Положение
о разрешительной системе допуска к информационным ресурсам
информационных систем персональных данных
Управления Министерства юстиции Российской Федерации
по Республике Карелия
-
Общие положения
1.1. Настоящее Положение о разрешительной системе допуска к информационным ресурсам информационных систем персональных данных Управления (далее - Положение) разработано в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и руководящими документами ФСТЭК России по вопросам обеспечения безопасности персональных данных.
1.2. Разрешительная система доступа к информационным ресурсам информационных систем персональных данных Управления (далее - ИСПДн) представляет собой совокупность процедур оформления прав субъектов на доступ к информационным ресурсам (далее - ИР) (объектам доступа) Управления, прав и обязанностей ответственных лиц, осуществляющих реализацию этих процедур.
1.3. Действие настоящего Положения распространяется на все структурные подразделения Управления.
1.4. Объектами доступа являются:
ИР, обрабатываемые в ИСПДн Управления (в том числе содержащие персональные данные), в виде баз данных, библиотек, архивов и на отдельных съемных носителях;
технологическая информация системы защиты информации ИСПДн Управления.
1.5. Субъектами доступа являются:
уполномоченные работники Управления;
органы государственной власти и юридические лица;
физические лица - субъекты персональных данных (далее - ПДн);
уполномоченные представители субъектов ПДн.
1.6. Субъекты доступа несут персональную ответственность за соблюдение ими установленного порядка обеспечения защиты ИР ИСПДн Управления.
1.7. Ответственными лицами, осуществляющими реализацию процедур оформления и прав субъектов на доступ к ИР, являются:
начальник Управления, заместители начальника Управления, начальники отделов Управления;
администратор ИСПДн, администратор безопасности информации далее – администратор безопасности).
-
Порядок формирования информационных ресурсов ИСПДн Управления
Подлежащие защите информационные ресурсы ИСПДн включаются в Перечень информационных ресурсов, подлежащих защите в ИСПДн Управления (Приложение № 2).
-
Допуск к информационным ресурсам ИСПДн Управления
-
Наделение пользователей полномочиями доступа к информационным ресурсам ИСПДн Управления.
Лица, доступ которых к персональным данным, обрабатываемым в ИСПДн Управления, необходим для выполнения служебных обязанностей, допускаются к ним на основании списка, утверждаемого начальником Управления (Приложение № 3).
3.1.2. Необходимость доступа работника к ИР ИСПДн Управления определяет начальник структурного подразделения Управления на основании должностных обязанностей работника. Допуск работников к информации, содержащей персональные данные, осуществляется в объеме, необходимом для выполнения ими должностных обязанностей. Права доступа работников к защищаемой информации определяются в Матрице доступа (Приложение № 4).
3.1.3. Основанием для предоставления (изменения либо прекращения (отзыва)) прав доступа пользователям ИСПДн Управления является заявка начальника структурного подразделения Управления, согласованная с администратором безопасности.
3.1.4. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в сети администратором безопасности, осуществляющем администрирование указанных в заявке ИСПДн Управления.
После получения заявки администратор безопасности в соответствии с документацией на средства защиты производит необходимые действия по созданию (изменению, удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам ИСПДн Управления, включению его в соответствующие группы пользователей и другие необходимые действия. Для всех пользователей ИСПДн Управления устанавливается режим принудительного запроса смены пароля не реже одного раза в квартал.
Уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе, присваивается каждому пользователю ИСПДн для обеспечения персональной ответственности за свои действия. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя («группового имени») запрещается.
3.1.5. При изменении должностных обязанностей работника, связанных с переводом в другое подразделение, переводом на другую должность и т.п., учетная запись пользователя на основании заявки начальника соответствующего структурного подразделения подлежит изменению (корректировке), при этом старые полномочия аннулируются.
3.1.6. При необходимости администратор безопасности в соответствии с назначаемыми правами доступа осуществляют настройку телекоммуникационных средств ИСПДн Управления в части контроля доступа пользователей.
3.1.7. Администратор безопасности проводит регистрацию прав доступа к ресурсам указанных в заявке рабочих станций (автоматизированных рабочих мест) с отметкой изменений в Матрице доступа и другие необходимые операции.
3.1.8. После внесения изменений в Матрицу доступа администратор безопасности производит настройку (при их наличии) специализированных средств защиты рабочих станций (автоматизированных рабочих мест).
3.1.9. По результатам изменений в правах доступа администратор безопасности делает отметку об исполнении задания.
3.1.10. Все изменения в правах доступа выполняются администратором безопасности не позднее трех суток с момента получения заявки на внесение изменений.
3.1.11. Работнику, зарегистрированному в качестве нового пользователя системы, под роспись (подпись) доводится имя соответствующего ему пользователя и начальное значение пароля, которое он обязан сменить при первом же входе в систему (при первом подключении к ИСПДн).
3.1.12. Оригиналы исполненных заявок хранятся у администратора безопасности и могут впоследствии использоваться в следующих случаях:
для восстановления полномочий пользователей после сбоев в ИСПДн;
для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;
для проверки правильности настройки средств разграничения доступа к ресурсам ИСПДн.
3.1.13. Блокирование учетных записей на время отпуска пользователей ИСПДн Управления осуществляется администратором безопасности по заявке начальника соответствующего структурного подразделения. Учетная запись пользователя ИСПДн Управления может быть временно разблокирована, либо изменены права доступа по заявке начальника структурного подразделения, в котором работает пользователь.
3.2. Отзыв прав доступа.
3.2.1. При увольнении должностных лиц - пользователей ИСПДн Управления и/или лишения их прав доступа к ресурсам ИСПДн Управления начальник структурного подразделения, в котором работает увольняемый работник, подает заявку на имя начальника Управления. Начальник Управления визирует заявку, утверждая тем самым лишение прав пользователя на доступ к информационным ресурсам ИСПДн Управления.
3.2.2. После визирования заявка поступает к администратору безопасности.
3.2.3. Администратор безопасности:
удаляет учетные записи из всех указанных в заявке списков доступа;
проводит смену (удаление) действующих настроек прав доступа на соответствующих средствах защиты в соответствии с изменившимися полномочиями;
производит необходимые отметки в Матрице доступа;
совместно с непосредственным начальником работника анализирует целостность данных, к которым имел доступ работник.
Удаление или сохранение содержимого почтового ящика, личных локальных и сетевых папок согласовывается с начальником структурного подразделения и администратором безопасности.
Администратор безопасности анализирует автоматизированное рабочее место уволенного работника на наличие закладок, вирусов, после чего все данные на жестком диске работника уничтожаются и операционная система (далее - ОС) на рабочем месте переинсталлируется.
По результатам изменений в правах доступа администратор безопасности делает отметку об исполнении задания на бланке заявки.
Все изменения в правах доступа, связанные с увольнением пользователя ИСПДн Управления, выполняются администратором безопасности не позднее трех суток с момента получения заявки на внесение изменений.
-
Порядок и периодичность проверки прав пользователей.
Проверка прав пользователей проводится администратором безопасности с периодичностью не реже одного раза в три месяца путем сравнения прав согласно утвержденной Матрице доступа с правами пользователей по доступу к информационным ресурсам, указанным в Матрице доступа к информационным ресурсам ИСПДн Управления.
-
Допуск к информационным ресурсам ИСПДн Управления
сторонних организаций
4.1. К организациям, деятельность которых не связана с выполнением функций ИСПДн Управления, относятся в том числе:
правоохранительные органы;
судебные органы;
органы статистики;
органы исполнительной и законодательной власти Республики Карелия;
средства массовой информации и др.
4.2. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций ИСПДн Управления, регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение такой информации, а также настоящим Положением.
4.3. Доступ к информационным ресурсам ИСПДн Управления сторонних организаций осуществляется на основании письменных запросов.
В письменном запросе указывается:
основание (с приведением ссылки на нормативный акт), в соответствии с которым предоставляется информация;
для каких целей необходима информация;
конкретное наименование предоставляемой информации и ее объем;
способ доступа (предоставления).
4.4. Основанием для доступа (предоставления) информации служит резолюция начальника или заместителя начальника Управления на соответствующем документе.
5. Допуск к информационным ресурсам ИСПДн Управления
сторонних организаций, выполняющих работы на договорной основе
5.1. К организациям, выполняющим работы на договорной основе, могут относиться:
организации, осуществляющие монтаж и настройку ИСПДн Управления, сопровождение программно-прикладного обеспечения и технических средств;
организации, оказывающие услуги в области защиты информации (проведение обследований, монтаж и настройка средств защиты информации, контроль эффективности системы защиты информации, аттестация объектов информатизации и т.п.);
другие организации, оказывающие услуги по информационно-техническому обеспечению, и т.п.
5.2. Порядок допуска определяется в договоре на выполнение работ (оказание услуг). Обязательным условием договора является заключение соглашения о конфиденциальности.
5.3. Решением о допуске является подписанный в установленном порядке Договор на выполнение работ или оказание услуг.
5.4. Доступ к информационным ресурсам ИСПДн Управления сторонних организаций осуществляется на основании:
- письменных запросов;
- письменных соглашений (договоров) сторон об обмене информацией.
5.5. В письменном запросе (договоре) указывается:
- основание (ссылка на нормативный акт, договор), в соответствии с которым предоставляется информация;
- для каких целей необходима информация;
- конкретное наименование предоставляемой информации и ее объем;
- способ доступа (предоставления).
5.6. Основанием для доступа (предоставления) информации служит резолюция начальника или заместителя начальника Управления на соответствующем документе (запросе).
5.7. При наличии официального соглашения со сторонней организацией о допуске (предоставлении) к информации доступ к ней осуществляется в порядке, указанном в подписанном соглашении (договоре).
5.8. Запрещается передача электронных копий баз данных любым сторонним организациям, за исключением санкционированных случаев передачи электронных файлов, выгружаемых из баз данных в рамках осуществления уставной деятельности Управления.
5.9. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, а также иной защищаемой информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.
6. Контроль функционирования разрешительной системы допуска к информационным ресурсам ИСПДн Управления
6.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам организуется в соответствии с:
- планом основных мероприятий по защите информации на текущий год;
- функциональными обязанностями должностных лиц;
- приказами начальника Управления.
6.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам осуществляется ответственными должностными лицами Управления.
Приложение № 2
УТВЕРЖДАЮ
Начальник Управления Министерства
юстиции Российской Федерации
по Республике Карелия
____________________М.Л. Свинкина
«___»______________________2014 г.
Перечень
информационных ресурсов, подлежащих защите в ИСПДн Управления Министерства юстиции Российской Федерации по Республике Карелия
№ п/п
|
Наименование информационных ресурсов
|
Категория информационных ресурсов
|
1
|
Информационные базы данных Управления, содержащие персональные данные работников Управления, в том числе:
- фамилия, имя, отчество работников;
- пол;
- данные документа, удостоверяющего личность (вид документа, серия, номер, дата и место выдачи, код подразделения;
- дата и место рождения;
- адрес местожительства (регистрации), дата регистрации по месту жительства);
- контактный номер телефона;
- адрес электронной почты;
- гражданство;
- семейное положение;
- данные о составе семьи - ближайших родственниках (степень родства, фамилия, имя, отчество, дата рождения);
- идентификационный номер налогоплательщика;
- номер страхового свидетельства пенсионного страхования;
- сведения об образовании, профессии, квалификации или наличии специальных знаний;
- сведения о стаже работы;
- подразделение, должность;
- должностной оклад, премия;
- основной и дополнительный зарплатные счета (банк,
филиал, номер счета, срок действия);
- сведения о воинском учете;
- знание иностранного языка;
- наличие и сведения о водительском удостоверении;
- информация об аттестации, повышении квалификации, профессиональной переподготовке;
- сведения о приеме на работу и переводах на другую работу;
- данные о поощрениях и наградах;
- данные о социальных льготах (номер и дата выдачи документа, основание);
- сведения об обязательном медицинском страховании: наименование организации, серия, номер и срок действия полиса обязательного медицинского страхования;
- сведения о прекращении трудового договора (увольнении);
- сведения о гражданско-правовых договорах работников: дата, общая сумма по договору, сумма выплаты (за месяц, за квартал), порядок оплаты, период этапов выполнения;
- сведения о несписочном составе (бывших работниках).
|
Персональные
данные
|
2
|
Технологическая информация системы защиты информации ИСПДн Управления, в том числе:
- управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
- технологическая информация средств доступа к ИСПДн Управления (аутентификационная информация, ключи и атрибуты доступа и др.);
- информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащих защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;
- информация о системе защиты персональных данных, ее составе и структуре, принципах, средствах защиты и технических решениях защиты;
- информационные ресурсы (базы данных, файлы и другие), содержащие информацию о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
- служебные данные (метаданные), появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных
|
Иная защищаемая информация
|
Приложение № 3
УТВЕРЖДАЮ
Начальник Управления Министерства
юстиции Российской Федерации
по Республике Карелия
____________________М.Л. Свинкина
«___»______________________2014 г.
|
