Новосибирской области"
5
ИС "Персональные данные детей, включенных в состав делегации Новосибирской области, направленных на общероссийскую новогоднюю елку, и ответственных лиц за их безопасность"
6
ИС "Персональные данные государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы"
7
ИС "Персональные данные кандидатов на замещение вакантных должностей. Кадровый резерв министерства образования, науки и инновационной политики Новосибирской области"
9
ИС "Выплата единовременного денежного пособия в трехкратном размере средней месячной заработной платы педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций, имеющим стаж педагогической деятельности не менее 25 лет, достигшим возраста 60 лет для мужчин и 55 лет для женщин, при увольнении в связи с выходом на трудовую пенсию по старости"
10
ИС "Аттестация в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность, руководителей государственных образовательных организаций Новосибирской области, подведомственных министерству образования, науки и инновационной политики Новосибирской области"
11
ИС "Конкурс на получение денежного поощрения лучшими учителями"
12
ИС "Премия Правительства Новосибирской области "Лучший педагогический работник Новосибирской области"
13
ИС "Почетный работник образования Новосибирской области"
14
ИС "Бухгалтерия"
15
ИС "Персональные данные руководителей образовательных организаций для прохождения процедуры аккредитации образовательных организаций. Архив"
16
ИС "Персональные данные учредителей негосударственных и частных образовательных организаций для проведения процедуры лицензирования образовательных организаций. Архив"
17
ИС "Персональные данные экспертов, привлекаемых к проведению мероприятий по контролю в области образования"
18
ИС "Обращения граждан"
19
ИС "Победители и призеры приоритетного национального проекта "Образование" по поддержке талантливой молодежи"
20
ИС "Персональные данные обладателей документов и заявителей для предоставления государственной услуги по подтверждению документов об образовании, об ученой степени и ученых званиях"
21
ИС "Персональные данные экспертов, привлекаемых к аккредитационной экспертизе"
22
ИС "Персональные данные экспертов и членов главной аттестационной комиссии министерства по аттестации в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность"
23
ИС "Персональные данные членов совета руководителей общеобразовательных организаций по вопросам общего образования при министерстве образования, науки и инновационной политики"
24
ИС "Персональные данные членов Ассоциации молодых педагогов Новосибирской области"
Таблица 3 (таблица принятых в матрице доступа сокращений)
№ п/п
Сокращение
Полное название
Значение
1
ПД
Полный доступ
Возможность чтения, изменения, записи и удаления файлов
2
Ч/З
Чтение/запись
Возможность чтения, изменения и записи файлов
3
Ч
Только чтение
Возможность только чтения
4
НД
Нет доступа
Невозможность проведения операций с файлами
Для администраторов и пользователей ИС Минобрнауки Новосибирской области установлены следующие разрешения:
Таблица 4
Элемент разрешения
Объект
Применять:
для логических дисков, папок и их подпапок
Разрешения
Разрешить
Запретить
Имя: администратор
Обзор папок/выполнение файлов
Содержание папки/чтение данных
Чтение атрибутов
Чтение дополнительных атрибутов
Создание файлов/запись данных
Создание папок/запись данных
Запись атрибутов
Запись дополнительных атрибутов
Удаление подпапок и файлов
Удаление
Чтение разрешений
Смена разрешений
Смена владельца
Применять эти разрешения к объектам и контейнерам только внутри этого контейнера
Имя: пользователь
Обзор папок/выполнение файлов
Содержание папки/чтение данных
Чтение атрибутов
Чтение дополнительных атрибутов
Создание файлов/запись данных
Создание папок/запись данных
Запись атрибутов
Запись дополнительных атрибутов
Удаление подпапок и файлов
Удаление
Чтение разрешений
Смена разрешений
Смена владельца
Применять эти разрешения к объектам и контейнерам только внутри этого контейнера
Для администраторов и пользователей ИС Минобрнауки Новосибирской области установлены следующие разрешения по доступу к принтеру:
Таблица 5
Разрешения для администратора ИС
Разрешить
Запретить
Печать
Управление принтерами
Управление документами
Особые разрешения
Разрешения для пользователей ИС
Разрешить
Запретить
Печать (П)
Управление принтерами (УП)
Управление документами (УД)
Особые разрешения (ОР)
Утверждены
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ПРАВИЛА
ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ СУБЪЕКТОВ ДОСТУПА И ОБЪЕКТОВ ДОСТУПА В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящие Правила регламентируют порядок и процедуры присвоения субъектам и объектам доступа уникального признака (идентификатора), сравнения предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверки принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности), а также организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационной системе персональных данных (далее - ИСПДн) министерства образования, науки и инновационной политики Новосибирской области (далее - Минобрнауки Новосибирской области) и контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
II. Идентификация и аутентификация пользователей,
являющихся внутренними пользователями
2. При доступе в информационную систему персональных данных (далее - ИСПДн) осуществляется идентификация и аутентификация пользователей, являющихся сотрудниками Минобрнауки Новосибирской области (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей. К внутренним пользователям относятся следующие должностные лица Минобрнауки Новосибирской области:
1) администратор ИСПДн;
2) администратор информационной безопасности (далее - ИБ) ИСПДн;
3) администратор резервного копирования;
4) ответственные сотрудники, выполняющие при эксплуатации ИСПДн свои должностные обязанности (функции) в соответствии с должностными регламентами (инструкциями), утвержденными в министерстве, и которым в ИСПДн присвоены учетные записи.
В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования ИСПДн (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами. Для каждого внутреннего пользователя в ИСПДн должны быть заведены учетные записи.
3. Пользователи ИСПДн однозначно идентифицируются и аутентифицируются для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с Положением об управлении доступом субъектов доступа к объектам доступа в ИСПДн Минобрнауки Новосибирской области.
4. Аутентификация пользователя в ИСПДн осуществляется с использованием паролей. Также на усмотрение администратора ИБ ИСПДн могут применяться аппаратные средства в случае многофакторной (двухфакторной) аутентификации.
5. В ИСПДн обеспечивается возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами.
III. Управление идентификаторами, в том числе создание,
присвоение, уничтожение идентификаторов
6. В ИСПДн устанавливаются и реализуются следующие функции управления идентификаторами пользователей и устройств:
1) формирование идентификатора, который однозначно идентифицирует пользователя и (или) устройство;
2) присвоение идентификатора пользователю и (или) устройству;
3) предотвращение повторного использования идентификатора пользователя и (или) устройства в течение одного года;
4) блокирование идентификатора пользователя после 90 дней неиспользования;
5) в качестве ответственного за создание, присвоение и уничтожение идентификаторов пользователей и устройств определен администратор ИБ ИСПДн.
IV. Управление средствами аутентификации и принятие мер
в случае утраты и (или) компрометации средств аутентификации
7. В ИСПДн устанавливаются и реализуются следующие функции управления средствами аутентификации (аутентификационной информацией) пользователей:
1) изменение аутентификационной информации (средств аутентификации), заданных их производителями и (или) используемых при внедрении системы защиты ИСПДн;
2) выдача средств аутентификации пользователям;
3) генерация и выдача начальной аутентификационной информации (начальных значений средств аутентификации);
4) установление характеристик пароля: длина пароля не менее шести символов, алфавит пароля не менее 6 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки - 5 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 минут, смена паролей не более чем через 120 дней;
5) блокирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации;
6) назначение необходимых характеристик средств аутентификации (в том числе механизма пароля);
7) обновление аутентификационной информации (замена средств аутентификации) с периодичностью не более чем через 120 дней;
8) защита аутентификационной информации от неправомерных доступа к ней и модифицирования.
8. В случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры в зависимости от полномочий владельца скомпрометированного пароля:
1) внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу внутри организации и т.п.) должна производиться администратором ИБ ИСПДн немедленно после окончания последнего сеанса работы данного пользователя с системой;
2) внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри организации и другие обстоятельства) администратора ИБ ИСПДн и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой ИСПДн.
9. В качестве ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации устройств определен администратор ИБ ИСПДн.
V. Защита обратной связи при вводе
аутентификационной информации
10. В ИСПДн осуществляется защита аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий.
11. Защита обратной связи "система - субъект доступа" в процессе аутентификации обеспечивается исключением отображения для пользователя действительного значения аутентификационной информации и (или) количества вводимых пользователем символов аутентификационной информации. Вводимые символы пароля могут отображаться условными знаками "*", "°" или иными знаками.
VI. Ответственность при организации
идентификации и аутентификации
12. Ответственность за реализацию правил идентификации и аутентификации субъектов доступа и объектов доступа в соответствии с требованиями настоящих Правил возлагается на администратора ИБ ИСПДн.
13. Ответственность за поддержание установленного порядка и соблюдение требований настоящих Правил возлагается на администратора ИБ ИСПДн и пользователей ИСПДн.
14. Периодический контроль за выполнением всех требований настоящих Правил осуществляется комиссией по проведению мероприятий по защите персональных данных.
Утверждены
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ПРАВИЛА
РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИИ ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящие Правила регламентируют состав и содержание информации о событиях безопасности, подлежащих регистрации, правила и процедуры сбора, записи, хранения и защиты информации о событиях безопасности в информационной системе персональных данных (далее - ИСПДн) министерства образования, науки и инновационной политики Новосибирской области (далее - Минобрнауки Новосибирской области).
II. Определение событий безопасности, подлежащих
регистрации, и сроков их хранения
2. В ИСПДн подлежат регистрации в текущий момент времени следующие события безопасности:
№ п/п
События безопасности, подлежащие регистрации
Состав и содержание информации о событиях безопасности
1
Вход (выход), а также попытки входа субъектов доступа в информационную систему и загрузки (останова) операционной системы
Дата и время входа (выхода) в систему (из системы) или загрузки (останова) операционной системы, результат попытки входа (успешная или неуспешная), результат попытки загрузки (останова) операционной системы (успешная или неуспешная), идентификатор, предъявленный при попытке доступа
2
Подключение машинных носителей информации и вывод информации на носители информации
Дата и время подключения машинных носителей информации и вывода информации на носители информации, логическое имя (номер) подключаемого машинного носителя информации, идентификатор субъекта доступа, осуществляющего вывод информации на носитель информации
3
Запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации
Дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа (устройства), запросившего программу (процесс, задание), результат запуска (успешный, неуспешный)
4
Попытки доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей)
Дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификация защищаемого файла (логическое имя, тип)
5
Попытки удаленного доступа
Дата и время попытки удаленного доступа с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), используемый протокол доступа, используемый интерфейс доступа и (или) иная информация о попытках удаленного доступа к информационной системе
6
Доступ субъектов доступа к компонентам виртуальной инфраструктуры
Дата и время доступа субъектов доступа к гипервизору и виртуальной машине, к хостовой операционной системе, результат попытки доступа субъектов доступа к указанным компонентам виртуальной инфраструктуры (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке доступа субъектов доступа к компонентам виртуальной инфраструктуры
7
Изменения в составе и конфигурации компонентов виртуальной инфраструктуры во время их запуска, функционирования и аппаратного отключения
Дата и время изменения в составе и конфигурации виртуальных машин, виртуального аппаратного обеспечения, виртуализированного программного обеспечения, виртуального аппаратного обеспечения в гипервизоре и в виртуальных машинах, в хостовой операционной системе, виртуальном сетевом оборудовании, результат попытки изменения в составе и конфигурации указанных компонентов виртуальной инфраструктуры (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке изменения в составе и конфигурации компонентов виртуальной инфраструктуры
8
Изменения правил разграничения доступа к компонентам виртуальной инфраструктуры
Дата и время изменения правил разграничения доступа к виртуальному и физическому аппаратному обеспечению, к файлам-образам виртуализированного программного обеспечения и виртуальных машин, к файлам-образам, используемым для обеспечения работы виртуальных файловых систем, к виртуальному сетевому оборудованию, к защищаемой информации, хранимой и обрабатываемой в гипервизоре и виртуальных машинах, в хостовой операционной системе, результат попытки изменения правил разграничения доступа к указанным компонентам виртуальной инфраструктуры (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке изменения правил разграничения доступа к компонентам виртуальной инфраструктуры
3. Сроки хранения соответствующих записей регистрационных журналов должны обеспечивать возможность обнаружения, идентификации и анализа инцидентов, возникших в ИСПДн, в течение 3-х месяцев.
III. Определение состава и содержания информации
о событиях безопасности, подлежащих регистрации
4. Состав и содержание информации о событиях безопасности, включаемой в записи регистрации о событиях безопасности, должны, как минимум, обеспечить возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно), субъект доступа (пользователь и (или) процесс), связанный с данным событием безопасности.
5. Состав и содержание информации о событиях безопасности, включаемой в записи регистрации о событиях безопасности, приведены в пункте 2 настоящих Правил.
IV. Сбор, запись и хранение информации о событиях
безопасности в течение установленного времени хранения
6. Процедуры сбора, записи и хранения информации о событиях безопасности в течение установленного времени хранения предусматривают:
1) возможность выбора администратором информационной безопасности событий безопасности, подлежащих регистрации в текущий момент времени, из перечня событий безопасности, определенных в пункте 2 настоящих Правил;
2) генерацию (сбор, запись) записей регистрации (аудита) для событий безопасности, подлежащих регистрации (аудиту) в соответствии с пунктом 2 настоящих Правил, с составом и содержанием информации, установленными для соответствующего типа события;
3) хранение информации о событиях безопасности в течение времени, установленного в соответствии с пунктом 3 настоящих Правил.
7. Объем памяти для хранения информации о событиях безопасности рассчитывается и выделяется администратором информационной безопасности ИСПДн Фонда с учетом типов событий безопасности, подлежащих регистрации в соответствии с пунктом 2 настоящих Правил, состава и содержания информации о событиях безопасности, подлежащих регистрации, прогнозируемой частоты возникновения подлежащих регистрации событий безопасности, срока хранения информации о зарегистрированных событиях безопасности.
V. Мониторинг (просмотр, анализ) результатов регистрации
событий безопасности и реагирование на них
8. Мониторинг (просмотр и анализ) записей регистрации (аудита) должен проводиться администратором информационной безопасности не реже двух раз в месяц для всех событий, подлежащих регистрации, и обеспечивать своевременное выявление признаков инцидентов безопасности в ИСПДн.
9. В случае выявления признаков инцидентов безопасности в ИСПДн администратор информационной безопасности осуществляет планирование и проведение мероприятий по реагированию на выявленные инциденты безопасности.
VI. Защита информации о событиях безопасности
10. Защита информации о событиях безопасности (записях регистрации (аудита)) в ИСПДн должна обеспечиваться применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования, определенных в проектной и организационно-распорядительной документации по защите информации и в том числе включает защиту средств ведения регистрации (аудита) и настроек механизмов регистрации событий.
11. Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставляется только администратору информационной безопасности и администратору виртуальной инфраструктуры.
Утвержден
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ПЕРЕЧЕНЬ
СОБЫТИЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
№ п/п
Событие безопасности
Состав и содержание регистрационных записей
1
Вход (выход) субъектов доступа в ИСПДн
Дата и время входа (выхода) в систему (из системы), результат попытки входа (успешная или неуспешная), идентификатор, предъявленный при попытке доступа
2
Загрузка (останов) операционной системы
Дата и время загрузки (останова) операционной системы, результат попытки загрузки (останова) операционной системы (успешная или неуспешная), идентификатор, предъявленный при попытке доступа
4
Запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой персональных данных
Дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа (устройства), запросившего программу (процесс, задание), результат запуска (успешный, неуспешный)
5
Попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам
Дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификация защищаемого файла (логическое имя, тип)
6
Попытки доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, записям, полям записей)
Дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификация защищаемого объекта доступа (логическое имя (номер)
7
Попытки удаленного доступа к ИСПДн
Дата и время попытки удаленного доступа с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), используемый протокол доступа, используемый интерфейс доступа и (или) иная информация о попытках удаленного доступа к информационной системе
8
Изменение привилегий учетных записей
Дата и время события с указанием его результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), идентификатор изменяемой учетной записи и (или) иная информация, характеризующая событие
Утверждена
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
Форма
ЗАЯВЛЕНИЕ
на выдачу (перевыпуск) ключевых документов
___________________________________________________________________________
(полное наименование организации, включая организационно-правовую форму)
в лице
___________________________________________________________________________
(должность, фамилия, имя, отчество)
действующего на основании
___________________________________________________________________________
Просит выдать (перевыпустить) ключевой документ в соответствии с
указанными в настоящем заявлении данными:
Сведения об организации
Наименование организации
Должность руководителя организации
Фамилия, имя, отчество руководителя организации
Адрес организации (для переписки)
Контактные телефоны организации
Подпись/Ф.И.О.
Сведения об абонентском пункте/лицензии
Наименование абонентского пункта
Идентификатор абонентского пункта
Место расположения абонентского пункта
Номер лицензии
Сведения о пользователе
Фамилия, имя и отчество пользователя
Должность пользователя
Контактный телефон (рабочий)
Контактный телефон (мобильный)
Адрес электронной почты (рабочий)
Подпись/Ф.И.О.
Сведения об ответственном за обработку и защиту персональных данных
Фамилия, имя и отчество
Наименование структурного подразделения/должность
Контактный телефон (рабочий)
Контактный телефон (мобильный)
Адрес электронной почты (рабочий)
Подпись/Ф.И.О.
Утверждена
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
Форма
АКТ № ______ от "___" _________ 20__ г.
об уничтожении криптографических ключей, содержащихся
на ключевых носителях, и ключевых документов
Комиссия сотрудников _______________________________________ в составе:
(название организации)
___________________________________________________________________________
___________________________________________________________________________
произвела уничтожение криптографических ключей, содержащихся на ключевых
носителях, и ключевых документов:
№
Учетный номер ключевого носителя (документа)
Номер (идентификатор) криптографического ключа, наименование документа
Владелец ключа (документа)
Количество ключевых носителей (документов)
Номера экземпляров
Всего уничтожается ключей (документов)
Всего уничтожено _______ криптографических ключей на _______ ключевых носителях.
Уничтожение криптографических ключей выполнено путем их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на соответствующие СКЗИ.
Записи Акта сверены с записями в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
Факт списания с учета ключевых носителей в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подтверждаю:
Ответственный за эксплуатацию средств криптографической защиты информации
_________________/__________________
Члены комиссии:
_________________/__________________
_________________/__________________
Утверждено
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ОПИСАНИЕ
ТЕХНОЛОГИЧЕСКОГО ПРОЦЕССА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие сведения
1. Описание ИСПДн.
Основания и цели создания информационной системы персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - ИСПДн Минобрнауки Новосибирской области) указаны в таблице 1. В состав ИСПДн входит 23 системы.
ИСПДн в виде ЛВС является составной частью общей ЛВС Минобрнауки Новосибирской области, подключенной к сетям общего пользования (далее - сеть интернет), и представляет собой совокупность информации, содержащейся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку информации с использованием средств автоматизации.
Название ИС
Цель обработки
Основание обработки
ИС "Персональные данные грантополучателей, стипендиатов и лауреатов премий Правительства Новосибирской области, Губернатора Новосибирской области, обучающихся, награжденных премией Губернатора Новосибирской области"
исполнение полномочий
Постановление Правительства Новосибирской области от 30.12.2014 № 564-п "О стипендиях Правительства Новосибирской области талантливым студентам образовательных организаций высшего образования, расположенных на территории Новосибирской области".
Постановление главы администрации Новосибирской области от 05.11.2002 № 791 "Об учреждении стипендий имени Г.П. Лыщинского".
Постановление главы администрации Новосибирской области от 18.02.2004 № 82 "Об учреждении стипендий Правительства Новосибирской области имени А.Н. Косыгина".
Постановление Губернатора Новосибирской области от 12.04.2005 № 196 "Об учреждении именных стипендий Правительства Новосибирской области имени А.Д. Крячкова".
Постановление Губернатора Новосибирской области от 29.08.2005 № 456 "Об учреждении стипендий Губернатора Новосибирской области имени Ф.С. Горячева".
Постановление Губернатора Новосибирской области от 01.09.2005 № 460 "Об учреждении именных стипендий имени Г.Д. Залесского".
Постановление Губернатора Новосибирской области от 25.12.2006 № 507 "Об учреждении стипендий Губернатора Новосибирской области имени Ю.В. Шарова".
Постановление Губернатора Новосибирской области от 29.12.2007 № 535 Об учреждении стипендии Губернатора Новосибирской области имени героев, погибших при исполнении воинского долга в Афганистане и других локальных конфликтах".
Постановление Губернатора Новосибирской области от 04.08.2008 № 304 "Об учреждении стипендии Губернатора Новосибирской области студентам из числа победителей (призеров) заключительного этапа Всероссийской олимпиады школьников по общеобразовательным программам среднего (полного) общего образования, поступивших в высшие учебные заведения Новосибирской области".
Постановление Губернатора Новосибирской области от 29.12.2008 № 544 "Об учреждении стипендии Губернатора Новосибирской области имени К.Л. Проворова".
Постановление Губернатора Новосибирской области от 28.09.2009 № 407 "Об учреждении стипендий Губернатора Новосибирской области имени М.А. Лаврентьева, имени И.Н. Векуа, имени С.А. Христиановича, имени В.А. Коптюга, имени С.Л. Соболева, имени А.А. Ляпунова".
Постановление Губернатора Новосибирской области от 18.08.2010 № 242 "Об учреждении стипендий Губернатора Новосибирской области имени И.И. Гудилина".
Постановление Губернатора Новосибирской области от 20.06.2011 № 152 "Об учреждении стипендий Губернатора Новосибирской области имени А.М. Шапошникова и имени Л.В. Канторовича".
Постановление Губернатора Новосибирской области от 31.07.2012 № 128 "Об учреждении стипендии Губернатора Новосибирской области имени А.И. Покрышкина".
Постановление Губернатора Новосибирской области от 17.12.2012 № 225 "Об учреждении стипендий Губернатора Новосибирской области имени Р.И. Шнипера и имени Ф.Г. Старцева".
Постановление Губернатора Новосибирской области от 17.11.2008 № 467 "Об учреждении премии Губернатора Новосибирской области для поддержки одаренных детей и молодежи".
Постановление Правительства Новосибирской области от 15.11.2010 № 212-п "Об именных премиях Правительства Новосибирской области, именных стипендиях Правительства Новосибирской области, о грантах Правительства Новосибирской области"
ИС "Персональные данные претендентов на заключение договоров о целевом обучении, в том числе на условиях целевого приема в образовательных организациях высшего образования, расположенных на территории Новосибирской области, за счет средств областного бюджета"
исполнение полномочий
Федеральный закон от 29.12.2012 № 273-ФЗ "Об образовании в Российской Федерации".
Постановление Правительства Российской Федерации от 27.11.2013 № 1076 "О порядке заключения и расторжения договора о целевом приеме и договора о целевом обучении" (вместе с "Правилами заключения и расторжения договора о целевом приеме и договора о целевом обучении").
Распоряжение Правительства Новосибирской области от 05.06.2014 № 179-рп "О взаимодействии областных исполнительных органов государственной власти Новосибирской области при организации целевого обучения граждан в организациях, осуществляющих образовательную деятельность по образовательным программам высшего образования на территории Новосибирской области".
Приказ министерства образования, науки и инновационной политики Новосибирской области от 05.05.2015 № 1282 "Об организации целевого обучения граждан, в том числе на условиях целевого приема, по образовательным программам высшего образования для обеспечения высококвалифицированными педагогическими кадрами государственных образовательных организаций Новосибирской области, подведомственных министерству образования, науки и инновационной политики Новосибирской области, и муниципальных образовательных организаций, расположенных на территории Новосибирской области"
ИС "Учет иностранных студентов"
исполнение полномочий
Федеральный закон от 25.07.2002 № 115-ФЗ "О правовом положении иностранных граждан в Российской Федерации"
ИС "Персональные данные заявителей из числа физических лиц (индивидуальных предпринимателей) на включение сведений об инновационной продукции в Реестр инновационной, в том числе нанотехнологической продукции, производимой в Новосибирской области"
исполнение полномочий
Закон Новосибирской области от 15.12.2007 № 178-ОЗ "О политике Новосибирской области в сфере развития инновационной системы".
Приказ Минобрнауки Новосибирской области от 29.05.2015 № 1577 "Об экспертной комиссии по отнесению продукции к инновационной".
Постановление Правительства Новосибирской области от 11.10.2016 № 335-п "О Порядке формирования и ведения реестра инновационной, в том числе нанотехнологической, продукции, производимой в Новосибирской области", государственная информационная система Новосибирской области "Реестр инновационной, в том числе нанотехнологической, продукции, производимой в Новосибирской области"
ИС "Персональные данные детей, включенных в состав делегации Новосибирской области, направленных на общероссийскую новогоднюю елку, и ответственных лиц за их безопасность"
исполнение полномочий
Письмо полномочного представителя Президента Российской Федерации в Сибирском федеральном округе (ежегодно)
ИС "Персональные данные государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы"
исполнение полномочий
Указ Президента Российской Федерации от 30.05.2005 № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела".
Закон Новосибирской области от 01.02.2005 № 265-ОЗ "О государственной гражданской службе Новосибирской области";
Закон Новосибирской области от 06.04.2005 № 287-ОЗ "О Реестре должностей государственной гражданской службы Новосибирской области".
Постановление Правительства Российской Федерации от 16.04.2003 № 225 "О трудовых книжках".
Постановление Минтруда Российской Федерации от 10.10.2003 № 69 "Об утверждении инструкции по заполнению трудовых книжек".
Распоряжение Правительства Российской Федерации от 26.05.2005 № 667-р "Об утверждении формы анкеты, представляемой гражданином Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации".
Постановление Губернатора Новосибирской области от 20.04.2005 № 248 "О форме служебного контракта о прохождении государственной гражданской службы Новосибирской области и замещении должности государственной гражданской службы Новосибирской области"
ИС "Персональные данные кандидатов на замещение вакантных должностей. Кадровый резерв министерства образования, науки и инновационной политики Новосибирской области"
исполнение полномочий
Указ Президента Российской Федерации от 01.02.2005 № 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации".
Постановление Губернатора Новосибирской области от 17.03.2014 № 40 "Об утверждении Положения о кадровом резерве на государственной гражданской службе Новосибирской области"
ИС "Выплата единовременного денежного пособия в трехкратном размере средней месячной заработной платы педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций, имеющим стаж педагогической деятельности не менее 25 лет, достигшим возраста 60 лет для мужчин и 55 лет для женщин, при увольнении в связи с выходом на пенсию по старости"
исполнение полномочий
Закон Новосибирской области от 05.07.2013 № 361-ОЗ "О регулировании отношений в сфере образования в Новосибирской области".
Постановление Правительства Новосибирской области от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области".
Постановление Правительства Новосибирской области от 14.04.2014 № 141-п "О Порядке выплаты единовременного денежного пособия педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций при увольнении в связи с выходом на трудовую пенсию по старости".
Приказ министерства образования, науки и инновационной политики Новосибирской области от 20.07.2011 № 1329 "О выплате единовременного денежного пособия педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций при увольнении в связи с выходом на трудовую пенсию по старости".
Приказ министерства образования, науки и инновационной политики Новосибирской области от 01.07.2013 № 1711 "Об утверждении Административного регламента министерства образования, науки и инновационной политики Новосибирской области по предоставлению государственной услуги "Выплата единовременного денежного пособия в трехкратном размере средней месячной заработной платы педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций, имеющим стаж педагогической деятельности не менее 25 лет, достигшим возраста 60 лет для мужчин и 55 лет для женщин, при увольнении в связи с выходом на трудовую пенсию по старости"
ИС "Аттестация в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность, руководителей государственных образовательных организаций Новосибирской области, подведомственных министерству образования, науки и инновационной политики Новосибирской области"
исполнение полномочий
Трудовой кодекс Российской Федерации; Федеральный закон от 29.12.2012 № 273-ФЗ "Об образовании в Российской Федерации".
Постановление Правительства Российской Федерации от 08.08.2013 № 678 "Об утверждении номенклатуры должностей педагогических работников организаций, осуществляющих образовательную деятельность, должностей руководителей образовательных организаций".
Приказ Минздравсоцразвития Российской Федерации от 26.08.2010 № 761н "Об утверждении Единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел "Квалификационные характеристики должностей работников образования".
Приказ Министерства образования и науки Российской Федерации от 07.04.2014 № 276 "Об утверждении Порядка проведения аттестации педагогических работников организаций, осуществляющих образовательную деятельность".
Постановление Правительства Новосибирской области от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области".
Приказ министерства образования, науки инновационной политики Новосибирской области от 31.12.2010 № 2253 "Об утверждении Административного регламента министерства образования, науки и инновационной политики Новосибирской области по предоставлению государственной услуги "Аттестация в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность".
Приказ министерства образования, науки инновационной политики Новосибирской области от 25.08.2015 № 9-АК "Об утверждении состава главной аттестационной комиссии министерства образования, науки и инновационной политики Новосибирской области для проведения аттестации в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность на территории Новосибирской области".
Приказ министерства образования, науки, инновационной политики Новосибирской области от 17.01.2012 № 27-АК "Об утверждении Положения о порядке аттестации руководителей государственных образовательных организаций Новосибирской области и иных государственных организаций Новосибирской области, осуществляющих обеспечение образовательной деятельности, находящихся в ведении министерства образования, науки и инновационной политики Новосибирской области".
Приказ министерства образования, науки, инновационной политики Новосибирской области от 02.10.2013 № 50-АК "Об аттестации руководителей государственных образовательных организаций Новосибирской области и иных государственных организаций Новосибирской области, осуществляющих обеспечение образовательной деятельности, находящихся в ведении министерства образования, науки и инновационной политики Новосибирской области"
ИС "Конкурс на получение денежного поощрения лучшими учителями"
исполнение полномочий
Указ Президента Российской Федерации от 28.01.2010 № 117 "О денежном поощрении лучших учителей".
Постановление Правительства Российской Федерации от 15.04.2014 № 295 "Об утверждении государственной программы Российской Федерации "Развитие образования на 2013 - 2020 годы".
Приказ министерства образования, науки и инновационной политики Новосибирской области "Об итогах конкурса на получение денежного поощрения лучшими учителями" (ежегодно).
Приказ министерства образования и науки Российской Федерации от 06.04.2015 № 362 "Об утверждении Правил проведения конкурса на получение денежного поощрения лучшими учителями"
ИС "Премия Правительства Новосибирской области "Лучший педагогический работник Новосибирской области"
исполнение полномочий
Постановление Правительства Новосибирской области "Об учреждении премии "Лучший педагогический работник Новосибирской области" от 14.04.2014 № 140-п.
Распоряжение Правительства Новосибирской области "О награждении премией "Лучший педагогический работник Новосибирской области" (ежегодно)
ИС "Почетный работник образования Новосибирской области"
исполнение полномочий
Постановление Правительства Новосибирской области от 12.09.2011 № 399-п "Об учреждении премии "Почетный работник образования Новосибирской области".
Распоряжение Правительства Новосибирской области "О награждении премией "Почетный работник образования Новосибирской области" (ежегодно)
ИС "Бухгалтерия"
исполнение полномочий
Постановление Губернатора Новосибирской области от 26.05.2010 № 162 "О министерстве образования, науки и инновационной политики Новосибирской области".
Постановление Правительства Новосибирской области от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области"
ИС "Персональные данные руководителей образовательных организаций для прохождения процедуры аккредитации образовательных организаций. Архив"
исполнение полномочий
Приказ Министерства образования и науки Российской Федерации от 07.04.2014 № 275 "Об утверждении Порядка приобретения, учета, хранения и заполнения бланков свидетельства о государственной аккредитации, временного свидетельства о государственной аккредитации и приложений к ним"
ИС "Персональные данные учредителей негосударственных и частных образовательных организаций для проведения процедуры лицензирования образовательных организаций. Архив"
исполнение полномочий
Федеральный закон от 04.05.2011 № 99-ФЗ "О лицензировании отдельных видов деятельности".
Постановление Правительства Российской Федерации от 28.10.2013 № 966 "О лицензировании образовательной деятельности"
ИС "Персональные данные экспертов, привлекаемых к проведению мероприятий по контролю в области образования"
исполнение полномочий
Постановление Правительства Российской Федерации от 10.07.2014 № 636 "Об аттестации экспертов, привлекаемых органами, уполномоченными на осуществление государственного контроля (надзора), органами муниципального контроля, к проведению мероприятий по контролю"
ИС "Обращения граждан"
исполнение полномочий
Федеральный закон от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".
Постановление Губернатора Новосибирской области от 20.10.2011 № 275 "Об утверждении Инструкции о порядке организации работы с обращениями граждан"
ИС "Победители и призеры приоритетного национального проекта "Образование" по поддержке талантливой молодежи"
исполнение полномочий
Указ Президента Российской Федерации от 06.04.2006 № 325 "О мерах государственной поддержки талантливой молодежи".
Постановление Правительства Российской Федерации от 27.05.2006 № 311 "О премиях для поддержки талантливой молодежи".
Постановление Губернатора Новосибирской области от 04.08.2008 № 304 "Об учреждении стипендии Губернатора Новосибирской области студентам из числа победителей (призеров) заключительного этапа Всероссийской олимпиады школьников по общеобразовательным программам среднего (полного) общего образования, поступивших в высшие учебные заведения Новосибирской области".
Приказ Министерства образования и науки Российской Федерации от 28.02.2008 № 74 "Об утверждении правил присуждения премий для поддержки талантливой молодежи и порядка выплаты указанных премий"
ИС "Персональные данные обладателей документов и заявителей для предоставления государственной услуги по подтверждению документов об образовании, об ученой степени и ученых званиях"
исполнение полномочий
Постановление Правительства Российской Федерации от 20.07.2013 № 611 "Об утверждении правил подтверждения документов об образовании и (или) о квалификации".
Постановление Правительства Российской Федерации от 27.02.2014 № 152 "Об утверждении правил подтверждения документов об ученых степенях, ученых званиях"
ИС "Персональные данные экспертов, привлекаемых к аккредитационной экспертизе"
исполнение полномочий
Приказ Министерства образования и науки Российской Федерации от 20.05.2014 № 556 "Об утверждении квалификационных требований к экспертам, требований к экспертным организациям, порядка их аккредитации, в том числе порядка ведения реестра экспертов и экспертных организаций, порядка отбора экспертов и экспертных организаций для проведения аккредитационной экспертизы"
ИС "Персональные данные экспертов и членов главной аттестационной комиссии министерства по аттестации в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность"
исполнение полномочий
Приказ Минобрнауки России от 07.04.2014 № 276 "Об утверждении Порядка проведения аттестации педагогических работников организаций, осуществляющих образовательную деятельность".
Постановление Правительства НСО от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области".
Приказ Минобрнауки Новосибирской области от 31.12.2010 № 2253 "Об утверждении Административного регламента министерства образования, науки и инновационной политики Новосибирской области по предоставлению государственной услуги "Аттестация в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность".
Приказ министерства образования, науки и инновационной политики Новосибирской области от 25.08.2015 № 9-АК "Об утверждении состава главной аттестационной комиссии министерства образования, науки и инновационной политики Новосибирской области для проведения аттестации в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность на территории Новосибирской области"
ИС "Персональные данные членов совета руководителей общеобразовательных организаций по вопросам общего образования при министерстве образования, науки и инновационной политики"
исполнение полномочий
Постановление Правительства Новосибирской области от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области".
Приказ Минобрнауки Новосибирской области от 26.11.2014 № 2518 "О совете руководителей общеобразовательных организаций по вопросам общего образования"
ИС "Персональные данные членов Ассоциации молодых педагогов Новосибирской области"
исполнение полномочий
Постановление Правительства Новосибирской области от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области"
2. Состав информационной системы.
Основными элементами ИСПДн являются:
1) персональные данные, содержащиеся в базах данных;
2) технические средства ИСПДн, осуществляющие обработку ПДн (СВТ, компоненты ЛВС, средства и системы передачи, приема и обработки ПДн);
3) программные средства (ОС, общесистемное и прикладное ПО).
ИСПДн Минобрнауки Новосибирской области представляет ЛВС размещенную по адресам:
а) г. Новосибирск, Красный проспект, д. 18, кабинеты № 12, 65, 609, 610а, 610б, 612, 626, 628, 641, 643;
б) г. Новосибирск, ул. Блюхера, д. 40, кабинеты № 103, 104, 207, 213, 214, 215;
в) г. Новосибирск, ул. Мичурина, д. 19, кабинеты № 201, 202, 207, 208.
3. Используемые программные средства.
Обработка ПДн производится с использованием ПО MS Office на базе ОС Microsoft Wi№dows 7 (SP1) в редакции "Корпоративная", 1С-Предприятие.
4. Источники данных.
Источниками данных являются заявления с ПДн и сведения, получаемые по запросу Минобрнауки Новосибирской области, об иностранных студентах.
5. Пользователи информационной системы.
Пользователями ИСПДн являются:
1) администратор ИСПДн;
2) администратор ИБ;
3) пользователи ИСПДн.
6. Правила доступа к техническим средствам и информационным ресурсам ИСПДн.
Контролируемой зоной (КЗ) ИСПДн является часть кабинетов на шестых этажах по адресу: Красный проспект, д. 18, часть кабинетов на первом и втором этажах по адресу: ул. Блюхера, д. 40, второй этаж здания по адресу: ул. Мичурина, д. 19. В КЗ находятся рабочие места пользователей. Вне КЗ находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.
Вход в здания осуществляется через главный вход с пропускным режимом и контролируется круглосуточно службой охраны.
В кабинетах имеется пожарная сигнализация. Кабинеты закрываются на ключ, сдается на вахту. На окнах жалюзи или шторы.
Разграничение прав доступа к техническим средствам ИСПДн и установление полномочий реализуется на основе принятых ролевых моделей, принципов разделения обязанностей и минимизации полномочий с использованием средств аутентификации и авторизации. Зарегистрированный пользователь получает логин, пароль для входа в ОС. По окончании загрузки компьютера, пользователь получает установленные администратором права доступа к устройствам, каталогам, файлам и программам. Удаление учетной записи пользователя производится администратором ИСПДн и/или администратором ИБ при необходимости выведения пользователя из числа зарегистрированных пользователей ИСПДн.
Разграничение прав доступа к информационным ресурсам ИСПДн (защищаемой информации) осуществляется по группам пользователей, указанных в пункте 5 настоящего описания.
II. Обработка информации
7. Получение ПДн и начало сеанса работы в ИСПДн на рабочей станции.
Персональные данные (ПДн) поступают непосредственно от субъекта ПДн или по запросу.
Перед началом сеанса работы пользователи включают ПЭВМ и проходят процедуру аутентификации при входе в OC Wi№dows, введя логин и пароль. По окончании загрузки ПЭВМ, каждый пользователь получает установленные администратором права доступа к устройствам, программам, каталогам и файлам ПЭВМ.
8. Завершение работ на рабочих станциях.
После завершения работы пользователь ИСПДн выполняет одно из следующих действий:
1) выключает компьютер в случае, если не планируется дальнейшая обработка информации;
2) перегружает компьютер, если необходимо завершить текущий сеанс работы пользователя ИСПДн;
3) при оставлении рабочего места производит выход из ИСПДн и блокировку ПЭВМ, путем нажатия комбинации клавиш Ctrl-Alt-Del и выбора в диалоговом окне кнопки "Блокировать". Разблокирование ПЭВМ производится путем ввода пароля пользователя, который был создан при регистрации.
III. Взаимодействие с сетями связи
9. ИСПДн строится на базе ЛВС с динамической адресацией, топологией "звезда". Коммуникационное оборудование и точки соединения расположены за пределами контролируемой зоны.
IV. Обеспечение информационной безопасности
10. В ИСПДн установлены следующие СЗИ:
1) СКЗИ и МЭ ПК ViP№et Clie№t 3.2.
Сертификат соответствия ФСБ России № СФ/124-2796 RU.0001.030001 удостоверяет, что изделие "Программный комплекс ViP№et Clie№t 3.2" (варианты исполнения 1, 2) в комплектации согласно формуляру ФРКЕ.00004-05 30 01 ФО соответствует требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС1 (для варианта исполнения 1) и класса КС2 (для варианта исполнения 2) и может использоваться для криптографической защиты (шифрование файлов, данных, содержащихся в областях оперативной памяти, и IP-трафика, вычисление лимитов ставки для файлов, данных, содержащихся в областях оперативной памяти, и IP-трафика, вычисление значения хеш-функции для файлов и данных, содержащихся в областях оперативной памяти) информации, не содержащей сведений, составляющих государственную тайну.
РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) - по 3 классу защищенности (СВТ3).
РД "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню недекларированных возможностей" (Гостехкомиссия России, 1999) - по 3 уровню контроля (НДВ3).
РД "Безопасность информационных технологий" - как оценочный уровень доверия ОУД4+.
2) Средство АВЗ:
а) "Kaspersky E№dpoi№t Security 10 для Wi№dows".
Сертификат соответствия ФСТЭК России № 3025, действителен до 25.11.2019, удостоверяет, что программное изделие "Kaspersky E№dpoi№t Security 10 для Wi№dows" является средством АВЗ информации и соответствует требованиям документов;
б) программное изделие "Антивирус Касперского 8.0 для Wi№dows Servers E№terprise Editio№".
Сертификат соответствия ФСТЭК России № 2484, действителен до 18.11.2017, удостоверяет, что программное изделие "Антивирус Касперского 8.0 для Wi№dows Servers E№terprise Editio№" является средством АВЗ информации и соответствует требованиям документов;
в) программное изделие "Kaspersky E№dpoi№t Security 8 для Wi№dows".
Сертификат соответствия ФСТЭК России № 2682, действителен до 26.07.2018, удостоверяет, что программное изделие "Kaspersky E№dpoi№t Security 8 для Wi№dows" является средством АВЗ информации и соответствует требованиям документов.
3) СЗИ от НСД:
а) операционная система Microsoft Wi№dows Server 2008 R2 (SP1) в редакциях Sta№dard.
Сертификат соответствия ФСТЭК России № 2181/1, действителен до 13.10.2017, удостоверяет, что операционная система Microsoft Wi№dows Server 2008 R2 (SP1) в редакциях Sta№dard соответствует требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) по 5 классу защищенности и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно;
б) операционная система Microsoft Wi№dows 7 (SP1) в редакциях "Корпоративная".
Сертификат соответствия ФСТЭК России № 2180/1, действителен до 04.10.2017, удостоверяет, что операционная система Microsoft Wi№dows 7 (SP1) в редакциях "Корпоративная" является СЗИ от НСД и соответствует требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) по 5 классу защищенности и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.
4) Средство анализа защищенности "Сетевой сканер безопасности XSpider 7.8.24".
Сертификат соответствия ФСТЭК России № 3247 RU.0001.01БИ00 от 24.10.2014 удостоверяет, что "Сетевой сканер безопасности XSpider 7.8.24" является средством анализа защищенности и обнаружения уязвимостей АС и СВТ, обрабатывающих информацию, не содержащую сведений, составляющих государственную тайну, и соответствует техническим условиям и требованиям РД:
"Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 4 уровню контроля (НДВ4).
Контроль над функционированием СЗИ осуществляется администратором ИБ.
Применяемые сокращения:
АРМ
-
автоматизированное рабочее место
ИБ
-
информационная безопасность
ИСПДн
-
информационная система персональных данных
КЗ
-
контролируемая зона
ЛВС
-
локально-вычислительная сеть
НДВ
-
недокументированные (недекларированные) возможности
ОС
-
операционная система
ПДн
-
персональные данные
ПО
-
программное обеспечение
ПЭВМ
-
персональная электронно-вычислительная машина
СВТ
-
средства вычислительной техники
СЗИ
-
средства защиты информации
СЗПДн
-
система защиты персональных данных
ФИС ГИА
-
федеральная информационная система обеспечения проведения государственной итоговой аттестации
ФИС ФРДО
-
федеральная информационная система "Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении"
Утверждена
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ИНСТРУКЦИЯ
ПО КОНТРОЛЮ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящая Инструкция регламентирует контроль уровня защищенности персональных данных (далее - ПДн), обрабатываемых в информационных системах персональных данных (далее - ИСПДн) министерства образования, науки и инновационной политики Новосибирской области (далее - Минобрнауки Новосибирской области), путем проведения систематических мероприятий по анализу защищенности ИСПДн и тестированию работоспособности системы защиты информации.
II. Выявление, анализ и устранение уязвимостей
информационной системы персональных данных
2. В ИСПДн Минобрнауки Новосибирской области при выявлении (поиске), анализе и устранении уязвимостей проводятся:
1) выявление (поиск) уязвимостей, связанных с ошибками кода в программном (микропрограммном) обеспечении (общесистемном, прикладном, специальном), а также программном обеспечении средств защиты информации, правильностью установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректностью работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;
2) разработка по результатам выявления (поиска) уязвимостей отчетов с описанием выявленных уязвимостей и планом мероприятий по их устранению;
3) анализ отчетов с результатами поиска уязвимостей и оценки достаточности реализованных мер защиты информации;
4) устранение выявленных уязвимостей, в том числе путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств;
5) информирование должностных лиц Минобрнауки Новосибирской области (оператора) (пользователей, администраторов) о результатах поиска уязвимостей и оценки достаточности реализованных мер защиты информации.
3. В качестве источников информации об уязвимостях используются опубликованные данные разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств, а также другие базы данных уязвимостей.
4. Выявление (поиск), анализ и устранение уязвимостей проводится на этапах создания и эксплуатации информационной системы. На этапе эксплуатации поиск и анализ уязвимостей проводится администраторами не реже одного раза в месяц. При этом в обязательном порядке для критических уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в ИСПДн Минобрнауки Новосибирской области.
5. В случае невозможности устранения выявленных уязвимостей путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств необходимо предпринять действия (настройки средств защиты информации, изменение режима и порядка использования ИСПДн Минобрнауки Новосибирской области), направленные на устранение возможности использования выявленных уязвимостей.
6. В ИСПДн Минобрнауки Новосибирской области используются для выявления (поиска) уязвимостей средства анализа (контроля) защищенности (сканеры безопасности), имеющие стандартизованные (унифицированные) в соответствии с национальными стандартами описание и перечни программно-аппаратных платформ, уязвимостей программного обеспечения, ошибочных конфигураций, правил описания уязвимостей, проверочных списков, процедур тестирования и языка тестирования информационной системы на наличие уязвимостей, оценки последствий уязвимостей, имеющие возможность оперативного обновления базы данных выявляемых уязвимостей.
7. В ИСПДн Минобрнауки Новосибирской области осуществляется получение из доверенных источников и установка обновлений базы признаков уязвимостей (для системы анализа защищенности).
8. Доступ к функциям выявления (поиска) уязвимостей предоставляется только администратору информационной безопасности. Администратор информационной безопасности проводит анализ журналов регистрации событий безопасности (журнала аудита) в целях определения, были ли выявленные уязвимости ранее использованы в ИСПДн Минобрнауки Новосибирской области для нарушения безопасности информации.
III. Контроль установки обновлений программного обеспечения,
включая программное обеспечение средств защиты информации
9. В ИСПДн Минобрнауки Новосибирской области администратором в рамках своих полномочий осуществляется контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации и программное обеспечение базовой системы ввода-вывода.
10. В ИСПДн Минобрнауки Новосибирской области администратором в рамках своих полномочий осуществляется получение из доверенных источников и установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации и программное обеспечение базовой системы ввода-вывода.
11. При контроле установки обновлений осуществляются проверки соответствия версий общесистемного, прикладного и специального программного (микропрограммного) обеспечения, включая программное обеспечение средств защиты информации, установленного в ИСПДн Минобрнауки Новосибирской области и выпущенного разработчиком, а также наличие отметок в эксплуатационной документации (формуляр или паспорт) об установке (применении) обновлений.
12. Контроль установки обновлений проводится не реже одного раза в месяц.
13. При контроле установки обновлений осуществляются проверки установки обновлений баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты в соответствии с Инструкцией по антивирусной защите в ИСПДн Минобрнауки Новосибирской области, баз признаков уязвимостей средств анализа защищенности и иных баз данных, необходимых для реализации функций безопасности средств защиты информации.
IV. Контроль работоспособности, параметров настройки
и правильности функционирования программного
обеспечения и средств защиты информации
14. При контроле работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации, осуществляется:
1) контроль работоспособности (неотключения) программного обеспечения и средств защиты информации;
2) проверка правильности функционирования (тестирование на тестовых данных, приводящих к известному результату) программного обеспечения и средств защиты информации;
3) контроль соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации;
4) восстановление работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов.
15. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации проводится администраторами в рамках своих полномочий не реже одного раза в три месяца.
V. Контроль состава технических средств, программного
обеспечения и средств защиты информации
16. При контроле состава технических средств, программного обеспечения и средств защиты информации (инвентаризации) осуществляется:
1) контроль соответствия состава технических средств, программного обеспечения и средств защиты информации приведенному в эксплуатационной документации с целью поддержания актуальной (установленной в соответствии с эксплуатационной документацией) конфигурации ИСПДн Минобрнауки Новосибирской области и принятие мер, направленных на устранение выявленных недостатков;
2) контроль состава технических средств, программного обеспечения и средств защиты информации на соответствие сведениям действующей (актуализированной) эксплуатационной документации и принятие мер, направленных на устранение выявленных недостатков;
3) контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков;
4) исключение (восстановление) из состава ИСПДн Минобрнауки Новосибирской области несанкционированно установленных (удаленных) технических средств, программного обеспечения и средств защиты информации.
17. Контроль состава технических средств, программного обеспечения и средств защиты информации проводится администраторами в рамках своих полномочий не реже одного раза в месяц.
Утверждена
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
Форма
ЖУРНАЛ
хранилищ (сейфов) для хранения средств криптографической
защиты информации, эксплуатационной и технической
документации к ним, ключевых документов
№ п/п
Наименование хранилища (сейф, металлический шкаф)
Инвентарный номер
Местонахождение (подразделение, номер комнаты)
Что находится (документы, изделия)
Ф.И.О. ответственного за хранилище (сейф, шкаф)
Количество комплектов ключей и их номера
Подпись ответственного за хранилище
1
2
3
4
7
8
9
10
ПРИКАЗ
МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
от 27.02. 2017 № 408
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ УПРАВЛЕНИИ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
В связи с осуществлением обработки персональных данных в информационной системе персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - ИСПДн Минобрнауки Новосибирской области), в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке и информационных системах персональных данных", Приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13.06.2001 № 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", руководящим документом "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержденным решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года, приказываю:
1. Утвердить прилагаемые:
1) Положение об управлении доступом субъектов доступа к объектам доступа в ИСПДн Минобрнауки Новосибирской области;
2) Правила идентификации и аутентификации субъектов доступа и объектов доступа в ИСПДн Минобрнауки Новосибирской области;
3) Правила регистрации событий безопасности в ИСПДн Минобрнауки Новосибирской области;
4) перечень событий безопасности в ИСПДн Минобрнауки Новосибирской области;
5) форму заявления на выдачу (перевыпуск) ключевых документов;
6) форму Акта об уничтожении криптографических ключей, содержащихся на ключевых носителях, и ключевых документов;
7) описание технологического процесса обработки персональных данных в ИСПДн Минобрнауки Новосибирской области;
8) инструкцию по контролю защищенности персональных данных в ИСПДн Минобрнауки Новосибирской области;
9) форму журнала хранилищ (сейфов) для хранения средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
2. Контроль за исполнением требований настоящего оставляю за собой.
Министр
С.А.НЕЛЮБОВ
Утверждено
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ПОЛОЖЕНИЕ
ОБ УПРАВЛЕНИИ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящее Положение определяет права и привилегии субъектов доступа, описывает разграничение доступа субъектов доступа к объектам доступа на основе совокупности правил разграничения доступа, установленных в информационных системах персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - Минобрнауки Новосибирской области), а также контроль соблюдения этих правил.
2. Разграничение прав осуществляется на основании "Модели угроз безопасности персональных данных при их обработке в ИСПДн Минобрнауки Новосибирской области", а также исходя из характера и режима обработки персональных данных в ИСПДн Минобрнауки Новосибирской области.
3. Уровень прав доступа представлен в таблице 1.
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИСПДн, осуществляется в соответствии с их должностными обязанностями. Доступ к объектам доступа с учетом разделения полномочий (ролей) обеспечивается в соответствии с матрицей доступа (приложение к настоящему Положению).
Таблица 1
№ п/п
Группа
Уровень доступа к ПДн, ТС, прикладному ПО и СЗИ
Разрешенные действия
1
Администратор ИСПДн
Доступ на правах администратора к ПДн, ТС и прикладному ПО. Без доступа к СЗИ
1) модернизация, настройка и мониторинг работоспособности комплекса ТС (серверов, рабочих станций);
2) установка, модернизация, настройка и мониторинг работоспособности системного и базового ПО;
3) установка, настройка и мониторинг прикладного ПО;
4) соблюдение правил, оговоренных в инструкции администратора
2
Администратор ИБ ИСПДн
Доступ на правах администратора к СЗИ. Без доступа на изменение к ПДн, ТС и прикладному ПО
1) разработка, управление и реализация эффективной политики информационной безопасности системы;
2) управление (администрирование) системой защиты информации ИСПДн;
3) выявление инцидентов и реагирование на них;
управление конфигурацией ИСПДн и ее системы защиты;
4) контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в ИСПДн;
управление правами доступа пользователей к функциям системы;
5) проверка состояния используемых СЗИ от НСД, проверка правильности их настройки;
6) обеспечение функционирования и поддержание работоспособности СЗИ;
проведение инструктажа эксплуатационного персонала и пользователей СВТ по правилам работы с используемыми СЗИ;
7) контроль и предотвращение несанкционированного изменения целостности ресурсов;
8) контроль аппаратной конфигурации защищаемых компьютеров и предотвращение попытки ее несанкционированного изменения
3
Администратор ВИ
Доступ на правах администратора к прикладному ПО. Без доступа на изменение ПДн, ТС и СЗИ
1) установка, модернизация, настройка и мониторинг работоспособности ВИ;
2) доступ к операциям создания, запуска, останова, создания копий, удаления виртуальных машин;
3) доступ к конфигурации виртуальных машин
4
Администратор резервного копирования
Доступ на правах администратора к прикладному ПО. Без доступа на изменение ПДн, ТС и СЗИ
1) настройка и контроль работы процедуры резервного копирования;
2) изготовление резервных копий информации;
3) анализ объемов данных резервного копирования;
4) контроль состояния оборудования системы резервного копирования;
5) замена неработоспособных или выработавших свой ресурс носителей резервной информации или оборудования системы резервного копирования;
6) восстановление программ и данных из резервных копий в случае порчи или утери данных
5
Ответственный за эксплуатацию СКЗИ
Доступ на правах администратора к сертифицированным СКЗИ. Без доступа на изменение к ПДн, ТС, прикладному ПО, СЗИ
1) поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним;
2) контроль за соблюдением условий использования криптосредств, установленных эксплуатационной и технической документацией на СКЗИ и настоящей инструкцией;
3) учет пользователей криптосредств;
4) надежное хранение эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей дистрибутивов криптосредств, бумажных и машинных носителей ПДн;
5) расследования и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению требуемого уровня безопасности информации;
6) разработка и принятие мер по предотвращению возможных негативных последствий нарушений
6
Пользователь
Доступ на правах пользователя к ПДн, ТС, прикладному ПО и СЗИ. Без доступа на изменение ПО, СЗИ и ТС
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление записей, содержащих ПДн
4. Доступ в помещения, в которых расположены технические средства ИСПДн Минобрнауки Новосибирской области (далее - Помещения), осуществляется в соответствии с перечнем лиц, утверждаемым приказом Минобрнауки Новосибирской области.
II. Правила разграничения доступа
5. В ИСПДн Минобрнауки Новосибирской области реализуется:
1) управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей, возлагается на администратора ИБ, а также внутри виртуальных машин на администратора ВИ путем следующих функций:
а) определение типа учетной записи (внутреннего пользователя, внешнего пользователя; системная, приложения; гостевая (анонимная), временная и (или) иные типы записей);
б) объединение учетных записей в группы (при необходимости);
в) верификация пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя;
г) заведение, активация, блокирование и уничтожение учетных записей пользователей (при необходимости);
д) пересмотр и, при необходимости, корректировка учетных записей не реже одного раза в три месяца;
е) уничтожение временных учетных записей пользователей, предоставленных для однократного (ограниченного по времени) выполнения задач в информационной системе;
ж) предоставление пользователям прав доступа к объектам доступа ИСПДн, основываясь на задачах, решаемых пользователями в ИСПДн и взаимодействующими с ней ИСПДн.
Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).
Заведение временных учетных записей осуществляется на основании подписанного администратором ИБ и ответственным за обработку и защиту персональных данных соответствующего акта, содержащего цель, место, наименование и сроки;
2) дискреционный метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе идентификационной информации субъекта и для каждого объекта доступа - списка, содержащего набор субъектов доступа (групп субъектов) и ассоциированных с ними типов доступа. Типы доступа должны включать операции по чтению, записи, удалению, выполнению и иные операции, разрешенные к выполнению пользователем (группе пользователей).
Правила разграничения доступа реализуются на основе матрицы доступа и обеспечивают управление доступом пользователей (групп пользователей) и запускаемых от их имени процессов при входе в систему, доступе к ТС, устройствам (в том числе внешним), объектам файловой системы, запускаемым и исполняемым модулям, объектам СУБД, параметрам настройки СЗИ, в том числе внутри виртуальных машин, информации о конфигурации системы защиты информации и иной информации о функционировании системы защиты информации.
В ИСПДн Минобрнауки Новосибирской области правила разграничения доступа должны обеспечивать:
а) управление доступом субъектов при входе в ИСПДн;
б) управление доступом субъектов к ТС, устройствам, внешним устройствам;
в) управление доступом субъектов к объектам, создаваемым общесистемным (общим) ПО;
г) управление доступом субъектов внутри виртуальной инфраструктуры;
3) в ИСПДн Минобрнауки Новосибирской области осуществляется управление информационными потоками при передаче информации между устройствами, сегментами в рамках информационной системы, включающее:
а) фильтрацию информационных потоков в соответствии с установленными правилами управления потоками;
б) разрешение передачи информации в ИСПДн Минобрнауки Новосибирской области только по установленному маршруту;
в) изменение (перенаправление) маршрута передачи информации в случаях необходимости, по согласованию с администратором информационной безопасности;
4) права и привилегии, назначаемые пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование ИСПДн Минобрнауки Новосибирской области, являются минимально необходимыми для выполнения ими своих должностных обязанностей (функций);
5) ограничение неуспешных попыток входа в ИСПДн (доступа к ИСПДн), равных 5 (пяти), при этом обеспечивается блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в ИСПДн (доступа к ИСПДн) не менее чем на 5 (пять) минут;
6) блокирование сеанса доступа в ИСПДн Минобрнауки Новосибирской области, после 15 минут времени бездействия (неактивности) пользователя или по его запросу.
Блокирование сеанса доступа пользователя в ИСПДн обеспечивает временное приостановление работы пользователя со СВТ или с виртуальной машиной, с которых осуществляется доступ к ИСПДн Минобрнауки Новосибирской области (без выхода из ИСПДн).
Для заблокированного сеанса осуществляется блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса.
Блокирование сеанса доступа пользователя в ИСПДн сохраняется до прохождения им повторной идентификации и аутентификации;
7) запрет всех действий пользователей до прохождения процедур идентификации и аутентификации в ИСПДн (кроме необходимых для прохождения процедур идентификации и аутентификации).
Администратору ИБ разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования ИСПДн в случае сбоев в работе или выходе из строя отдельных ТС (устройств).
Применяемые термины и сокращения:
Аутентификационная информация (информация аутентификации)
-
информация, используемая для установления подлинности (верификации) субъекта доступа в информационной системе
Аутентификация
-
проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности субъекта доступа в информационной системе)
Идентификатор
-
представление (строка символов), однозначно идентифицирующее субъект и (или) объект доступа в информационной системе
Идентификация
-
присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен) и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов
Локальный доступ
-
доступ субъектов доступа к объектам доступа, осуществляемый непосредственно через подключение (доступ) к компоненту информационной системы или через локальную вычислительную сеть (без использования информационно-телекоммуникационной сети)
Многофакторная аутентификация
-
аутентификация с использованием двух (двухфакторная) или более различных факторов аутентификации
Непривилегированная учетная запись
-
учетная запись пользователя (процесса, выполняемого от его имени) информационной системы
Объект доступа
-
единица информационного ресурса информационной системы (файл, техническое средство, узел сети, линия (канал) связи, мобильное устройство, программа, том, каталог, запись, поле записей и иные объекты), доступ к которой регламентируется правилами разграничения доступа и по отношению к которой субъекты доступа выполняют операции
Пользователь
-
лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в информационной системе или использующее результаты ее функционирования
Привилегированная учетная запись
-
учетная запись администратора информационной системы
Роль
-
предопределенная совокупность правил, устанавливающих допустимое взаимодействие между пользователем и информационной системой
Субъект доступа
-
пользователь, процесс, выполняющие операции (действия) над объектами доступа и действия которых регламентируются правилами разграничения доступа
Удаленный доступ
-
процесс получения доступа (через внешнюю сеть) к объектам доступа информационной системы из другой информационной системы (сети) или со средства вычислительной техники, не являющегося постоянно (непосредственно) соединенным физически или логически с информационной системой, к которой он получает доступ
Управление доступом
-
ограничение и контроль доступа субъектов доступа к объектам доступа в информационной системе в соответствии с установленными правилами разграничения доступа
ВИ
-
виртуальная инфраструктура
ИБ
-
информационная безопасность
ИСПДн
-
информационная система персональных данных
НСД
-
несанкционированный доступ
ПО
-
программное обеспечение
СВТ
-
средство вычислительной техники
СЗИ
-
средство защиты информации
СКЗИ
-
средство криптографической защиты информации
СУБД
-
система управления базой данных
ТС
-
техническое средство
Приложение
к Положению
об управлении доступом субъектов
доступа к объектам доступа в
информационной системе персональных
данных министерства образования,
науки и инновационной политики
Новосибирской области
Матрица
доступа субъектов доступа по отношению к защищаемым
информационным ресурсам в информационных системах
министерства образования, науки и инновационной
политики Новосибирской области
Матрица доступа субъектов доступа по отношению к защищаемым информационным ресурсам в информационных системах министерства образования, науки и инновационной политики Новосибирской области (далее - матрица доступа) устанавливает полномочия субъектов доступа по доступу к защищаемым информационным ресурсам в информационных системах министерства образования, науки и инновационной политики Новосибирской области (далее - ИС Минобрнауки Новосибирской области), приведенных в таблице 1.
В соответствии с таблицей 2 (не приводится) осуществляется предоставление пользователям прав доступа к объектам доступа информационной системы, основываясь на задачах, решаемых пользователями в ИС Минобрнауки Новосибирской области и взаимодействующими с ними информационными системами.
В ИС Минобрнауки Новосибирской области работает 37 человек, допущенных только к определенным информационным ресурсам ИС Минобрнауки Новосибирской области в соответствии с таблицей 1.
Таблица 1
№ п/п
Информационные системы
1
ИС "Персональные данные грантополучателей, стипендиатов и лауреатов премий Правительства Новосибирской области, Губернатора Новосибирской области, обучающихся, награжденных премией Губернатора Новосибирской области"
2
ИС "Персональные данные претендентов на заключение договоров о целевом обучении, в том числе на условиях целевого приема в образовательных организациях высшего образования, расположенных на территории Новосибирской области, за счет средств областного бюджета"
3
ИС "Учет иностранных студентов"
4
ИС "Персональные данные заявителей из числа физических лиц (индивидуальных предпринимателей) на включение сведений об инновационной продукции в Реестр инновационной, в том числе нанотехнологической продукции, производимой в Новосибирской области"
5
ИС "Персональные данные детей, включенных в состав делегации Новосибирской области, направленных на общероссийскую новогоднюю елку, и ответственных лиц за их безопасность"
6
ИС "Персональные данные государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы"
7
ИС "Персональные данные кандидатов на замещение вакантных должностей. Кадровый резерв министерства образования, науки и инновационной политики Новосибирской области"
9
ИС "Выплата единовременного денежного пособия в трехкратном размере средней месячной заработной платы педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций, имеющим стаж педагогической деятельности не менее 25 лет, достигшим возраста 60 лет для мужчин и 55 лет для женщин, при увольнении в связи с выходом на трудовую пенсию по старости"
10
ИС "Аттестация в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность, руководителей государственных образовательных организаций Новосибирской области, подведомственных министерству образования, науки и инновационной политики Новосибирской области"
11
ИС "Конкурс на получение денежного поощрения лучшими учителями"
12
ИС "Премия Правительства Новосибирской области "Лучший педагогический работник Новосибирской области"
13
ИС "Почетный работник образования Новосибирской области"
14
ИС "Бухгалтерия"
15
ИС "Персональные данные руководителей образовательных организаций для прохождения процедуры аккредитации образовательных организаций. Архив"
16
ИС "Персональные данные учредителей негосударственных и частных образовательных организаций для проведения процедуры лицензирования образовательных организаций. Архив"
17
ИС "Персональные данные экспертов, привлекаемых к проведению мероприятий по контролю в области образования"
18
ИС "Обращения граждан"
19
ИС "Победители и призеры приоритетного национального проекта "Образование" по поддержке талантливой молодежи"
20
ИС "Персональные данные обладателей документов и заявителей для предоставления государственной услуги по подтверждению документов об образовании, об ученой степени и ученых званиях"
21
ИС "Персональные данные экспертов, привлекаемых к аккредитационной экспертизе"
22
ИС "Персональные данные экспертов и членов главной аттестационной комиссии министерства по аттестации в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность"
23
ИС "Персональные данные членов совета руководителей общеобразовательных организаций по вопросам общего образования при министерстве образования, науки и инновационной политики"
24
ИС "Персональные данные членов Ассоциации молодых педагогов Новосибирской области"
Таблица 3 (таблица принятых в матрице доступа сокращений)
№ п/п
Сокращение
Полное название
Значение
1
ПД
Полный доступ
Возможность чтения, изменения, записи и удаления файлов
2
Ч/З
Чтение/запись
Возможность чтения, изменения и записи файлов
3
Ч
Только чтение
Возможность только чтения
4
НД
Нет доступа
Невозможность проведения операций с файлами
Для администраторов и пользователей ИС Минобрнауки Новосибирской области установлены следующие разрешения:
Таблица 4
Элемент разрешения
Объект
Применять:
для логических дисков, папок и их подпапок
Разрешения
Разрешить
Запретить
Имя: администратор
Обзор папок/выполнение файлов
Содержание папки/чтение данных
Чтение атрибутов
Чтение дополнительных атрибутов
Создание файлов/запись данных
Создание папок/запись данных
Запись атрибутов
Запись дополнительных атрибутов
Удаление подпапок и файлов
Удаление
Чтение разрешений
Смена разрешений
Смена владельца
Применять эти разрешения к объектам и контейнерам только внутри этого контейнера
Имя: пользователь
Обзор папок/выполнение файлов
Содержание папки/чтение данных
Чтение атрибутов
Чтение дополнительных атрибутов
Создание файлов/запись данных
Создание папок/запись данных
Запись атрибутов
Запись дополнительных атрибутов
Удаление подпапок и файлов
Удаление
Чтение разрешений
Смена разрешений
Смена владельца
Применять эти разрешения к объектам и контейнерам только внутри этого контейнера
Для администраторов и пользователей ИС Минобрнауки Новосибирской области установлены следующие разрешения по доступу к принтеру:
Таблица 5
Разрешения для администратора ИС
Разрешить
Запретить
Печать
Управление принтерами
Управление документами
Особые разрешения
Разрешения для пользователей ИС
Разрешить
Запретить
Печать (П)
Управление принтерами (УП)
Управление документами (УД)
Особые разрешения (ОР)
Утверждены
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ПРАВИЛА
ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ СУБЪЕКТОВ ДОСТУПА И ОБЪЕКТОВ ДОСТУПА В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящие Правила регламентируют порядок и процедуры присвоения субъектам и объектам доступа уникального признака (идентификатора), сравнения предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверки принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности), а также организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационной системе персональных данных (далее - ИСПДн) министерства образования, науки и инновационной политики Новосибирской области (далее - Минобрнауки Новосибирской области) и контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
II. Идентификация и аутентификация пользователей,
являющихся внутренними пользователями
2. При доступе в информационную систему персональных данных (далее - ИСПДн) осуществляется идентификация и аутентификация пользователей, являющихся сотрудниками Минобрнауки Новосибирской области (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей. К внутренним пользователям относятся следующие должностные лица Минобрнауки Новосибирской области:
1) администратор ИСПДн;
2) администратор информационной безопасности (далее - ИБ) ИСПДн;
3) администратор резервного копирования;
4) ответственные сотрудники, выполняющие при эксплуатации ИСПДн свои должностные обязанности (функции) в соответствии с должностными регламентами (инструкциями), утвержденными в министерстве, и которым в ИСПДн присвоены учетные записи.
В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования ИСПДн (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами. Для каждого внутреннего пользователя в ИСПДн должны быть заведены учетные записи.
3. Пользователи ИСПДн однозначно идентифицируются и аутентифицируются для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с Положением об управлении доступом субъектов доступа к объектам доступа в ИСПДн Минобрнауки Новосибирской области.
4. Аутентификация пользователя в ИСПДн осуществляется с использованием паролей. Также на усмотрение администратора ИБ ИСПДн могут применяться аппаратные средства в случае многофакторной (двухфакторной) аутентификации.
5. В ИСПДн обеспечивается возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами.
III. Управление идентификаторами, в том числе создание,
присвоение, уничтожение идентификаторов
6. В ИСПДн устанавливаются и реализуются следующие функции управления идентификаторами пользователей и устройств:
1) формирование идентификатора, который однозначно идентифицирует пользователя и (или) устройство;
2) присвоение идентификатора пользователю и (или) устройству;
3) предотвращение повторного использования идентификатора пользователя и (или) устройства в течение одного года;
4) блокирование идентификатора пользователя после 90 дней неиспользования;
5) в качестве ответственного за создание, присвоение и уничтожение идентификаторов пользователей и устройств определен администратор ИБ ИСПДн.
IV. Управление средствами аутентификации и принятие мер
в случае утраты и (или) компрометации средств аутентификации
7. В ИСПДн устанавливаются и реализуются следующие функции управления средствами аутентификации (аутентификационной информацией) пользователей:
1) изменение аутентификационной информации (средств аутентификации), заданных их производителями и (или) используемых при внедрении системы защиты ИСПДн;
2) выдача средств аутентификации пользователям;
3) генерация и выдача начальной аутентификационной информации (начальных значений средств аутентификации);
4) установление характеристик пароля: длина пароля не менее шести символов, алфавит пароля не менее 6 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки - 5 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 минут, смена паролей не более чем через 120 дней;
5) блокирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации;
6) назначение необходимых характеристик средств аутентификации (в том числе механизма пароля);
7) обновление аутентификационной информации (замена средств аутентификации) с периодичностью не более чем через 120 дней;
8) защита аутентификационной информации от неправомерных доступа к ней и модифицирования.
8. В случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры в зависимости от полномочий владельца скомпрометированного пароля:
1) внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу внутри организации и т.п.) должна производиться администратором ИБ ИСПДн немедленно после окончания последнего сеанса работы данного пользователя с системой;
2) внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри организации и другие обстоятельства) администратора ИБ ИСПДн и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой ИСПДн.
9. В качестве ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации устройств определен администратор ИБ ИСПДн.
V. Защита обратной связи при вводе
аутентификационной информации
10. В ИСПДн осуществляется защита аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий.
11. Защита обратной связи "система - субъект доступа" в процессе аутентификации обеспечивается исключением отображения для пользователя действительного значения аутентификационной информации и (или) количества вводимых пользователем символов аутентификационной информации. Вводимые символы пароля могут отображаться условными знаками "*", "°" или иными знаками.
VI. Ответственность при организации
идентификации и аутентификации
12. Ответственность за реализацию правил идентификации и аутентификации субъектов доступа и объектов доступа в соответствии с требованиями настоящих Правил возлагается на администратора ИБ ИСПДн.
13. Ответственность за поддержание установленного порядка и соблюдение требований настоящих Правил возлагается на администратора ИБ ИСПДн и пользователей ИСПДн.
14. Периодический контроль за выполнением всех требований настоящих Правил осуществляется комиссией по проведению мероприятий по защите персональных данных.
Утверждены
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ПРАВИЛА
РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИИ ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящие Правила регламентируют состав и содержание информации о событиях безопасности, подлежащих регистрации, правила и процедуры сбора, записи, хранения и защиты информации о событиях безопасности в информационной системе персональных данных (далее - ИСПДн) министерства образования, науки и инновационной политики Новосибирской области (далее - Минобрнауки Новосибирской области).
II. Определение событий безопасности, подлежащих
регистрации, и сроков их хранения
2. В ИСПДн подлежат регистрации в текущий момент времени следующие события безопасности:
№ п/п
События безопасности, подлежащие регистрации
Состав и содержание информации о событиях безопасности
1
Вход (выход), а также попытки входа субъектов доступа в информационную систему и загрузки (останова) операционной системы
Дата и время входа (выхода) в систему (из системы) или загрузки (останова) операционной системы, результат попытки входа (успешная или неуспешная), результат попытки загрузки (останова) операционной системы (успешная или неуспешная), идентификатор, предъявленный при попытке доступа
2
Подключение машинных носителей информации и вывод информации на носители информации
Дата и время подключения машинных носителей информации и вывода информации на носители информации, логическое имя (номер) подключаемого машинного носителя информации, идентификатор субъекта доступа, осуществляющего вывод информации на носитель информации
3
Запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации
Дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа (устройства), запросившего программу (процесс, задание), результат запуска (успешный, неуспешный)
4
Попытки доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей)
Дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификация защищаемого файла (логическое имя, тип)
5
Попытки удаленного доступа
Дата и время попытки удаленного доступа с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), используемый протокол доступа, используемый интерфейс доступа и (или) иная информация о попытках удаленного доступа к информационной системе
6
Доступ субъектов доступа к компонентам виртуальной инфраструктуры
Дата и время доступа субъектов доступа к гипервизору и виртуальной машине, к хостовой операционной системе, результат попытки доступа субъектов доступа к указанным компонентам виртуальной инфраструктуры (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке доступа субъектов доступа к компонентам виртуальной инфраструктуры
7
Изменения в составе и конфигурации компонентов виртуальной инфраструктуры во время их запуска, функционирования и аппаратного отключения
Дата и время изменения в составе и конфигурации виртуальных машин, виртуального аппаратного обеспечения, виртуализированного программного обеспечения, виртуального аппаратного обеспечения в гипервизоре и в виртуальных машинах, в хостовой операционной системе, виртуальном сетевом оборудовании, результат попытки изменения в составе и конфигурации указанных компонентов виртуальной инфраструктуры (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке изменения в составе и конфигурации компонентов виртуальной инфраструктуры
8
Изменения правил разграничения доступа к компонентам виртуальной инфраструктуры
Дата и время изменения правил разграничения доступа к виртуальному и физическому аппаратному обеспечению, к файлам-образам виртуализированного программного обеспечения и виртуальных машин, к файлам-образам, используемым для обеспечения работы виртуальных файловых систем, к виртуальному сетевому оборудованию, к защищаемой информации, хранимой и обрабатываемой в гипервизоре и виртуальных машинах, в хостовой операционной системе, результат попытки изменения правил разграничения доступа к указанным компонентам виртуальной инфраструктуры (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке изменения правил разграничения доступа к компонентам виртуальной инфраструктуры
3. Сроки хранения соответствующих записей регистрационных журналов должны обеспечивать возможность обнаружения, идентификации и анализа инцидентов, возникших в ИСПДн, в течение 3-х месяцев.
III. Определение состава и содержания информации
о событиях безопасности, подлежащих регистрации
4. Состав и содержание информации о событиях безопасности, включаемой в записи регистрации о событиях безопасности, должны, как минимум, обеспечить возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно), субъект доступа (пользователь и (или) процесс), связанный с данным событием безопасности.
5. Состав и содержание информации о событиях безопасности, включаемой в записи регистрации о событиях безопасности, приведены в пункте 2 настоящих Правил.
IV. Сбор, запись и хранение информации о событиях
безопасности в течение установленного времени хранения
6. Процедуры сбора, записи и хранения информации о событиях безопасности в течение установленного времени хранения предусматривают:
1) возможность выбора администратором информационной безопасности событий безопасности, подлежащих регистрации в текущий момент времени, из перечня событий безопасности, определенных в пункте 2 настоящих Правил;
2) генерацию (сбор, запись) записей регистрации (аудита) для событий безопасности, подлежащих регистрации (аудиту) в соответствии с пунктом 2 настоящих Правил, с составом и содержанием информации, установленными для соответствующего типа события;
3) хранение информации о событиях безопасности в течение времени, установленного в соответствии с пунктом 3 настоящих Правил.
7. Объем памяти для хранения информации о событиях безопасности рассчитывается и выделяется администратором информационной безопасности ИСПДн Фонда с учетом типов событий безопасности, подлежащих регистрации в соответствии с пунктом 2 настоящих Правил, состава и содержания информации о событиях безопасности, подлежащих регистрации, прогнозируемой частоты возникновения подлежащих регистрации событий безопасности, срока хранения информации о зарегистрированных событиях безопасности.
V. Мониторинг (просмотр, анализ) результатов регистрации
событий безопасности и реагирование на них
8. Мониторинг (просмотр и анализ) записей регистрации (аудита) должен проводиться администратором информационной безопасности не реже двух раз в месяц для всех событий, подлежащих регистрации, и обеспечивать своевременное выявление признаков инцидентов безопасности в ИСПДн.
9. В случае выявления признаков инцидентов безопасности в ИСПДн администратор информационной безопасности осуществляет планирование и проведение мероприятий по реагированию на выявленные инциденты безопасности.
VI. Защита информации о событиях безопасности
10. Защита информации о событиях безопасности (записях регистрации (аудита)) в ИСПДн должна обеспечиваться применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования, определенных в проектной и организационно-распорядительной документации по защите информации и в том числе включает защиту средств ведения регистрации (аудита) и настроек механизмов регистрации событий.
11. Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставляется только администратору информационной безопасности и администратору виртуальной инфраструктуры.
Утвержден
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ПЕРЕЧЕНЬ
СОБЫТИЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
№ п/п
Событие безопасности
Состав и содержание регистрационных записей
1
Вход (выход) субъектов доступа в ИСПДн
Дата и время входа (выхода) в систему (из системы), результат попытки входа (успешная или неуспешная), идентификатор, предъявленный при попытке доступа
2
Загрузка (останов) операционной системы
Дата и время загрузки (останова) операционной системы, результат попытки загрузки (останова) операционной системы (успешная или неуспешная), идентификатор, предъявленный при попытке доступа
4
Запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой персональных данных
Дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа (устройства), запросившего программу (процесс, задание), результат запуска (успешный, неуспешный)
5
Попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам
Дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификация защищаемого файла (логическое имя, тип)
6
Попытки доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, записям, полям записей)
Дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификация защищаемого объекта доступа (логическое имя (номер)
7
Попытки удаленного доступа к ИСПДн
Дата и время попытки удаленного доступа с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), используемый протокол доступа, используемый интерфейс доступа и (или) иная информация о попытках удаленного доступа к информационной системе
8
Изменение привилегий учетных записей
Дата и время события с указанием его результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), идентификатор изменяемой учетной записи и (или) иная информация, характеризующая событие
Утверждена
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
Форма
ЗАЯВЛЕНИЕ
на выдачу (перевыпуск) ключевых документов
___________________________________________________________________________
(полное наименование организации, включая организационно-правовую форму)
в лице
___________________________________________________________________________
(должность, фамилия, имя, отчество)
действующего на основании
___________________________________________________________________________
Просит выдать (перевыпустить) ключевой документ в соответствии с
указанными в настоящем заявлении данными:
Сведения об организации
Наименование организации
Должность руководителя организации
Фамилия, имя, отчество руководителя организации
Адрес организации (для переписки)
Контактные телефоны организации
Подпись/Ф.И.О.
Сведения об абонентском пункте/лицензии
Наименование абонентского пункта
Идентификатор абонентского пункта
Место расположения абонентского пункта
Номер лицензии
Сведения о пользователе
Фамилия, имя и отчество пользователя
Должность пользователя
Контактный телефон (рабочий)
Контактный телефон (мобильный)
Адрес электронной почты (рабочий)
Подпись/Ф.И.О.
Сведения об ответственном за обработку и защиту персональных данных
Фамилия, имя и отчество
Наименование структурного подразделения/должность
Контактный телефон (рабочий)
Контактный телефон (мобильный)
Адрес электронной почты (рабочий)
Подпись/Ф.И.О.
Утверждена
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
Форма
АКТ № ______ от "___" _________ 20__ г.
об уничтожении криптографических ключей, содержащихся
на ключевых носителях, и ключевых документов
Комиссия сотрудников _______________________________________ в составе:
(название организации)
___________________________________________________________________________
___________________________________________________________________________
произвела уничтожение криптографических ключей, содержащихся на ключевых
носителях, и ключевых документов:
№
Учетный номер ключевого носителя (документа)
Номер (идентификатор) криптографического ключа, наименование документа
Владелец ключа (документа)
Количество ключевых носителей (документов)
Номера экземпляров
Всего уничтожается ключей (документов)
Всего уничтожено _______ криптографических ключей на _______ ключевых носителях.
Уничтожение криптографических ключей выполнено путем их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на соответствующие СКЗИ.
Записи Акта сверены с записями в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
Факт списания с учета ключевых носителей в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подтверждаю:
Ответственный за эксплуатацию средств криптографической защиты информации
_________________/__________________
Члены комиссии:
_________________/__________________
_________________/__________________
Утверждено
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ОПИСАНИЕ
ТЕХНОЛОГИЧЕСКОГО ПРОЦЕССА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие сведения
1. Описание ИСПДн.
Основания и цели создания информационной системы персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - ИСПДн Минобрнауки Новосибирской области) указаны в таблице 1. В состав ИСПДн входит 23 системы.
ИСПДн в виде ЛВС является составной частью общей ЛВС Минобрнауки Новосибирской области, подключенной к сетям общего пользования (далее - сеть интернет), и представляет собой совокупность информации, содержащейся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку информации с использованием средств автоматизации.
Название ИС
Цель обработки
Основание обработки
ИС "Персональные данные грантополучателей, стипендиатов и лауреатов премий Правительства Новосибирской области, Губернатора Новосибирской области, обучающихся, награжденных премией Губернатора Новосибирской области"
исполнение полномочий
Постановление Правительства Новосибирской области от 30.12.2014 № 564-п "О стипендиях Правительства Новосибирской области талантливым студентам образовательных организаций высшего образования, расположенных на территории Новосибирской области".
Постановление главы администрации Новосибирской области от 05.11.2002 № 791 "Об учреждении стипендий имени Г.П. Лыщинского".
Постановление главы администрации Новосибирской области от 18.02.2004 № 82 "Об учреждении стипендий Правительства Новосибирской области имени А.Н. Косыгина".
Постановление Губернатора Новосибирской области от 12.04.2005 № 196 "Об учреждении именных стипендий Правительства Новосибирской области имени А.Д. Крячкова".
Постановление Губернатора Новосибирской области от 29.08.2005 № 456 "Об учреждении стипендий Губернатора Новосибирской области имени Ф.С. Горячева".
Постановление Губернатора Новосибирской области от 01.09.2005 № 460 "Об учреждении именных стипендий имени Г.Д. Залесского".
Постановление Губернатора Новосибирской области от 25.12.2006 № 507 "Об учреждении стипендий Губернатора Новосибирской области имени Ю.В. Шарова".
Постановление Губернатора Новосибирской области от 29.12.2007 № 535 Об учреждении стипендии Губернатора Новосибирской области имени героев, погибших при исполнении воинского долга в Афганистане и других локальных конфликтах".
Постановление Губернатора Новосибирской области от 04.08.2008 № 304 "Об учреждении стипендии Губернатора Новосибирской области студентам из числа победителей (призеров) заключительного этапа Всероссийской олимпиады школьников по общеобразовательным программам среднего (полного) общего образования, поступивших в высшие учебные заведения Новосибирской области".
Постановление Губернатора Новосибирской области от 29.12.2008 № 544 "Об учреждении стипендии Губернатора Новосибирской области имени К.Л. Проворова".
Постановление Губернатора Новосибирской области от 28.09.2009 № 407 "Об учреждении стипендий Губернатора Новосибирской области имени М.А. Лаврентьева, имени И.Н. Векуа, имени С.А. Христиановича, имени В.А. Коптюга, имени С.Л. Соболева, имени А.А. Ляпунова".
Постановление Губернатора Новосибирской области от 18.08.2010 № 242 "Об учреждении стипендий Губернатора Новосибирской области имени И.И. Гудилина".
Постановление Губернатора Новосибирской области от 20.06.2011 № 152 "Об учреждении стипендий Губернатора Новосибирской области имени А.М. Шапошникова и имени Л.В. Канторовича".
Постановление Губернатора Новосибирской области от 31.07.2012 № 128 "Об учреждении стипендии Губернатора Новосибирской области имени А.И. Покрышкина".
Постановление Губернатора Новосибирской области от 17.12.2012 № 225 "Об учреждении стипендий Губернатора Новосибирской области имени Р.И. Шнипера и имени Ф.Г. Старцева".
Постановление Губернатора Новосибирской области от 17.11.2008 № 467 "Об учреждении премии Губернатора Новосибирской области для поддержки одаренных детей и молодежи".
Постановление Правительства Новосибирской области от 15.11.2010 № 212-п "Об именных премиях Правительства Новосибирской области, именных стипендиях Правительства Новосибирской области, о грантах Правительства Новосибирской области"
ИС "Персональные данные претендентов на заключение договоров о целевом обучении, в том числе на условиях целевого приема в образовательных организациях высшего образования, расположенных на территории Новосибирской области, за счет средств областного бюджета"
исполнение полномочий
Федеральный закон от 29.12.2012 № 273-ФЗ "Об образовании в Российской Федерации".
Постановление Правительства Российской Федерации от 27.11.2013 № 1076 "О порядке заключения и расторжения договора о целевом приеме и договора о целевом обучении" (вместе с "Правилами заключения и расторжения договора о целевом приеме и договора о целевом обучении").
Распоряжение Правительства Новосибирской области от 05.06.2014 № 179-рп "О взаимодействии областных исполнительных органов государственной власти Новосибирской области при организации целевого обучения граждан в организациях, осуществляющих образовательную деятельность по образовательным программам высшего образования на территории Новосибирской области".
Приказ министерства образования, науки и инновационной политики Новосибирской области от 05.05.2015 № 1282 "Об организации целевого обучения граждан, в том числе на условиях целевого приема, по образовательным программам высшего образования для обеспечения высококвалифицированными педагогическими кадрами государственных образовательных организаций Новосибирской области, подведомственных министерству образования, науки и инновационной политики Новосибирской области, и муниципальных образовательных организаций, расположенных на территории Новосибирской области"
ИС "Учет иностранных студентов"
исполнение полномочий
Федеральный закон от 25.07.2002 № 115-ФЗ "О правовом положении иностранных граждан в Российской Федерации"
ИС "Персональные данные заявителей из числа физических лиц (индивидуальных предпринимателей) на включение сведений об инновационной продукции в Реестр инновационной, в том числе нанотехнологической продукции, производимой в Новосибирской области"
исполнение полномочий
Закон Новосибирской области от 15.12.2007 № 178-ОЗ "О политике Новосибирской области в сфере развития инновационной системы".
Приказ Минобрнауки Новосибирской области от 29.05.2015 № 1577 "Об экспертной комиссии по отнесению продукции к инновационной".
Постановление Правительства Новосибирской области от 11.10.2016 № 335-п "О Порядке формирования и ведения реестра инновационной, в том числе нанотехнологической, продукции, производимой в Новосибирской области", государственная информационная система Новосибирской области "Реестр инновационной, в том числе нанотехнологической, продукции, производимой в Новосибирской области"
ИС "Персональные данные детей, включенных в состав делегации Новосибирской области, направленных на общероссийскую новогоднюю елку, и ответственных лиц за их безопасность"
исполнение полномочий
Письмо полномочного представителя Президента Российской Федерации в Сибирском федеральном округе (ежегодно)
ИС "Персональные данные государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы"
исполнение полномочий
Указ Президента Российской Федерации от 30.05.2005 № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела".
Закон Новосибирской области от 01.02.2005 № 265-ОЗ "О государственной гражданской службе Новосибирской области";
Закон Новосибирской области от 06.04.2005 № 287-ОЗ "О Реестре должностей государственной гражданской службы Новосибирской области".
Постановление Правительства Российской Федерации от 16.04.2003 № 225 "О трудовых книжках".
Постановление Минтруда Российской Федерации от 10.10.2003 № 69 "Об утверждении инструкции по заполнению трудовых книжек".
Распоряжение Правительства Российской Федерации от 26.05.2005 № 667-р "Об утверждении формы анкеты, представляемой гражданином Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации".
Постановление Губернатора Новосибирской области от 20.04.2005 № 248 "О форме служебного контракта о прохождении государственной гражданской службы Новосибирской области и замещении должности государственной гражданской службы Новосибирской области"
ИС "Персональные данные кандидатов на замещение вакантных должностей. Кадровый резерв министерства образования, науки и инновационной политики Новосибирской области"
исполнение полномочий
Указ Президента Российской Федерации от 01.02.2005 № 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации".
Постановление Губернатора Новосибирской области от 17.03.2014 № 40 "Об утверждении Положения о кадровом резерве на государственной гражданской службе Новосибирской области"
ИС "Выплата единовременного денежного пособия в трехкратном размере средней месячной заработной платы педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций, имеющим стаж педагогической деятельности не менее 25 лет, достигшим возраста 60 лет для мужчин и 55 лет для женщин, при увольнении в связи с выходом на пенсию по старости"
исполнение полномочий
Закон Новосибирской области от 05.07.2013 № 361-ОЗ "О регулировании отношений в сфере образования в Новосибирской области".
Постановление Правительства Новосибирской области от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области".
Постановление Правительства Новосибирской области от 14.04.2014 № 141-п "О Порядке выплаты единовременного денежного пособия педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций при увольнении в связи с выходом на трудовую пенсию по старости".
Приказ министерства образования, науки и инновационной политики Новосибирской области от 20.07.2011 № 1329 "О выплате единовременного денежного пособия педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций при увольнении в связи с выходом на трудовую пенсию по старости".
Приказ министерства образования, науки и инновационной политики Новосибирской области от 01.07.2013 № 1711 "Об утверждении Административного регламента министерства образования, науки и инновационной политики Новосибирской области по предоставлению государственной услуги "Выплата единовременного денежного пособия в трехкратном размере средней месячной заработной платы педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций, имеющим стаж педагогической деятельности не менее 25 лет, достигшим возраста 60 лет для мужчин и 55 лет для женщин, при увольнении в связи с выходом на трудовую пенсию по старости"
ИС "Аттестация в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность, руководителей государственных образовательных организаций Новосибирской области, подведомственных министерству образования, науки и инновационной политики Новосибирской области"
исполнение полномочий
Трудовой кодекс Российской Федерации; Федеральный закон от 29.12.2012 № 273-ФЗ "Об образовании в Российской Федерации".
Постановление Правительства Российской Федерации от 08.08.2013 № 678 "Об утверждении номенклатуры должностей педагогических работников организаций, осуществляющих образовательную деятельность, должностей руководителей образовательных организаций".
Приказ Минздравсоцразвития Российской Федерации от 26.08.2010 № 761н "Об утверждении Единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел "Квалификационные характеристики должностей работников образования".
Приказ Министерства образования и науки Российской Федерации от 07.04.2014 № 276 "Об утверждении Порядка проведения аттестации педагогических работников организаций, осуществляющих образовательную деятельность".
Постановление Правительства Новосибирской области от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области".
Приказ министерства образования, науки инновационной политики Новосибирской области от 31.12.2010 № 2253 "Об утверждении Административного регламента министерства образования, науки и инновационной политики Новосибирской области по предоставлению государственной услуги "Аттестация в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность".
Приказ министерства образования, науки инновационной политики Новосибирской области от 25.08.2015 № 9-АК "Об утверждении состава главной аттестационной комиссии министерства образования, науки и инновационной политики Новосибирской области для проведения аттестации в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность на территории Новосибирской области".
Приказ министерства образования, науки, инновационной политики Новосибирской области от 17.01.2012 № 27-АК "Об утверждении Положения о порядке аттестации руководителей государственных образовательных организаций Новосибирской области и иных государственных организаций Новосибирской области, осуществляющих обеспечение образовательной деятельности, находящихся в ведении министерства образования, науки и инновационной политики Новосибирской области".
Приказ министерства образования, науки, инновационной политики Новосибирской области от 02.10.2013 № 50-АК "Об аттестации руководителей государственных образовательных организаций Новосибирской области и иных государственных организаций Новосибирской области, осуществляющих обеспечение образовательной деятельности, находящихся в ведении министерства образования, науки и инновационной политики Новосибирской области"
ИС "Конкурс на получение денежного поощрения лучшими учителями"
исполнение полномочий
Указ Президента Российской Федерации от 28.01.2010 № 117 "О денежном поощрении лучших учителей".
Постановление Правительства Российской Федерации от 15.04.2014 № 295 "Об утверждении государственной программы Российской Федерации "Развитие образования на 2013 - 2020 годы".
Приказ министерства образования, науки и инновационной политики Новосибирской области "Об итогах конкурса на получение денежного поощрения лучшими учителями" (ежегодно).
Приказ министерства образования и науки Российской Федерации от 06.04.2015 № 362 "Об утверждении Правил проведения конкурса на получение денежного поощрения лучшими учителями"
ИС "Премия Правительства Новосибирской области "Лучший педагогический работник Новосибирской области"
исполнение полномочий
Постановление Правительства Новосибирской области "Об учреждении премии "Лучший педагогический работник Новосибирской области" от 14.04.2014 № 140-п.
Распоряжение Правительства Новосибирской области "О награждении премией "Лучший педагогический работник Новосибирской области" (ежегодно)
ИС "Почетный работник образования Новосибирской области"
исполнение полномочий
Постановление Правительства Новосибирской области от 12.09.2011 № 399-п "Об учреждении премии "Почетный работник образования Новосибирской области".
Распоряжение Правительства Новосибирской области "О награждении премией "Почетный работник образования Новосибирской области" (ежегодно)
ИС "Бухгалтерия"
исполнение полномочий
Постановление Губернатора Новосибирской области от 26.05.2010 № 162 "О министерстве образования, науки и инновационной политики Новосибирской области".
Постановление Правительства Новосибирской области от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области"
ИС "Персональные данные руководителей образовательных организаций для прохождения процедуры аккредитации образовательных организаций. Архив"
исполнение полномочий
Приказ Министерства образования и науки Российской Федерации от 07.04.2014 № 275 "Об утверждении Порядка приобретения, учета, хранения и заполнения бланков свидетельства о государственной аккредитации, временного свидетельства о государственной аккредитации и приложений к ним"
ИС "Персональные данные учредителей негосударственных и частных образовательных организаций для проведения процедуры лицензирования образовательных организаций. Архив"
исполнение полномочий
Федеральный закон от 04.05.2011 № 99-ФЗ "О лицензировании отдельных видов деятельности".
Постановление Правительства Российской Федерации от 28.10.2013 № 966 "О лицензировании образовательной деятельности"
ИС "Персональные данные экспертов, привлекаемых к проведению мероприятий по контролю в области образования"
исполнение полномочий
Постановление Правительства Российской Федерации от 10.07.2014 № 636 "Об аттестации экспертов, привлекаемых органами, уполномоченными на осуществление государственного контроля (надзора), органами муниципального контроля, к проведению мероприятий по контролю"
ИС "Обращения граждан"
исполнение полномочий
Федеральный закон от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".
Постановление Губернатора Новосибирской области от 20.10.2011 № 275 "Об утверждении Инструкции о порядке организации работы с обращениями граждан"
ИС "Победители и призеры приоритетного национального проекта "Образование" по поддержке талантливой молодежи"
исполнение полномочий
Указ Президента Российской Федерации от 06.04.2006 № 325 "О мерах государственной поддержки талантливой молодежи".
Постановление Правительства Российской Федерации от 27.05.2006 № 311 "О премиях для поддержки талантливой молодежи".
Постановление Губернатора Новосибирской области от 04.08.2008 № 304 "Об учреждении стипендии Губернатора Новосибирской области студентам из числа победителей (призеров) заключительного этапа Всероссийской олимпиады школьников по общеобразовательным программам среднего (полного) общего образования, поступивших в высшие учебные заведения Новосибирской области".
Приказ Министерства образования и науки Российской Федерации от 28.02.2008 № 74 "Об утверждении правил присуждения премий для поддержки талантливой молодежи и порядка выплаты указанных премий"
ИС "Персональные данные обладателей документов и заявителей для предоставления государственной услуги по подтверждению документов об образовании, об ученой степени и ученых званиях"
исполнение полномочий
Постановление Правительства Российской Федерации от 20.07.2013 № 611 "Об утверждении правил подтверждения документов об образовании и (или) о квалификации".
Постановление Правительства Российской Федерации от 27.02.2014 № 152 "Об утверждении правил подтверждения документов об ученых степенях, ученых званиях"
ИС "Персональные данные экспертов, привлекаемых к аккредитационной экспертизе"
исполнение полномочий
Приказ Министерства образования и науки Российской Федерации от 20.05.2014 № 556 "Об утверждении квалификационных требований к экспертам, требований к экспертным организациям, порядка их аккредитации, в том числе порядка ведения реестра экспертов и экспертных организаций, порядка отбора экспертов и экспертных организаций для проведения аккредитационной экспертизы"
ИС "Персональные данные экспертов и членов главной аттестационной комиссии министерства по аттестации в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность"
исполнение полномочий
Приказ Минобрнауки России от 07.04.2014 № 276 "Об утверждении Порядка проведения аттестации педагогических работников организаций, осуществляющих образовательную деятельность".
Постановление Правительства НСО от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области".
Приказ Минобрнауки Новосибирской области от 31.12.2010 № 2253 "Об утверждении Административного регламента министерства образования, науки и инновационной политики Новосибирской области по предоставлению государственной услуги "Аттестация в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность".
Приказ министерства образования, науки и инновационной политики Новосибирской области от 25.08.2015 № 9-АК "Об утверждении состава главной аттестационной комиссии министерства образования, науки и инновационной политики Новосибирской области для проведения аттестации в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность на территории Новосибирской области"
ИС "Персональные данные членов совета руководителей общеобразовательных организаций по вопросам общего образования при министерстве образования, науки и инновационной политики"
исполнение полномочий
Постановление Правительства Новосибирской области от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области".
Приказ Минобрнауки Новосибирской области от 26.11.2014 № 2518 "О совете руководителей общеобразовательных организаций по вопросам общего образования"
ИС "Персональные данные членов Ассоциации молодых педагогов Новосибирской области"
исполнение полномочий
Постановление Правительства Новосибирской области от 12.08.2015 № 299-п "Об утверждении Положения о министерстве образования, науки и инновационной политики Новосибирской области"
2. Состав информационной системы.
Основными элементами ИСПДн являются:
1) персональные данные, содержащиеся в базах данных;
2) технические средства ИСПДн, осуществляющие обработку ПДн (СВТ, компоненты ЛВС, средства и системы передачи, приема и обработки ПДн);
3) программные средства (ОС, общесистемное и прикладное ПО).
ИСПДн Минобрнауки Новосибирской области представляет ЛВС размещенную по адресам:
а) г. Новосибирск, Красный проспект, д. 18, кабинеты № 12, 65, 609, 610а, 610б, 612, 626, 628, 641, 643;
б) г. Новосибирск, ул. Блюхера, д. 40, кабинеты № 103, 104, 207, 213, 214, 215;
в) г. Новосибирск, ул. Мичурина, д. 19, кабинеты № 201, 202, 207, 208.
3. Используемые программные средства.
Обработка ПДн производится с использованием ПО MS Office на базе ОС Microsoft Wi№dows 7 (SP1) в редакции "Корпоративная", 1С-Предприятие.
4. Источники данных.
Источниками данных являются заявления с ПДн и сведения, получаемые по запросу Минобрнауки Новосибирской области, об иностранных студентах.
5. Пользователи информационной системы.
Пользователями ИСПДн являются:
1) администратор ИСПДн;
2) администратор ИБ;
3) пользователи ИСПДн.
6. Правила доступа к техническим средствам и информационным ресурсам ИСПДн.
Контролируемой зоной (КЗ) ИСПДн является часть кабинетов на шестых этажах по адресу: Красный проспект, д. 18, часть кабинетов на первом и втором этажах по адресу: ул. Блюхера, д. 40, второй этаж здания по адресу: ул. Мичурина, д. 19. В КЗ находятся рабочие места пользователей. Вне КЗ находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.
Вход в здания осуществляется через главный вход с пропускным режимом и контролируется круглосуточно службой охраны.
В кабинетах имеется пожарная сигнализация. Кабинеты закрываются на ключ, сдается на вахту. На окнах жалюзи или шторы.
Разграничение прав доступа к техническим средствам ИСПДн и установление полномочий реализуется на основе принятых ролевых моделей, принципов разделения обязанностей и минимизации полномочий с использованием средств аутентификации и авторизации. Зарегистрированный пользователь получает логин, пароль для входа в ОС. По окончании загрузки компьютера, пользователь получает установленные администратором права доступа к устройствам, каталогам, файлам и программам. Удаление учетной записи пользователя производится администратором ИСПДн и/или администратором ИБ при необходимости выведения пользователя из числа зарегистрированных пользователей ИСПДн.
Разграничение прав доступа к информационным ресурсам ИСПДн (защищаемой информации) осуществляется по группам пользователей, указанных в пункте 5 настоящего описания.
II. Обработка информации
7. Получение ПДн и начало сеанса работы в ИСПДн на рабочей станции.
Персональные данные (ПДн) поступают непосредственно от субъекта ПДн или по запросу.
Перед началом сеанса работы пользователи включают ПЭВМ и проходят процедуру аутентификации при входе в OC Wi№dows, введя логин и пароль. По окончании загрузки ПЭВМ, каждый пользователь получает установленные администратором права доступа к устройствам, программам, каталогам и файлам ПЭВМ.
8. Завершение работ на рабочих станциях.
После завершения работы пользователь ИСПДн выполняет одно из следующих действий:
1) выключает компьютер в случае, если не планируется дальнейшая обработка информации;
2) перегружает компьютер, если необходимо завершить текущий сеанс работы пользователя ИСПДн;
3) при оставлении рабочего места производит выход из ИСПДн и блокировку ПЭВМ, путем нажатия комбинации клавиш Ctrl-Alt-Del и выбора в диалоговом окне кнопки "Блокировать". Разблокирование ПЭВМ производится путем ввода пароля пользователя, который был создан при регистрации.
III. Взаимодействие с сетями связи
9. ИСПДн строится на базе ЛВС с динамической адресацией, топологией "звезда". Коммуникационное оборудование и точки соединения расположены за пределами контролируемой зоны.
IV. Обеспечение информационной безопасности
10. В ИСПДн установлены следующие СЗИ:
1) СКЗИ и МЭ ПК ViP№et Clie№t 3.2.
Сертификат соответствия ФСБ России № СФ/124-2796 RU.0001.030001 удостоверяет, что изделие "Программный комплекс ViP№et Clie№t 3.2" (варианты исполнения 1, 2) в комплектации согласно формуляру ФРКЕ.00004-05 30 01 ФО соответствует требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС1 (для варианта исполнения 1) и класса КС2 (для варианта исполнения 2) и может использоваться для криптографической защиты (шифрование файлов, данных, содержащихся в областях оперативной памяти, и IP-трафика, вычисление лимитов ставки для файлов, данных, содержащихся в областях оперативной памяти, и IP-трафика, вычисление значения хеш-функции для файлов и данных, содержащихся в областях оперативной памяти) информации, не содержащей сведений, составляющих государственную тайну.
РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) - по 3 классу защищенности (СВТ3).
РД "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню недекларированных возможностей" (Гостехкомиссия России, 1999) - по 3 уровню контроля (НДВ3).
РД "Безопасность информационных технологий" - как оценочный уровень доверия ОУД4+.
2) Средство АВЗ:
а) "Kaspersky E№dpoi№t Security 10 для Wi№dows".
Сертификат соответствия ФСТЭК России № 3025, действителен до 25.11.2019, удостоверяет, что программное изделие "Kaspersky E№dpoi№t Security 10 для Wi№dows" является средством АВЗ информации и соответствует требованиям документов;
б) программное изделие "Антивирус Касперского 8.0 для Wi№dows Servers E№terprise Editio№".
Сертификат соответствия ФСТЭК России № 2484, действителен до 18.11.2017, удостоверяет, что программное изделие "Антивирус Касперского 8.0 для Wi№dows Servers E№terprise Editio№" является средством АВЗ информации и соответствует требованиям документов;
в) программное изделие "Kaspersky E№dpoi№t Security 8 для Wi№dows".
Сертификат соответствия ФСТЭК России № 2682, действителен до 26.07.2018, удостоверяет, что программное изделие "Kaspersky E№dpoi№t Security 8 для Wi№dows" является средством АВЗ информации и соответствует требованиям документов.
3) СЗИ от НСД:
а) операционная система Microsoft Wi№dows Server 2008 R2 (SP1) в редакциях Sta№dard.
Сертификат соответствия ФСТЭК России № 2181/1, действителен до 13.10.2017, удостоверяет, что операционная система Microsoft Wi№dows Server 2008 R2 (SP1) в редакциях Sta№dard соответствует требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) по 5 классу защищенности и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно;
б) операционная система Microsoft Wi№dows 7 (SP1) в редакциях "Корпоративная".
Сертификат соответствия ФСТЭК России № 2180/1, действителен до 04.10.2017, удостоверяет, что операционная система Microsoft Wi№dows 7 (SP1) в редакциях "Корпоративная" является СЗИ от НСД и соответствует требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) по 5 классу защищенности и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.
4) Средство анализа защищенности "Сетевой сканер безопасности XSpider 7.8.24".
Сертификат соответствия ФСТЭК России № 3247 RU.0001.01БИ00 от 24.10.2014 удостоверяет, что "Сетевой сканер безопасности XSpider 7.8.24" является средством анализа защищенности и обнаружения уязвимостей АС и СВТ, обрабатывающих информацию, не содержащую сведений, составляющих государственную тайну, и соответствует техническим условиям и требованиям РД:
"Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 4 уровню контроля (НДВ4).
Контроль над функционированием СЗИ осуществляется администратором ИБ.
Применяемые сокращения:
АРМ
-
автоматизированное рабочее место
ИБ
-
информационная безопасность
ИСПДн
-
информационная система персональных данных
КЗ
-
контролируемая зона
ЛВС
-
локально-вычислительная сеть
НДВ
-
недокументированные (недекларированные) возможности
ОС
-
операционная система
ПДн
-
персональные данные
ПО
-
программное обеспечение
ПЭВМ
-
персональная электронно-вычислительная машина
СВТ
-
средства вычислительной техники
СЗИ
-
средства защиты информации
СЗПДн
-
система защиты персональных данных
ФИС ГИА
-
федеральная информационная система обеспечения проведения государственной итоговой аттестации
ФИС ФРДО
-
федеральная информационная система "Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении"
Утверждена
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
ИНСТРУКЦИЯ
ПО КОНТРОЛЮ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящая Инструкция регламентирует контроль уровня защищенности персональных данных (далее - ПДн), обрабатываемых в информационных системах персональных данных (далее - ИСПДн) министерства образования, науки и инновационной политики Новосибирской области (далее - Минобрнауки Новосибирской области), путем проведения систематических мероприятий по анализу защищенности ИСПДн и тестированию работоспособности системы защиты информации.
II. Выявление, анализ и устранение уязвимостей
информационной системы персональных данных
2. В ИСПДн Минобрнауки Новосибирской области при выявлении (поиске), анализе и устранении уязвимостей проводятся:
1) выявление (поиск) уязвимостей, связанных с ошибками кода в программном (микропрограммном) обеспечении (общесистемном, прикладном, специальном), а также программном обеспечении средств защиты информации, правильностью установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректностью работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;
2) разработка по результатам выявления (поиска) уязвимостей отчетов с описанием выявленных уязвимостей и планом мероприятий по их устранению;
3) анализ отчетов с результатами поиска уязвимостей и оценки достаточности реализованных мер защиты информации;
4) устранение выявленных уязвимостей, в том числе путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств;
5) информирование должностных лиц Минобрнауки Новосибирской области (оператора) (пользователей, администраторов) о результатах поиска уязвимостей и оценки достаточности реализованных мер защиты информации.
3. В качестве источников информации об уязвимостях используются опубликованные данные разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств, а также другие базы данных уязвимостей.
4. Выявление (поиск), анализ и устранение уязвимостей проводится на этапах создания и эксплуатации информационной системы. На этапе эксплуатации поиск и анализ уязвимостей проводится администраторами не реже одного раза в месяц. При этом в обязательном порядке для критических уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в ИСПДн Минобрнауки Новосибирской области.
5. В случае невозможности устранения выявленных уязвимостей путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств необходимо предпринять действия (настройки средств защиты информации, изменение режима и порядка использования ИСПДн Минобрнауки Новосибирской области), направленные на устранение возможности использования выявленных уязвимостей.
6. В ИСПДн Минобрнауки Новосибирской области используются для выявления (поиска) уязвимостей средства анализа (контроля) защищенности (сканеры безопасности), имеющие стандартизованные (унифицированные) в соответствии с национальными стандартами описание и перечни программно-аппаратных платформ, уязвимостей программного обеспечения, ошибочных конфигураций, правил описания уязвимостей, проверочных списков, процедур тестирования и языка тестирования информационной системы на наличие уязвимостей, оценки последствий уязвимостей, имеющие возможность оперативного обновления базы данных выявляемых уязвимостей.
7. В ИСПДн Минобрнауки Новосибирской области осуществляется получение из доверенных источников и установка обновлений базы признаков уязвимостей (для системы анализа защищенности).
8. Доступ к функциям выявления (поиска) уязвимостей предоставляется только администратору информационной безопасности. Администратор информационной безопасности проводит анализ журналов регистрации событий безопасности (журнала аудита) в целях определения, были ли выявленные уязвимости ранее использованы в ИСПДн Минобрнауки Новосибирской области для нарушения безопасности информации.
III. Контроль установки обновлений программного обеспечения,
включая программное обеспечение средств защиты информации
9. В ИСПДн Минобрнауки Новосибирской области администратором в рамках своих полномочий осуществляется контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации и программное обеспечение базовой системы ввода-вывода.
10. В ИСПДн Минобрнауки Новосибирской области администратором в рамках своих полномочий осуществляется получение из доверенных источников и установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации и программное обеспечение базовой системы ввода-вывода.
11. При контроле установки обновлений осуществляются проверки соответствия версий общесистемного, прикладного и специального программного (микропрограммного) обеспечения, включая программное обеспечение средств защиты информации, установленного в ИСПДн Минобрнауки Новосибирской области и выпущенного разработчиком, а также наличие отметок в эксплуатационной документации (формуляр или паспорт) об установке (применении) обновлений.
12. Контроль установки обновлений проводится не реже одного раза в месяц.
13. При контроле установки обновлений осуществляются проверки установки обновлений баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты в соответствии с Инструкцией по антивирусной защите в ИСПДн Минобрнауки Новосибирской области, баз признаков уязвимостей средств анализа защищенности и иных баз данных, необходимых для реализации функций безопасности средств защиты информации.
IV. Контроль работоспособности, параметров настройки
и правильности функционирования программного
обеспечения и средств защиты информации
14. При контроле работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации, осуществляется:
1) контроль работоспособности (неотключения) программного обеспечения и средств защиты информации;
2) проверка правильности функционирования (тестирование на тестовых данных, приводящих к известному результату) программного обеспечения и средств защиты информации;
3) контроль соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации;
4) восстановление работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов.
15. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации проводится администраторами в рамках своих полномочий не реже одного раза в три месяца.
V. Контроль состава технических средств, программного
обеспечения и средств защиты информации
16. При контроле состава технических средств, программного обеспечения и средств защиты информации (инвентаризации) осуществляется:
1) контроль соответствия состава технических средств, программного обеспечения и средств защиты информации приведенному в эксплуатационной документации с целью поддержания актуальной (установленной в соответствии с эксплуатационной документацией) конфигурации ИСПДн Минобрнауки Новосибирской области и принятие мер, направленных на устранение выявленных недостатков;
2) контроль состава технических средств, программного обеспечения и средств защиты информации на соответствие сведениям действующей (актуализированной) эксплуатационной документации и принятие мер, направленных на устранение выявленных недостатков;
3) контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков;
4) исключение (восстановление) из состава ИСПДн Минобрнауки Новосибирской области несанкционированно установленных (удаленных) технических средств, программного обеспечения и средств защиты информации.
17. Контроль состава технических средств, программного обеспечения и средств защиты информации проводится администраторами в рамках своих полномочий не реже одного раза в месяц.
Утверждена
приказом
Минобрнауки
Новосибирской области
от 27 февраля 2017 г. № 408
Форма
ЖУРНАЛ
хранилищ (сейфов) для хранения средств криптографической
защиты информации, эксплуатационной и технической
документации к ним, ключевых документов
№ п/п
Наименование хранилища (сейф, металлический шкаф)
Инвентарный номер
Местонахождение (подразделение, номер комнаты)
Что находится (документы, изделия)
Ф.И.О. ответственного за хранилище (сейф, шкаф)
Количество комплектов ключей и их номера
Подпись ответственного за хранилище
1
2
3
4
7
8
9
10
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 14.02.2019 |
| Рубрики правового классификатора: | 020.010.050 Органы исполнительной власти субъектов Российской Федерации, 130.010.000 Образование (см. также 200.160.040) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
