 ДЕПАРТАМЕНТ ОБЩЕСТВЕННЫХ И ВНЕШНИХ СВЯЗЕЙ
ХАНТЫ-МАНСИЙСКОГО АВТОНОМНОГО ОКРУГА – ЮГРЫ
ПРИКАЗ
Об утверждении инструкций по работе в информационной системе персональных данных «Сотрудники»
г. Ханты-Мансийск
«28» мая 2015г. № 170
В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» в целях обеспечения безопасности информации, обрабатываемой винформационной системе персональных данных «Сотрудники»Департамента общественных и внешних связей Югры
ПРИКАЗЫВАЮ:
-
Утвердить:
-
Инструкцию по выполнению режимных мер и допускукинформационной системе персональных данных«Сотрудники» (приложение 1 к настоящему приказу).
Инструкцию пользователяинформационной системы персональных данных «Сотрудники» в части обеспечения безопасности персональных данных при их обработке винформационной системе персональных данных (приложение 2 к настоящему приказу).
Инструкцию по использованию программных и аппаратных средств защиты информации (приложение 3 к настоящему приказу).
Инструкцию администратора информационной безопасности информационной системы персональных данных «Сотрудники» (приложение 4 к настоящему приказу).
Инструкцию по организации парольной защиты винформационной системе персональных«Сотрудники» (приложение 5 к настоящему приказу).
Инструкцию по проведению антивирусного контроля винформационной системе персональных данных«Сотрудники» (приложение 6 к настоящему приказу).
Инструкцию по работе с инцидентами информационной безопасности (приложение 7 к настоящему приказу).
Инструкцию по установке, модификации, ремонту, техническому обслуживанию и восстановлению работоспособности программного обеспечения и аппаратных средствинформационной системы персональных данных«Сотрудники» (приложение 8 к настоящему приказу).
Инструкцию по резервному копированию и восстановлению данных винформационной системе персональных данных«Сотрудники» (приложение 9к настоящему приказу).
Перечень программного обеспечения, разрешенного к установке винформационной системе персональных данных«Сотрудники» (приложение 10к настоящему приказу).
Организационному отделу Административного управления ознакомить под роспись сотрудников Департамента общественных и внешний связей Югры(приложение 11 к настоящему приказу).
Контроль за исполнением приказа оставляю за собой.
Подписан директором Департамента общественных и внешних связей Югры
Директор Департамента И.А. Верховский
Приложение 1
к приказу Департамента общественных и
внешних связей Югры
от «28» мая 2015 г. № 170
Инструкция по выполнению режимных мер и допуску
кинформационной системе персональных данных«Сотрудники»
Обозначения и сокращения
Департамент – Департамент общественных и внешних связей Югры;
АРМ – автоматизированное рабочее место;
ИС –информационная система персональных данных «Сотрудники»;
ОТСС – основные технические средства и системы;
ПДн – персональные данные;
ПЭВМ – персональная электронно-вычислительная машина;
СВТ – средства вычислительной техники;
СЗИ – средства защиты информации;
СЗПДн – система (подсистема) защиты персональных данных;
УБПДн – угрозы безопасности персональных данным.
-
Общие положения.
Инструкция по выполнению режимных мер и допуску к ИС(далее - Инструкция) предназначена для руководящего составаДепартамента, руководителей структурных подразделений, и регулирует порядок допуска пользователей к работе в ИС.
Правила, устанавливаемые положениями Инструкции обязательны для исполнения.
-
Порядок допуска к ИС и в помещения размещения ОТСС.
Приведённый в инструкции порядок направлен на достижение следующих задач:
допуск к информации, обрабатываемой в ИС строго определённого перечня лиц;
самостоятельный допуск в помещения с установленными в них ОТСС ИС строго определённого перечня лиц;
закрепление за каждым пользователем определённого ему для работы АРМ ИС и определённых ему информационных ресурсов в ИС.
Для выполнения задач, обозначенных в п. 2.1 Инструкции, создаются следующие распорядительные инструменты:
«Перечень лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники». Содержит перечень лиц (ФИО, должность), имеющих право допуска к АРМ ИС. Разрабатывается и актуализируется администратором информационной безопасности в порядке, описанном данной инструкцией. Копия списка вывешивается в каждом помещении размещения ОТСС ИС в целях исключения допуска к работе с АРМ не закреплённых за ними пользователей;
«Перечень лиц, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения ОТСС информационной системы персональных данных «Сотрудники». Содержит сведения о помещениях и перечень лиц (ФИО, должность), имеющих право самостоятельного доступа в помещение, снятия помещения с охраны и получения ключей от него. Готовится и поддерживается в актуальном состоянии администратором информационной безопасности.
Все указанные документы утверждаются директором.
Для работы в ИС каждый пользователь должен получить соответствующий допуск. Под допуском к ИС понимается возможность самостоятельного доступа пользователя к средствам информатизации ИС. Право допуска предоставляется пользователю только после включения его в «Перечень лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники».
Устные указания кого бы то ни было об установлении права доступа пользователю к ИС либо об изменении его прав доступа не имеют юридической силы и необязательны для исполнения. Сотрудники Департамента и администратор информационной безопасности не могут быть наказаны за невыполнение подобного указания от вышестоящего руководителя.
Процедура получения (лишения прав) соответствующего права допуска пользователя для сотрудника Департамента инициируется заявкой начальника отдела, в котором числится сотрудник в адрес директора. (Приложение 1), только после назначения сотрудника на должность приказом, и подписания новым сотрудником обязательства о неразглашении персональных данных (Приложение 2). Подписание и хранение обязательства о неразглашении персональных данных в личном деле организовывается сотрудниками отдела правовой и кадровой работы.
Директор передает заявку администратору информационной безопасности.
Администратор информационной безопасности:
Вносит соответствующие изменения в «Перечень лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники» и «Разрешительную систему доступа персонала к сведениям конфиденциального характерав информационной системе персональных данных «Сотрудники».
Обновлённый «Перечень лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники» и «Разрешительная система доступа персонала к сведениям конфиденциального характерав информационной системе персональных данных «Сотрудники»представляется на утверждение директору.
После утверждения указанных документов администратор информационной безопасности обеспечивает:
Регистрацию (удаление) персонального имени (учетная запись пользователя) и пароля, под которым пользователь регистрируется и работает в системе в соответствии с «Инструкцией по организации парольной защиты винформационной системе персональных данных «Сотрудники»;
Внесение необходимых изменений администратором сети, серверов, баз данных в списки пользователей соответствующих подсистем и СУБД;
Настройку средств защиты и программного обеспечения АРМ пользователя, соответствующим категориям защиты.
Заявки хранятся у администратора информационной безопасности.
Обновлённый «Перечень лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники» рассылается администратором информационной безопасности заинтересованнымсотрудникам Департамента.
Начальник отдела, в котором числится пользователь, контролирует внесение изменений в должностные инструкции пользователя и допускает сотрудника к работе в ИС. Директором утверждаются необходимые изменения в «Перечень лиц, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения ОТСС информационной системы персональных данных «Сотрудники».
При исключении пользователя ИС из «Перечня лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники»руководителю отдела, в котором числится пользователь, необходимо направлять заявку в адрес директора до момента объявления пользователю о лишении его прав на допуск к ИС. Обязательным является заведомое уведомление директоромо планируемом лишении прав доступа или изменения полномочий сотрудника по доступу к ресурсам ИС администратора информационной безопасности. Администратором информационной безопасности принимаются меры по исключению возможности нарушения данным лицом характеристик безопасности информации ИС.
По таким же правилам происходит включение (исключение) в «Перечень лиц, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения ОТСС информационной системы персональных данных «Сотрудники».
Действующими утверждёнными «Перечнем лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники и «Перечень лиц, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения ОТСС информационной системы персональных данных «АП ФИС ФРДО» в своей повседневной деятельности руководствуются руководители отделов, эксплуатирующих ИС, технические специалисты и администратор информационной безопасности. Перечни лиц находятся в рабочем кабинете администратора информационной безопасности, в целях использования сотрудниками Департамента в ежедневной деятельности и с целью контроля соблюдения установленных перечней допущенных лиц.
-
Требования по организации режимных мер.
Состав ИС должен соответствовать техническому паспорту. Обработка не учтённых в техпаспорте технических средств запрещается.Все технические средства ИС должны размещаться в соответствии с техническим паспортом.
Изменение состава ОТСС в составе ИС допускается только после согласования с органом по аттестации. В адрес органа по аттестации направляется письменное уведомление о планируемых изменениях. Изменения осуществляются после получения рекомендаций органа по аттестации. Ответственным за данные мероприятия является директор.
Полный порядок действий при модификации, обновлении программного обеспечения и других изменениях в ИС приведён в «Инструкция по установке, модификации, ремонту, техническому обслуживанию и восстановлению работоспособности программного обеспечения и аппаратных средствинформационной системы персональных данных «Сотрудники».
Контроль соблюдения данных требований и ведения учета средств информатизации ИС возлагается на администратора информационной безопасности.
Помещения, в которых размещаются средства информатизации ИС, должны исключать возможность бесконтрольного проникновения в них посторонних лиц. Помещения должны быть оборудованы пожарной сигнализацией, находящейся в работоспособном состоянии.
Пропуск в здание осуществляется на основании «Инструкции по обеспечению безопасности бюджетного учреждения ХМАО-Югры «Дирекция по экплуатации служебных зданий». Ключи от кабинетов хранятся у сотрудников, дубликаты хранятся на посту охраны, ведётся журнал выдачи ключей.
Уборка помещений должна осуществляться в присутствии сотрудников, имеющих право самостоятельного допуска в помещения.
Передача ключа посторонним лицам строго запрещена. Вскрытие помещений возможно только в присутствии лиц, имеющих право самостоятельного доступа в помещение в соответствии с утвержденным списком или в присутствии администратора информационной безопасности.
При обнаружении факта несанкционированного проникновения в помещения лиц, не входящих в «Перечень лиц, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения ОТССинформационной системы персональных данных«Сотрудники», администратор информационной безопасности или другие лица (в зависимости от обнаружившего данный факт) обязаны немедленно сообщить о происшедшем директору.
По данному происшествию проводится служебная проверка с установлением последствий проникновения для безопасности информации (нарушение целостности, доступности и конфиденциальности), обрабатываемой в ИС.
При утере ключа от помещения сотрудники, имеющие право допуска в помещение, обязаны сообщить о случившемся администратору информационной безопасности. Руководством принимаются меры по исключению возможности хищения носителей информации и ОТСС ИС (замена замков или другие меры).
Технические средства АРМ в помещении размещаются таким образом, чтобы исключить возможность просмотра экрана видеомонитора и распечаток принтера лицами, не имеющими отношения к обрабатываемой информации. Не допускается перемещение АРМ в другие помещения.
Ключи от сейфа, расположенного в кабинете № 308 и используемого для хранения дистрибутивов(резервных копий) средств защиты информации и резервных копий ПДн, хранятся у начальника организационного отдела административного управления.
Техническое обслуживание и ремонт средств информатизации проводится в соответствии с «Инструкцией по установке, модификации, ремонту, техническому обслуживанию и восстановлению работоспособности программного обеспечения и аппаратных средствинформационной системы персональных данных «Сотрудники».
Ответственность за нарушение режимных мер.
Ответственность за обеспечение безопасности информации в ИС, своевременную разработку и осуществление необходимых мероприятий по обеспечению безопасности информации несёт администратор информационной безопасности. Контроль за обеспечением режима безопасности информации и требований настоящей Инструкции возлагается на ответственного за организацию обработки персональных данных.
За соблюдение непосредственно подчинёнными сотрудниками действующего законодательства в области защиты информации, «Инструкции пользователюинформационной системыперсональных данных «Сотрудники», «Инструкции по проведению антивирусного контроля винформационной системеперсональных данных «Сотрудники», «Инструкции по организации парольной защиты винформационной системе персональных данных«Сотрудники», «Инструкции по резервному копированию и восстановлению данных винформационной системеперсональных данных «Сотрудники», и других документов Департамента в части обеспечения безопасности информации отвечает ответственный за организацию обработки персональных данных. При методической поддержке администратора информационной безопасности он организуют изучение подчинёнными сотрудниками требований организационно – распорядительных документов Департамента при работе в ИС. Каждому сотруднику Департамента должна быть предоставлена возможность изучить свои обязанности и правила работы в ИС.
Факт нарушения требований настоящей Инструкции является чрезвычайным происшествием. По каждому случаю проводится служебная проверка.
Невыполнение требований настоящей Инструкции рассматривается как нарушение трудовой дисциплины и влечет за собой наложение дисциплинарного взыскания.
Настоящая Инструкция доводится до заинтересованных сотрудников Департаментапод роспись.
Приложение1
к инструкции по выполнению режимных мер и допуску
кинформационной системе персональных данных
«Сотрудники»
На имя директора
|
