Документ предоставлен КонсультантПлюс
КОМИТЕТ ОБРАЗОВАНИЯ ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ
ПРИКАЗ
от 12 сентября 2014 г. N 541
О МЕРАХ, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с Федеральным законом Российской Федерации от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
ПРИКАЗЫВАЮ:
1. Утвердить:
- Положение о разрешительной системе допуска к информационным ресурсам, содержащим персональные данные, в комитете образования Еврейской автономной области согласно приложению N 1 к настоящему приказу;
- Порядок резервирования и восстановления баз данных и программного обеспечения в комитете образования Еврейской автономной области согласно приложению N 2 к настоящему приказу;
- Положение об обработке персональных данных в комитете образования Еврейской автономной области согласно приложению N 3 к настоящему приказу;
- Перечень сведений персональных данных, обрабатываемых в комитете образования Еврейской автономной области в связи с реализацией трудовых отношений, а также в связи с осуществлением государственных функций, согласно приложению N 4 к настоящему приказу;
- Инструкцию пользователя автоматизированной системы персональных данных, установленной в комитете образования Еврейской автономной области, согласно приложению N 5 к настоящему приказу;
- Акт приема-передачи документов (иных материальных носителей), содержащих персональные данные государственного гражданского служащего (работника, замещающего должность, не являющуюся должностью гражданской службы) комитета образования Еврейской автономной области, согласно приложению N 6 к настоящему приказу;
- форму Согласия государственного гражданского служащего (работника, замещающего должность, не являющуюся должностью гражданской службы) комитета образования Еврейской автономной области на обработку его персональных данных согласно приложению N 7 к настоящему приказу;
- форму Согласия государственного гражданского служащего (работника, замещающего должность, не являющуюся должностью гражданской службы) комитета образования Еврейской автономной области на получение его персональных данных у третьей стороны согласно приложению N 8 к настоящему приказу;
- форму Согласия государственного гражданского служащего (работника, замещающего должность, не являющуюся должностью гражданской службы) комитета образования Еврейской автономной области на передачу его персональных данных третьей стороне согласно приложению N 9 к настоящему приказу;
- форму Обязательства государственного гражданского служащего (работника, замещающего должность, не являющуюся должностью гражданской службы) органа исполнительной власти или местного самоуправления о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки согласно приложению N 10 к настоящему приказу.
2. Контроль за исполнением приказа возложить на первого заместителя председателя комитета образования Хромову Т.А.
3. Настоящий приказ вступает в силу со дня его опубликования.
Председатель комитета
Т.М.ПЧЕЛКИНА
Приложение N 1
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 N 541
ПОЛОЖЕНИЕ
О РАЗРЕШИТЕЛЬНОЙ СИСТЕМЕ ДОПУСКА К ИНФОРМАЦИОННЫМ РЕСУРСАМ,
СОДЕРЖАЩИМ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, В КОМИТЕТЕ ОБРАЗОВАНИЯ
ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ
1. Общие положения
1.1. Положение о разрешительной системе допуска к информационным ресурсам, содержащим персональные данные (далее - Положение), в комитете образования Еврейской автономной области разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и другими нормативными документами.
1.2. Разрешительная система допуска к информационным ресурсам Комитета представляет собой совокупность процедур оформления допуска субъектов к информационным ресурсам (далее - объекты допуска) комитета образования Еврейской автономной области и ответственных лиц, осуществляющих реализацию этих процедур.
1.3. Объектами допуска являются:
- документированная информация на бумажных носителях в виде отдельных документов или дел;
- информационные ресурсы в автоматизированных системах в виде баз данных, библиотек, архивов и на машинных носителях.
1.4. Субъектами допуска являются:
- сотрудники комитета образования Еврейской автономной области;
- юридические и физические лица, действующие на основании заключенных договоров или на других основаниях в рамках действующего законодательства.
1.5. Субъекты допуска несут персональную ответственность за соблюдение ими установленного в комитете образования Еврейской автономной области порядка обеспечения защиты информационных ресурсов.
1.6. Ответственными лицами комитета образования Еврейской автономной области, осуществляющими реализацию процедур оформления субъектов на допуск к информационным ресурсам, являются:
- Пчелкина Т.М. - председатель комитета;
- Дерябина И.Н. - ответственный за информационную безопасность.
2. Термины и определения
2.1. Информационная система (далее - ИС) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
2.2. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.3. Администратор ИС - лицо, ответственное за функционирование ИС в установленном штатном режиме работы.
2.4. Администратор безопасности - должностное лицо, ответственное за обеспечение безопасности информации, в том числе персональных данных, обрабатываемой в информационных системах персональных данных (далее - ИСПДн) комитета образования Еврейской автономной области.
2.5. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.6. Документ - материальный носитель с зафиксированной на нем в любой форме информацией в виде текста, звукозаписи, изображения и (или) их сочетания, который имеет реквизиты, позволяющие его идентифицировать, и предназначен для передачи во времени и в пространстве в целях общественного использования и хранения.
2.7. Допуск к информации - возможность получения информации и ее использования.
2.8. Информационная система персональных данных - совокупность содержащейся в базах данных персональных данных и обеспечивающих ее обработку информационных технологий и технических средств.
2.9. Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов.
2.10. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
2.11. Матрица допуска - таблица, отображающая правила разграничения доступа к информации ограниченного доступа (персональным данным).
2.12. Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам.
2.13. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.14. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.15. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.16. Правила разграничения допуска - совокупность правил, регламентирующих права допуска субъектов допуска к объектам допуска.
2.17. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.18. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.19. Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
2.20. Субъект допуска (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения допуска.
2.21. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.22. ЛВС - локально-вычислительная сеть, в которую включены персональные компьютеры комитета образования Еврейской автономной области, обеспечивающая единое информационное пространство.
3. Порядок формирования информационных ресурсов Комитета
3.1. Порядок формирования информационных ресурсов на бумажных носителях.
3.1.1. Формирование информационных ресурсов на бумажных носителях осуществляется в структурных подразделениях комитета образования Еврейской автономной области в соответствии с постановлением губернатора ЕАО от 28.09.2012 N 237 "Об утверждении Инструкции по делопроизводству в аппарате губернатора и правительства Еврейской автономной области и органах исполнительной власти Еврейской автономной области, формируемых правительством Еврейской автономной области".
3.2. Порядок формирования информационных ресурсов в ИС.
3.2.1. Информационные ресурсы, формируемые в ИС, подразделяются на:
- сетевые ресурсы с допуском одной группы пользователей (ресурсы структурного подразделения комитета образования Еврейской автономной области);
- ресурсы пользователя.
3.2.2. Общедоступные информационные ресурсы и информационные ресурсы, содержащие персональные данные, формируются в ИС.
3.2.3. Решение о формировании новых информационных ресурсов принимает руководитель структурного подразделения комитета образования Еврейской автономной области, инициирующий это решение.
3.2.4. В служебной записке на имя председателя комитета образования Еврейской автономной области начальник структурного подразделения комитета образования Еврейской автономной области обосновывает необходимость создания нового информационного ресурса и указывает, в интересах каких групп пользователей информационные ресурсы создаются.
3.2.5. Непосредственное формирование нового сетевого информационного ресурса осуществляет администратор ИС. На исполненной служебной записке администратор ИС проставляет отметку о создании и местонахождении информационного ресурса.
3.2.6. Исполненная администратором ИС служебная записка передается администратору безопасности, который вносит изменения и дополнения в "Матрицу допуска к информационным ресурсам ИС" и в "Перечень информационных ресурсов, содержащих персональные данные, подлежащих защите в ИС".
4. Допуск к информационным ресурсам сотрудников Комитета
4.1. Допуск сотрудников к информационным ресурсам, содержащим персональные данные, осуществляется в объеме, необходимом для выполнения ими должностных обязанностей.
4.2. Процедура оформления допуска к информационным ресурсам, содержащим персональные данные, включает в себя:
4.2.1. Оформление заявки администратору ИС, которая представляется руководителем структурного подразделения комитета образования Еврейской автономной области, согласованной вышестоящим руководителем. В заявке указывается наименование информационного ресурса и уровень допуска к данному ресурсу конкретного сотрудника комитета образования Еврейской автономной области.
4.2.2. Проверку администратором информационной безопасности на соответствие требуемых прав допуска с реально необходимыми для выполнения должностных (функциональных) обязанностей данного сотрудника комитета образования Еврейской автономной области. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в локальной вычислительной сети ИС администратором ИС.
4.2.3. Изучение сотрудником Инструкции пользователя при обращении с персональными данными комитета образования Еврейской автономной области и правил их обработки.
5. Допуск к информационным ресурсам комитета образования Еврейской автономной области сторонних организаций, деятельность которых не связана с использованием функций комитета образования Еврейской автономной области.
5.1. К организациям, деятельность которых не связана с исполнением функций комитета образования Еврейской автономной области:
правоохранительные органы;
судебные органы;
органы статистики;
органы исполнительной и законодательной власти субъектов Российской Федерации;
средства массовой информации.
5.2. Допуск к информационным ресурсам комитета образования Еврейской автономной области сторонних организаций, деятельность которых не связана с исполнением функций комитета образования Еврейской автономной области, регламентируется законодательством Российской Федерации, договорами и соглашениями об информационном обмене и другими нормативными актами.
6. Допуск к информационным ресурсам комитета образования Еврейской автономной области сторонних организаций, выполняющих работы в комитете образования Еврейской автономной области на договорной основе
6.1. К организациям, выполняющим работы на договорной основе, могут относиться:
организации, осуществляющие монтаж и настройку АС, сопровождение программно-прикладного обеспечения и технических средств;
организации, оказывающие услуги в области защиты информации (проведение специальных проверок и исследований, монтаж и настройка средств защиты информации, аттестация объектов информатизации и т.п.);
организации, осуществляющие поставку товаров для обеспечения повседневной деятельности (оргтехники, расходных материалов и т.п.);
организации и частные лица, оказывающие иные услуги (информационно-техническое обеспечение, обучение и т.п.).
6.2. Порядок допуска определяется в договоре на выполнение работ или оказание услуг.
6.3. Решением о допуске является подписанный в установленном действующим законодательством порядке договор на выполнение работ или оказание услуг.
7. Допуск к информационным ресурсам комитета образования Еврейской автономной области подведомственных учреждений, деятельность которых связана с использованием функций комитета образования Еврейской автономной области
7.1. Допуск к информационным ресурсам комитета образования Еврейской автономной области подведомственных учреждений, деятельность которых связана с исполнением функций комитета образования Еврейской автономной области, регламентируется законодательством Российской Федерации, договорами и соглашениями об информационном обмене и другими нормативно-правовыми актами.
8. Допуск к информационным ресурсам комитета образования Еврейской автономной области
8.1. Допуск государственных гражданских служащих (сотрудников) комитета образования Еврейской автономной области к информационным ресурсам, содержащим персональные данные на бумажных носителях, осуществляется в соответствии с Перечнем должностей служащих, допущенных к обработке сведений персональных данных в комитете образования Еврейской автономной области, утвержденным приказом комитета образования Еврейской автономной области, на основании должностного регламента и осуществляется в соответствии с Положением об обработке персональных данных комитета образования Еврейской автономной области.
8.2. Допуск государственных гражданских служащих (сотрудников) комитета образования Еврейской автономной области к информационным ресурсам, содержащим персональные данные на электронных носителях, осуществляется в соответствии с Перечнем должностей служащих, допущенных к обработке сведений персональных данных в комитета образования Еврейской автономной области, утвержденным приказом Комитета, на основании должностного регламента и осуществляется в соответствии с Положением об обработке персональных данных комитета образования Еврейской автономной области, а также установленным на рабочем месте программным обеспечением.
8.3. Допуск сторонних организаций к информационным ресурсам комитета образования Еврейской автономной области регламентируется федеральными законами, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение информации, а также настоящим Положением и осуществляется на основании:
- письменных запросов;
- письменных соглашений (договоров) сторон об обмене информацией.
8.4. В письменном запросе (договоре) указывается:
- для каких целей необходима информация;
- ее конкретное наименование;
- способ доступа (предоставления).
Основанием для допуска к информации служит резолюция председателя комитета образования Еврейской автономной области на письменном запросе.
8.5. При наличии официального соглашения со сторонней организацией о допуске к информации комитета образования Еврейской автономной области допуск к ней осуществляется в порядке, указанном в подписанном соглашении (договоре).
8.6. Запрещается передача электронных копий баз данных любым сторонним организациям.
8.7. Проведение подрядной организацией технических работ на оборудовании комитета образования Еврейской автономной области с установленными ИСПДн, присутствие администратора информационной безопасности обязательно.
9. Допуск к информационным ресурсам комитета образования Еврейской автономной области сторонних организаций, выполняющих работы на договорной основе
9.1. Допуск к информационным ресурсам комитета образования Еврейской автономной области сторонних организаций, выполняющих работы на договорной основе, осуществляется на основании заключенного в соответствии с действующим законодательством договора на оказание услуг, а также настоящего Положения.
9.2. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений. Со всеми работниками сторонней организации, участвующими в выполнении работ, в этом случае заказчиком оформляется подписка о неразглашении таких сведений.
10. Допуск к информационным ресурсам ИС комитета образования Еврейской автономной области
Правила и процедуры допуска к информационным ресурсам ИС комитета образования Еврейской автономной области определяются следующей политикой безопасности для ИС.
10.1. Администрирование прав доступа к информации в ИС производится администратором ИС:
10.1.1. С целью ограничения доступа к информационным ресурсам ИС комитета образования Еврейской автономной области установлена единая система паролирования.
10.1.2. Система паролирования включает в себя следующие основные пароли: системный пароль, пользовательский пароль, сетевой пароль (личный пароль работника), личный пароль входа в программу (базу данных).
10.1.3. Системный пароль и пользовательский пароль устанавливаются системным администратором с целью пресечения попытки несанкционированного изменения конфигурации загрузки и включения компьютера. Пользовательский пароль доводится государственному гражданскому служащему или работнику комитета образования Еврейской автономной области, замещающему должность, не являющуюся должностью гражданской службы в комитете образования Еврейской автономной области (далее - сотрудник).
10.1.4. Личные пароли сотруднику комитета образования Еврейской автономной области самостоятельно с учетом следующих требований:
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ, слова из словаря и т.д.), а также общепринятые сокращения (ПЭВМ, ЛВС, user, sysadmin и т.д.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем на 6 позиций.
10.1.5. Личный пароль является идентификатором (опознавателем) сотрудника, допущенного к информационным ресурсам ИС, и составляет его секрет.
10.1.6. Полная плановая смена паролей должна проводиться регулярно, не реже одного раза в 3 месяца.
10.1.7. Внеплановая смена (удаление) личного пароля любого сотрудника (пользователя ИС) в случае прекращения его полномочий (увольнение либо переход на другую работу) должна производиться немедленно после окончания последнего сеанса работы данного сотрудника с системой.
10.1.8. Внеплановая полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и другие обстоятельства) администратора информационной безопасности, а также других сотрудников, которым по роду работы были предоставлены либо полномочия по управлению ИС в целом, либо полномочия по управлению подсистемой защиты информации данной ИС, а значит, кроме личного пароля, им могли быть известны пароли других пользователей системы.
10.1.9. В случае компрометации личного пароля хотя бы одного пользователя ИС необходимо немедленно предпринять меры в соответствии с п. 10.1.8 настоящего Положения в зависимости от полномочий владельца скомпрометированного пароля.
10.1.10. Системные пароли и пользовательские пароли в ИС регистрируются в книге паролей. Книга паролей ведется администратором информационной безопасности и хранится в месте, исключающем доступ к ней посторонних лиц.
В случае необходимости пароль рабочей станции может выдаваться под роспись руководителю соответствующего структурного подразделения.
10.1.11. Каждый сотрудник комитета образования Еврейской автономной области, допущенный к информационным ресурсам ИС, получает свое пользовательское (сетевое) имя, которое составляется системным администратором и доводится до пользователя.
10.1.12. Сетевое имя и индивидуальный пароль являются идентификатором (опознавателем) сотрудника, допущенного к информационным ресурсам ИС, и составляют его секрет.
10.1.13. Сотрудник имеет право войти в ИС только с тех рабочих станций, которые были указаны руководителем структурного подразделения комитета образования Еврейской автономной области в заявке при регистрации сотрудника в ЛВС комитета образования Еврейской автономной области.
10.1.14. При входе в ИС сотрудник обязан зарегистрироваться под своим пользовательским именем и набрать индивидуальный пароль, после чего он получает доступ к отведенным для него ресурсам.
10.1.15. Ответственность за уничтожение и изменение информации несет сотрудник, под чьим именем была проведена регистрация.
10.1.16. Все сотрудники комитета образования Еврейской автономной области, допущенные к работе с информационными ресурсами, должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, за разглашение парольной информации и сохранность информации в отведенных ему разделах сервера.
10.2. Доступ к конфигурации компьютеров и ЛВС.
10.2.1. С целью пресечения несанкционированных действий сотрудниками должны выполняться необходимые мероприятия по защите конфигурационных настроек как компьютера, так и локальной сети в целом.
10.2.2. С целью обеспечения функционирования "сетевой политики" в программе начальной загрузки setup должна быть заблокирована возможность загрузки с системной дискеты, CD-ROM или USB-flash накопителя.
10.2.3. Для обеспечения безопасности функционирования ЛВС и данных устанавливаются ограничения для программ настроек сети, защиты системы, блокируется возможность настройки сети сотрудником, скрываются кнопки организации доступа к файлам и принтерам, делаются недоступными средства редактирования реестра, запрещается запуск программ MS-DOS в монопольном режиме, запрещается удаленный доступ к сети и т.д.
10.3. После регистрации пользователя в ИС администратор информационной безопасности вносит изменения в "Матрицу допуска к информационным ресурсам ИС" для последующего контроля прав и полномочий пользователя ИС.
11. Контроль функционирования разрешительной системы допуска к информационным ресурсам комитета образования Еврейской автономной области
11.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам комитета образования Еврейской автономной области организуется в соответствии с:
- приказами председателя комитета образования Еврейской автономной области;
- планом основных мероприятий по защите информации на текущий год;
- функциональными обязанностями должностных лиц.
11.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам комитета образования Еврейской автономной области осуществляется руководителями структурных подразделений комитета образования Еврейской автономной области, администратором информационной безопасности. Организация контроля возлагается на заместителя председателя комитета образования Еврейской автономной области, ответственного за обработку персональных данных в комитете образования Еврейской автономной области.
Приложение N 2
к приказу комитета образования
Еврейской автономной области
от 12.09.2014 N 541
ПОРЯДОК
|
