Приложение №1
к распоряжению Администрации города Обнинска
от _____________ № _____________
ПОЛОЖЕНИЕ
об обработке персональных данных
в Администрации города Обнинска
1. Данное Положение регулирует отдельные вопросы обработки персональных данных субъектов персональных данных в Администрации города Обнинска (далее – Администрация), в целях обеспечения их защиты от несанкционированного доступа, неправомерного использования или утраты.
2. Настоящее Положение разработано на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
3. Настоящее Положение является обязательным для исполнения всеми сотрудниками Администрации.
4. Право доступа к персональным данным, в том числе к персональным данным сотрудников Администрации, имеют:
- Глава Администрации города Обнинска;
- руководители подразделений Администрации (доступ к персональным данным только сотрудников своего подразделения);
- сотрудники Администрации в соответствии с должностными регламентами.
5. Список лиц, имеющих право на доступ к персональным данным с указанием вида персональных данных, утверждается распоряжением Администрации города Обнинска.
6. Обработка персональных данных осуществляется после получения согласия субъекта персональных данных, составленного по форме согласно приложению № 1 к настоящему Положению, за исключением случаев, предусмотренных законодательством.
7. Лица, допущенные к обработке персональных данных, подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме согласно приложению № 2 к настоящему Положению.
Приложение № 1
к Положению об обработке персональных данных в Администрации города Обнинска
СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
г. Обнинск «____» __________ 201 г.
Я, _____________________________________________________________________,
(Ф.И.О.)
_________________________________________ серия _______ № _______ выдан
(вид документа, удостоверяющего личность)
_______________________________________________________________________,
(когда и кем)
проживающий(ая) по адресу: _______________________________________________________________________
_______________________________________________________________________,
настоящим даю свое согласие на обработку в Администрации города Обнинска, находящимся по адресу: г. Обнинск, пл. Преображения, д. 1 моих персональных данных и подтверждаю, что, давая такое согласие, я действую своей волей и в своих интересах.
Согласие дается мною с целью: _______________________________________
(цель обработки персональных данных)
и распространяется на следующую информацию: ______________________________________________________________________________________________________________________________________________
(перечень персональных данных)
Настоящее согласие предоставляется на осуществление (из числа предусмотренных действующим законодательством действий: сбор, систематизация, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование, уничтожение, трансграничная передача) в отношении моих персональных данных следующих действий, а именно ______________________________________________________________________________________________________________________________________________
В случае неправомерного использования оператором персональных данных предоставленных мною персональных данных настоящее согласие отзывается путем подачи мной письменного заявления руководителю организации.
Данное согласие действует на период: _______________.
С положением об обработке персональных данных в Администрации города Обнинска«____» __________ 20___ г. ознакомлен
________________________________________
(Ф.И.О., подпись лица, давшего согласие)
Приложение № 2
к Положению об обработке персональных данных в Администрации города Обнинска
ОБЯЗАТЕЛЬСТВО
О НЕРАЗГЛАШЕНИИ ИНФОРМАЦИИ,
СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Я,_____________________________________________________________________,
(Ф.И.О. сотрудника организации)
исполняющий (ая) должностные обязанности по замещаемой должности
_______________________________________________________________________
_______________________________________________________________________,
(должность, наименование структурного подразделения организации)
предупрежден (а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные субъектов персональных данных. Настоящим добровольно принимаю на себя обязательства:
1. Не осуществлять незаконную передачу персональных данных и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц незаконно получить от меня информацию, содержащую персональные данные, сообщать об этом непосредственному руководителю.
3. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
4. Не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные, в том числе и после прекращения права на допуск к информации, содержащей персональные данные.
Я предупрежден (а) о том, что в случае нарушения данного обязательства, а также положений, предусмотренных нормами Трудового кодекса Российской Федерации, Федерального закона «О персональных данных», буду привлечен (а) к дисциплинарной и/или иной ответственности в соответствии с законодательством Российской Федерации.
_________________________________ ____________________
(фамилия, инициалы) (подпись)
Приложение №2
к распоряжению Администрации города Обнинска
от _____________ № _____________
Инструкция по обеспечению безопасности эксплуатации средств криптографической защиты информации в Администрации города Обнинска
1. Термины и определения
В настоящей инструкции по обеспечению безопасности эксплуатации средств криптографической защиты информации (далее – Инструкция) в Администрации города Обнинска Калужской области (далее – Администрация) применяются следующие термины и определения:
Администратор безопасности – должностное лицо, обеспечивающее эксплуатацию средств криптографической защиты информации (далее – СКЗИ) и управление криптографическими ключами.
Безопасность эксплуатации СКЗИ – совокупность мер управления и контроля, защищающая СКЗИ и криптографические ключи от несанкционированного (умышленного или случайного) их раскрытия, модификации, разрушения или использования.
Ответственный за эксплуатацию СКЗИ – сотрудник, осуществляющий организацию и обеспечение работ по техническому обслуживанию СКЗИ и управление криптографическими ключами.
Пользователь – сотрудник, который использует СКЗИ
ПЭВМ – персональная электронно-вычислительная машина (персональный компьютер).
Средства криптографической защиты информации (СКЗИ) – совокупность программно-технических средств, обеспечивающих применение шифрования при осуществлении электронного документооборота, в том числе программное обеспечение с реализацией криптографических функций.
Электронный документ (ЭД) – документ, в котором информация представлена в электронно-цифровой форме.
2. Общие положения
Настоящая Инструкция определяет порядок учета, хранения и использования СКЗИ и криптографических ключей, а также порядок изготовления, смены, уничтожения и действий сотрудников Администрации при компрометации криптографических ключей в целях обеспечения безопасности эксплуатации СКЗИ.
Все действия с СКЗИ осуществляются в соответствии с эксплуатационной документацией на СКЗИ.
Настоящая Инструкция разработана на основе законодательства Российской Федерации, иных правовых актов, а также:
- Приказа ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;
- Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13 июня 2001 г. № 152.
Администрация использует сертифицированные ФСБ России СКЗИ, предназначенные для защиты информации, не содержащей сведений, составляющих государственную тайну.
Для организации и обеспечения работ по техническому обслуживанию СКЗИ и управления криптографическими ключами распоряжением Администрации назначается ответственный за эксплуатацию СКЗИ.
Ответственный за эксплуатацию СКЗИ осуществляет:
- поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним;
- учет пользователей СКЗИ;
- контроль за соблюдением условий использования СКЗИ в соответствии с эксплуатационной и технической документацией на СКЗИ и настоящей Инструкцией;
- расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению требуемого уровня безопасности информации;
- разработку и принятие мер по предотвращению возможных негативных последствий подобных нарушений.
Пользователи СКЗИ назначаются распоряжением Администрации города Обнинска.
Пользователь СКЗИ обязан:
- не разглашать конфиденциальную информацию, к которой допущен, рубежи ее защиты, в том числе сведения о криптографических ключах;
- соблюдать требования к обеспечению безопасности конфиденциальной информации при использовании СКЗИ;
- сдать СКЗИ, эксплуатационную и техническую документацию к ним, криптографические ключи в соответствии с порядком, установленным настоящей Инструкцией, при прекращении использования СКЗИ;
- незамедлительно уведомлять ответственного за эксплуатацию СКЗИ о фактах утраты или недостачи СКЗИ, криптографических ключей, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.
Обучение пользователей правилам работы с СКЗИ осуществляет ответственный за эксплуатацию СКЗИ. Ответственный за эксплуатацию СКЗИ должен иметь соответствующий документ о квалификации в области эксплуатации СКЗИ. Непосредственно к работе с СКЗИ пользователи допускаются после обучения и выдачи соответствующего заключения по форме прилагаемой к настоящей инструкции (Приложение 1).
Текущий контроль, обеспечение функционирования и безопасности СКЗИ возлагается на ответственного за эксплуатацию СКЗИ.
В случае, если вход в программное обеспечение СКЗИ осуществляется по паролю тогда организация работы с паролями осуществляется в соответствии с инструкцией по организации парольной защиты в (наименование организации). За организацию парольной защиты при работе с СКЗИ несет ответственность ответственный за эксплуатацию СКЗИ.
3. Учет и хранение СКЗИ и криптографических ключей
СКЗИ, эксплуатационная и техническая документация к ним, криптографические ключи подлежат поэкземплярному учету.
Поэкземплярный учет СКЗИ ведет ответственный за эксплуатацию СКЗИ в журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним (далее – Журнал) согласно приложению к Инструкции (Приложение № 2). При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатная эксплуатация. Если аппаратные или аппаратно-программные СКЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие СКЗИ учитываются также совместно с соответствующими аппаратными средствами.
Единицей поэкземплярного учета криптографических ключей считается отчуждаемый ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптографических ключей, то его каждый раз следует регистрировать отдельно.
Все полученные экземпляры СКЗИ, криптографических ключей должны быть выданы под роспись в Журнале пользователям СКЗИ, несущим персональную ответственность за их сохранность.
При необходимости пользователю выдается документация по эксплуатации СКЗИ с последующим возвратом ответственному за эксплуатацию СКЗИ;
Дистрибутивы СКЗИ на носителях, эксплуатационная и техническая документация к СКЗИ, инструкции хранятся у ответственного за эксплуатацию СКЗИ. Криптографические ключи хранятся у пользователей СКЗИ. Хранение осуществляется в закрываемых на замок металлических хранилищах пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение или в опечатанном пенале (тубусе). Металлические шкафы должны быть оборудованы внутренними замками с двумя экземплярами ключей и кодовыми замками и приспособлениями для опечатывания. Один экземпляр ключа от хранилища должен находиться у ответственного за эксплуатацию СКЗИ, ответственного за хранилище. Дубликаты ключей от хранилищ сотрудники хранят в специальном сейфе.
Пользователи СКЗИ могут осуществлять хранение рабочих и резервных криптографических ключей, предназначенных для применения в случае неработоспособности рабочих криптографических ключей. Резервные криптографические ключи могут также находится на хранении у ответственного за эксплуатацию СКЗИ.
На ключевые носители с изготовленными криптографическими ключами наклеиваются наклейки, содержащие надписи: на один ключевой носитель - «Рабочий»; на другой ключевой носитель - «Резервный».
Ключевой носитель с наклейкой «Резервный» помещается в конверт и опечатывается пользователем и ответственным за эксплуатацию СКЗИ.
Все полученные экземпляры криптографических ключей должны быть выданы под роспись в Журнале. Резервные криптографические ключи могут находиться на хранении у ответственного за эксплуатацию СКЗИ.
Ключевые носители с неработоспособными криптографическими ключами ответственный за эксплуатацию СКЗИ принимает от пользователя под роспись в Журнале. Неработоспособные ключевые носители подлежат уничтожению.
При необходимости замены наклейки на ключевом носителе (стирание надписи реквизитов) пользователь передает его ответственному за эксплуатацию СКЗИ, который в присутствии пользователя снимает старую наклейку и приклеивает новую наклейку с такими же учетными реквизитами.
Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать.
СКЗИ и криптографические ключи могут доставляться специальной (фельдъегерской) связью или курьером, имеющего доверенность, подписанную министром, на право получения СКЗИ, при соблюдении мер, исключающих бесконтрольный доступ к СКЗИ и криптографическим ключам во время доставки.
Для пересылки СКЗИ и криптографические ключи помещаются в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия, в особенности на записанную ключевую информацию. Криптографические ключи пересылают в отдельном пакете с пометкой «Лично». Упаковки опечатывают таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения целостности упаковок и оттисков печати.
Для пересылки СКЗИ, эксплуатационной и технической документации к ним, криптографических ключей составляется Акт приема-передачи (Опись) документов, в котором указывается: что посылается и в каком количестве, учетные номера СКЗИ, криптографических ключей или документов, а также, при необходимости, назначение и порядок использования высылаемого отправления. Акт приема-передачи (Опись) документов вкладывается в упаковку.
Полученную упаковку вскрывает только лицо, для которого она предназначена. Если содержимое полученной упаковки не соответствует указанному в Акте приема-передачи (Описи) документов или сама упаковка и оттиск печати - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то должен быть составлен акт о происшедшем нарушении. Полученные с такими отправлениями СКЗИ и криптографические ключи до получения указаний от министра применять не разрешается.
При обнаружении бракованных криптографических ключей ключевой носитель с такими ключами следует возвратить для установления причин происшедшего и их устранения в дальнейшем. В этом случае необходимо получить новые криптографические ключи.
Ключевые носители совместно с Журналом должны храниться ответственным за эксплуатацию СКЗИ в сейфе (металлическом шкафу), как правило, в отдельной ячейке. В исключительных случаях допускается хранить ключевые носители и Журнал совместно с другими документами, при этом ключевые носители и Журнал должны быть помещены в отдельную папку.
На время отсутствия ответственного за эксплуатацию СКЗИ должен быть назначен сотрудник его замещающий.
При необходимости криптографические ключи сдаются на временное хранение ответственному за эксплуатацию СКЗИ.
|
