Приложение. Регламент обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Юргинского муниципального района. Постановление Администрации Юргинского муниципального района Тюменской области от 04.08.2015 N 947-п "Об утверждении Регламента обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Юргинского муниципального района" (документ не действует)

Приложение
к постановлению
Администрации
Юргинского муниципального района
от 4 августа 2015 г. N 947-п

Регламент
обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Юргинского муниципального района

1. Общие положения

Настоящий Регламент обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Юргинского муниципального района (далее - Регламент) устанавливает и определяет основные организационные и технические меры по защите персональных данных, основные обязанности пользователей и должностных лиц, обрабатывающих персональные данные автоматизированным способом в информационных системах персональных данных Администрации Юргинского муниципального района (далее - ИСПДн Администрации Юргинского муниципального района) и телекоммуникационных сетях.

Требования Регламента являются обязательными для сотрудников Администрации Юргинского муниципального района и третьих лиц, которые допущены к работе с персональными данными (далее - ПДн).

При приеме на работу сотрудники Администрации Юргинского муниципального района, допущенные к персональным данным, должны быть под расписку ознакомлены с требованиями настоящего Регламента, в части, касающейся их деятельности, информированы об ответственности за их нарушение.

Настоящий Регламент утверждается руководителем Администрации Юргинского муниципального района и носит обязательный характер для всех сотрудников Администрации Юргинского муниципального района.

2. Обеспечение безопасности персональных данных в ИСПДн Администрации Юргинского муниципального района

Обеспечение безопасности ПДн в Администрации Юргинского муниципального района достигается за счет выполнения требований нормативных актов Российской Федерации в сфере защиты персональных данных и выполнения требований, установленных во внутренних нормативных документах Администрации Юргинского муниципального района, всеми пользователями персональных данных.

Персональные данные субъектов ПДн, обрабатывающиеся в ИСПДн Администрации Юргинского муниципального района, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в ИСПДн Администрации Юргинского муниципального района обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства обработки и защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации (далее - РФ) требованиям, обеспечивающим защиту информации, относящейся к персональным данным.

Реализация требований по обеспечению безопасности персональных данных в информационных системах возлагается на структурное подразделение или лицо, ответственное за обеспечение безопасности ПДн в ИСПДн Администрации Юргинского муниципального района, совместно с ответственным за эксплуатацию ИСПДн и структурными подразделениями, обрабатывающими персональные данные согласно Перечню должностей служащих, замещение которых предусматривает осуществление обработки ПД.

При обработке персональных данных в информационных системах ответственными лицами должно быть обеспечено:

- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

- своевременное обнаружение фактов несанкционированного доступа к персональным данным;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- постоянный контроль обеспечения уровня защищенности персональных данных.

Мероприятия по обеспечению безопасности ПДн являются неотъемлемой частью работ по созданию ИСПДн Администрации Юргинского муниципального района. Меры по защите ПДн, обрабатываемых в Администрации Юргинского муниципального района, принимаются в соответствии с моделью угроз безопасности персональных данных при их обработке в ИСПДн, для каждой информационной системы персональных данных в частности.

В Администрации Юргинского муниципального района разработан документ "Инструкция пользователя ИСПДн". Данная инструкция закрепляет должностные обязанности пользователей, устанавливает единый порядок парольной защиты, правила работы в сетях общего доступа и международного информационного обмена на рабочем месте пользователя.

Контроль состояния защищенности ИСПДн Администрации Юргинского муниципального района в целях поддержания требуемого уровня безопасности, а так же предотвращения наступления инцидентов информационной безопасности определены регламентом осуществления внутреннего контроля за обеспечением уровня защищенности ПДн и соблюдением условий использования средств защиты информации, а также соблюдением требований законодательства РФ по обработке ПДн в ИСПДн Администрации Юргинского муниципального района.

3. Основные направления и методы защиты информации в ИСПДн Администрации Юргинского муниципального района

Структурное подразделение или назначенное лицо в Администрации Юргинского муниципального района, ответственное за обеспечение безопасности ПДн в ИСПДн Администрации Юргинского муниципального района обязано организовывать работу по защите персональных данных, осуществлять методическое руководство проведением мероприятий по защите информации, а также контроль за эффективностью предусмотренных мер защиты информации на контролируемых ИСПДн.

Ответственные за эксплуатацию ИСПДн в Администрации Юргинского муниципального района обязаны контролировать в подчиненных подразделениях выполнение сотрудниками установленных общих требований по организации работы с персональными данными и предусмотренных организационных и технических мер по защите персональных данных в пределах своих полномочий.

Пользователи ИСПДн обязаны соблюдать правила обработки персональных данных в ИСПДн Администрации Юргинского муниципального района, и отвечают за обеспечение защиты информации согласно трудовому законодательству и нормативным актам Администрации Юргинского муниципального района. В своей работе с персональными данными пользователи руководствуются нормами настоящего положения, Инструкцией пользователя ИСПДн Администрации Юргинского муниципального района.

Лицо или структурное подразделение, ответственное за обеспечение безопасности ПДн, контролирует в пределах своей компетенции состояние защиты персональных данных с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки ее защищенности.

Повседневный и периодический контроль за состоянием защиты персональных данных выполняется силами подразделений (штатных сотрудников), обрабатывающих персональные данные согласно должностным обязанностям, и специалистов структурного подразделения (специалиста) Администрации Юргинского муниципального района, ответственного за обеспечение безопасности ПДн, в соответствии с "Регламентом осуществления внутреннего контроля за обеспечением уровня защищенности ПДн" и соблюдением условий использования средств защиты информации, а также соблюдением требований законодательства РФ по обработке ПДн в ИСПДн Администрации Юргинского муниципального района.

В целях предотвращения несанкционированного доступа к техническим средствам обработки, хранения и передачи информации (далее - ТСПИ), их хищения и нарушения работоспособности ИСПДн Администрации Юргинского муниципального района самостоятельно или с привлечением аутсорсинговых организаций обеспечивается охрана и физическая защита помещений объектов информатизации, в которых располагаются технические средства ИСПДн Администрации Юргинского муниципального района.

Структурное подразделение Администрации Юргинского муниципального района (специалист), ответственное за обеспечение безопасности ПДн, обязано обеспечивать защиту всех компонент информационной структуры ИСПДн Администрации Юргинского муниципального района, поддерживать в актуальном состоянии организационно-распорядительную, проектную и эксплуатационную документацию на систему защиты ПДн ИСПДн Администрации Юргинского муниципального района, телекоммуникационные линии связи, ТСПИ, средства криптографической защиты информации (далее - СКЗИ) и т.д.

Защита персональных данных в ИСПДн Администрации Юргинского муниципального района от актуальных угроз безопасности осуществляется по следующим основным направлениям:

- от внедренных специальных электронных устройств;

- от вредоносного кода;

- от несанкционированного доступа;

- от несанкционированного воздействия;

- от непреднамеренного воздействия;

- от разглашения.

В качестве основных мер защиты персональных данных в Администрации Юргинского муниципального района должностными лицами, обрабатывающими или защищающими персональные данные, а также подразделениями, осуществляющими эксплуатацию технических средства ИСПДн Администрации Юргинского муниципального района, должны выполняться:

а) документальное оформление и обновление "Перечня персональных данных, обрабатываемых в ИСПДн с учетом специфики обработки ПДн Администрации Юргинского муниципального района.

б) разграничение доступа Пользователей *(1) и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) персональных данных и защиты информации;

в) ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникационное оборудование ИСПДн, а также хранятся носители персональных данных;

г) регистрация действий пользователей, обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

д) учет и надежное хранение машинных носителей персональных данных и их обращение, исключающее хищение, подмену и уничтожение;

е) резервирование технических средств, дублирование массивов и носителей информации ИСПДн;

ж) использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

з) использование сертифицированных средств защиты информации по требованиям ФСТЭК России и ФСБ России;

и) размещение объекта защиты внутри контролируемой зоны на максимально возможном удалении от ее границ;

к) использование криптографически защищенных каналов связи при передаче ПДн по открытым каналам связи;

л) размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;

м) организация самостоятельно или силами сторонней организации физической защиты помещений и собственно технических средств обработки персональных данных с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания и помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации ИСПДн;

н) предотвращение внедрения в ИСПДн программ-вирусов, программных закладок;

Объем принимаемых мер защиты информации, в зависимости от возможного ущерба в случае ее утечки, определяют должностные лица, отвечающие за организацию и руководство работами по защите информации в Администрации Юргинского муниципального района.

3.1. Защита информации от вредоносного программного обеспечения

Организация антивирусной защиты информации в ИСПДн Администрации Юргинского муниципального района достигается путем:

- внедрения и применения средств антивирусной защиты информации;

- обновления сигнатурных баз данных средств антивирусной защиты информации;

- спланированных действий должностных лиц при обнаружении заражения информационных ресурсов ИСПДн Администрации Юргинского муниципального района вирусным программным обеспечением.

Система антивирусной защиты ИСПДн включает в себя:

- антивирусную защиту рабочих станций ИСПДн;

- антивирусную защиту серверов и баз персональных данных ИСПДн;

- возможность автоматического обновления сигнатурных антивирусных баз и версий.

Организация работ по антивирусной защите информации возлагается на структурное подразделение или назначенное лицо Администрации Юргинского муниципального района, ответственное за обеспечение безопасности ПДн, и должностных лиц, осуществляющих эксплуатацию объектов информатизации ИСПДн Администрации Юргинского муниципального района, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации - на лицо, ответственное за организацию обработки ПДн.

Порядок применения средств антивирусной защиты устанавливается с учетом необходимости выполнения следующих требований:

а) пользователями ИСПДн:

- периодическая проверка носителей информации (не реже одного раза в неделю) и обязательная проверка используемых в работе съемных носителей информации перед началом работы с ними на отсутствие программных вирусов;

- внеплановая проверка носителей информации на отсутствие программных вирусов в случае подозрения на наличие программного вируса.

б) сотрудниками подразделения, осуществляющего эксплуатацию ИСПДн:

- обязательный входной контроль на отсутствие программных вирусов всех поступающих на объект информатизации съемных и встроенных носителей информации, информационных массивов и баз данных, программных средств общего и специального назначения;

- восстановление работоспособности программных средств и информационных массивов в случае их повреждения программными вирусами.

Порядок обеспечения антивирусной защиты закреплен в Приложении 5 настоящего Регламента.

К использованию в Администрации Юргинского муниципального района допускаются только санкционированные структурным подразделением или назначенным сотрудником Администрации Юргинского муниципального района, ответственным за обеспечение безопасности ПДн, антивирусные средства. Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке и руководством по эксплуатации конкретного антивирусного программного продукта.

При обнаружении программных вирусов Пользователь ИСПДн обязан прекратить все работы на рабочем месте, поставить в известность Структурное подразделение Администрации Юргинского муниципального района (или лицо), ответственное за обеспечение безопасности ПДн, и совместно с его специалистами принять меры к локализации и удалению вирусов с помощью имеющихся антивирусных средств защиты.

При функционировании автоматизированного рабочего места в качестве локальной рабочей станции вычислительной сети производится ее отключение от локальной сети, локализация и удаление программных вирусов в вычислительной сети.

3.2. Защита персональных данных от несанкционированного доступа

Защита ИСПДн Администрации Юргинского муниципального района обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

При обработке или хранении в ИСПДн конфиденциальных персональных данных для защиты проводятся следующие организационные мероприятия:

- документальное оформление персональных данных в виде Перечня;

- определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;

- ознакомление субъекта доступа с "Перечнем персональных данных" и установленным для него уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;

- обеспечение охраны объекта, на котором расположена защищаемая ИСПДн, собственными силами или с привлечением сторонней организации любыми способами, предотвращающими или существенно затрудняющими хищение технических средств ИСПДн Администрации Юргинского муниципального района, съемных, встроенных и резервных носителей, а также предотвращающими несанкционированный доступ к информационным ресурсам ИСПДн Администрации Юргинского муниципального района и каналам связи;

- назначение должностных лиц, осуществляющих учет, хранение и выдачу съемных и резервных носителей информации, паролей, ключей, ведение служебной информации системы защиты информации от несанкционированного доступа, приемку включаемых в ИСПДн программных средств, а также контроль за ходом технологического процесса обработки персональных данных и т. д.;

- разработка системы защиты персональных данных, включая соответствующую организационно-распорядительную документацию.

В целях дифференцированного подхода к защите персональных данных комиссией, назначенной руководителем Администрации Юргинского муниципального района, проводится определение уровня защищенности ИСПДн Администрации Юргинского муниципального района с составлением акта.

Основные мероприятия по предотвращению несанкционированного доступа к персональным данным Администрации Юргинского муниципального района:

а) разграничение доступа к персональным данным;

б) управление потоками персональных данных в целях предотвращения несанкционированной записи данных на съемные носители;

в) определение единого порядка парольной защиты (см. Приложение 6);

г) идентификация пользователей и подтверждение их права на работу с запрашиваемой информацией;

д) регистрация действий пользователей в ИСПДн;

е) реакция на попытки несанкционированного доступа, например, сигнализация о попытке, блокировка доступа, восстановление после попытки несанкционированного доступа к прежнему безопасному состоянию и т. д.;

ж) тестирование информационных ресурсов ИСПДн с помощью специальных программных средств выявления уязвимостей;

з) очистка оперативной памяти и рабочих областей на съемных носителях персональных данных после прекращения или блокировки работы пользователя с ИСПДн;

и) учет выходных конфиденциальных печатных, графических форм и твердых копий.

3.3. Защита персональных данных от несанкционированного и непреднамеренного воздействия

Защита персональных данных от несанкционированного и непреднамеренного воздействия осуществляется по следующим направлениям:

а) соблюдение порядка разработки, ввода в действие и эксплуатации объектов информатизации;

б) определение условий размещения информационных ресурсов ИСПДн относительно границ контролируемой зоны;

в) определение технических средств и систем, предполагаемых к использованию в ИСПДн и системах связи, условий их расположения;

г) определение режимов обработки персональных данных в ИСПДн Администрации Юргинского муниципального района в целом и в отдельных компонентах;

д) установление правил разграничения доступа для пользователей с целью минимизации их воздействия на программные и аппаратные средства автоматизации обработки персональных данных;

е) повышение уровня квалификации пользователей и обслуживающего персонала, периодическое и выборочное тестирование знаний и квалификации в области информационной безопасности;

ж) контроль, техническое обслуживание и обеспечение установленных режимов работы ТСПИ в целях предупреждения их сбоев, аварий, неисправностей (см. Приложение 1 настоящего Регламента);

з) применение постоянно обновляемого антивирусного программного обеспечения;

и) защита от природных и техногенных явлений и стихийных бедствий (пожары, наводнения и т.п.);

к) предупреждение передачи конфиденциальных персональных данных по открытым линиям связи и их обработки незащищенными техническими средствами;

л) строгое выполнение сотрудниками установленных в организации требований по защите персональных данных;

м) организация эффективного контроля выполнения предусмотренных мер защиты персональных данных;

н) использование ИСПДн в защищенном исполнении.

3.4. Защита персональных данных от распространения неограниченному кругу лиц

Правовой основой работы с сотрудниками Администрации Юргинского муниципального района, допущенными к обработке персональных данных, являются:

- наличие в трудовом договоре пункта о правилах работы со сведениями, относящимся к персональным данным;

- наличие в должностном регламенте или должностной инструкции сотрудника пунктов о мерах безопасности при обработке персональных данных и ответственность за ее несанкционированное разглашение;

- наличие "Перечня персональных данных, обрабатываемых в Администрации Юргинского муниципального района, инструкций и регламентов по защите персональных данных, ознакомление с которыми должно проводиться сотрудником в первый день заступления на должность и под обязательную роспись в ознакомлении;

- создание сотрудникам достаточных условий для обеспечения эффективной защиты персональных данных.

В целях предупреждения разглашения персональных данных структурное подразделение или назначенное лицо Администрации Юргинского муниципального района, ответственное за обеспечение безопасности ПДн, организует мероприятия по аудиту защищенности персональных данных, тестированию уровня осведомленности персонала о мерах защиты, проверки процедур автоматизированной и неавтоматизированной обработки персональных данных на соответствие регламентам информационной безопасности.

4. Порядок резервирования и восстановления работоспособности ИСПДн Администрации Юргинского муниципального района

Ответственным за реагирование на инциденты безопасности, приводящие к потере защищаемой информации, является лицо или структурное подразделение, ответственное за обеспечение безопасности ПДн.

Ответственным за контроль обеспечения мероприятий по предотвращению инцидентов безопасности, приводящих к потере защищаемой информации, является лицо, ответственное за организацию обработки ПДн.

4.1. Порядок реагирования на инцидент *(2)

Происшествие, вызывающее инцидент, может произойти в результате:

- непреднамеренных действий пользователей.

- преднамеренных действий пользователей и третьих лиц.

- нарушения правил эксплуатации технических средств ИСПДн Администрации Юргинского муниципального района.

- возникновения внештатных ситуаций и обстоятельств непреодолимой силы.

Все действия в процессе реагирования на инциденты должны документироваться ответственным за реагирование сотрудником.

В кратчайшие сроки, ответственные за реагирование сотрудники Администрации Юргинского муниципального района предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с вышестоящим руководством. По необходимости, иерархия согласования может быть нарушена, с целью оперативного получения высококвалифицированной консультации.

4.2. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении инцидентов

4.2.1. Технические меры

К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения Инцидентов, такие как:

- системы жизнеобеспечения;

- системы обеспечения отказоустойчивости;

- системы резервного копирования и хранения данных;

- системы контроля физического доступа.

- системы жизнеобеспечения ИСПДн включают:

- пожарные сигнализации и системы пожаротушения;

- системы вентиляции и кондиционирования;

- системы резервного питания.

Все критичные помещения Администрации Юргинского муниципального района (помещения, в которых размещаются элементы ИСПДн Администрации Юргинского муниципального района и средства защиты) оборудованы средствами пожарной сигнализации и пожаротушения.

Для выполнения требований по эксплуатации (температура, относительная влажность воздуха) программно-аппаратных средств ИСПДн в помещениях, где они установлены, применяются системы вентиляции и кондиционирования воздуха.

Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИСПДн Администрации Юргинского муниципального района, сетевое и коммуникационное оборудование, а также наиболее критичные рабочие станции подключаются к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания:

- локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных компьютеров;

- источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения;

- дублированные системы электропитания в устройствах (серверы, концентраторы и т. д.);

- резервные линии электропитания в пределах комплекса зданий;

- аварийные электрогенераторы.

Системы обеспечения отказоустойчивости:

- кластеризация;

- технология RAID.

Для обеспечения отказоустойчивости критичных компонентов ИСПДн Администрации Юргинского муниципального района при сбое в работе оборудования и их автоматической замены без простоев использую методы кластеризации. Могут использоваться следующие методы кластеризации: для наиболее критичных компонентов ИСПДн Администрации Юргинского муниципального района должны использоваться территориально удаленные системы кластеров.

Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, которые (кроме RAID-0) применяют дублирование данных, хранимых на дисках.

Система резервного копирования и хранения данных, должна обеспечивать хранение защищаемой информации на твердый носитель (ленту, жесткий диск и т.п.).

4.2.2. Организационные меры

Резервное копирование и хранение данных должно осуществлять на периодической основе:

- для обрабатываемых персональных данных - не реже раза в неделю;

- для технологической информации - не реже раза в месяц;

- эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы ИСПДн Администрации Юргинского муниципального района - не реже раза в месяц, и каждый раз при внесении изменений в эталонные копии (выход новых версий).

Данные о проведение процедуры резервного копирования, должны отражаться в специально созданном журнале учета.

Носители, на которые произведено резервное копирование, должны быть пронумерованы: номером носителя, датой проведения резервного копирования.

Носители должны храниться в несгораемом шкафу или помещении оборудованном системой пожаротушения, обеспечивающими защиту от несанкционированного доступа.

Носители должны храниться не менее года, для возможности восстановления данных.

5. Порядок обращения со средствами криптографической защиты информации

Использование СКЗИ в Администрации Юргинского муниципального района необходимо для достижения следующих целей:

- обеспечение целостности ПДн, обрабатываемых в ИСПДн;

- обеспечение конфиденциальности ПДн, обрабатываемых в ИСПДн;

- обеспечение невозможности отказа от авторства внесенных изменений в обрабатываемые ПДн.

СКЗИ в ИСПДн Администрации Юргинского муниципального района применяются для решения следующих задач:

- передача ПДн за пределы контролируемой зоны;

- заверение электронно-цифровой подписью документов.

5.1. Состав СКЗИ

Для достижения вышеуказанных целей могут использоваться программные и программно-аппаратные СКЗИ, состав которых утверждается Лицом, ответственным за организацию обработки персональных данных.

5.2. Учет используемых СКЗИ

СКЗИ, эксплуатационная и техническая документация к ним, используемые в ИСПДн Администрации Юргинского муниципального района, подлежат поэкземплярному учету в Журнале учета СКЗИ (см. Приложение 2 к настоящему Регламенту).

Поэкземплярный учет осуществляет лицо, ответственное за обеспечение безопасности ПДн. При ведении учета, программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатная эксплуатация.

Единицей поэкземплярного учета СКЗИ является отчуждаемый ключевой носитель многократного использования. При осуществлении перезаписи криптографических ключей на носитель лицо, ответственное за обеспечение безопасности ПДн, обязано осуществить его повторную регистрацию в Журнале поэкземплярного учета СКЗИ с указанием сведений о вновь записанных криптографических ключах.

Нумерация носителей СКЗИ ведется в соответствии с индивидуальными номерами, присваиваемыми изготовителями СКЗИ.

5.3. Допуск сотрудников к СКЗИ

5.3.1. Порядок оформления допуска к СКЗИ

Допуск Пользователей ПДн к работе с СКЗИ осуществляется на основании заявки, подаваемой от имени ответственного за эксплуатацию ИСПДн, к которому относится сотрудник, лицу, ответственному за обеспечение безопасности ПДн.

В заявке указываются следующие сведения:

- перечень задач, для которых необходимо использование СКЗИ;

- период времени, в течение которого необходимо использование СКЗИ.

Лицо, ответственное за обеспечение безопасности ПДн, обязано провести под подпись обучение Пользователя ПДн правилам работы с СКЗИ, к которым он будет допущен.

Допуск Пользователей ПДн к работе со СКЗИ сопровождается занесением информации, указанной в заявке, в Перечень лиц, допущенных к работе с СКЗИ.

5.3.2. Порядок выдачи СКЗИ

Экземпляры СКЗИ, эксплуатационной и технической документации к ним выдаются под подпись Пользователю ПДн, при условии наличия у него допуска к СКЗИ. Пользователи ПДн несут персональную ответственность за сохранность выданного им экземпляра СКЗИ.

Лицо, ответственное за обеспечение безопасности ПДн, выдает основной экземпляр СКЗИ лично Пользователю ПДн, при необходимости, резервный экземпляр того же ключа помещает на хранение в сейф.

5.3.3. Порядок пересмотра прав допуска к СКЗИ

Лицо, ответственное за обеспечение безопасности ПДн, обязано производить ежемесячный пересмотр допуска ПДн к СКЗИ путем анализа Перечня лиц, допущенных к работе с СКЗИ.

В случае обнаружения Пользователей ПДн с истекающим сроком использования СКЗИ, лицо, ответственное за обеспечение безопасности ПДн, не менее чем за 5 рабочих дней, обязано оповестить пользователя о прекращении использования СКЗИ.

5.3.4. Порядок прекращения прав допуска и изъятия СКЗИ из обращения

Прекращение прав доступа Пользователя ПДн к СКЗИ осуществляется лицом, ответственным за обеспечение безопасности ПДн, в следующих случаях:

- достигнуты цели использования СКЗИ;

- истек период времени, указанный в заявке;

- увольнение Пользователя ПДн или его перевод на другую должность, не связанную с необходимостью использования СКЗИ.

При наступлении вышеуказанных случаев, лицо, ответственное за обеспечение безопасности ПДн, осуществляет исключение Пользователя ПДн из Перечня лиц, допущенных к работе с СКЗИ и изымает СКЗИ из обращения. Перед повторным использованием с основного и резервного ключевых носителей СКЗИ при помощи средств гарантированного уничтожения должна быть удалена вся информация.

6. Порядок обращения с материальными носителями персональных данных

Учету подлежат следующие типы машинных носителей ПДн:

- отчуждаемые носители информации (внешние жесткие магнитные диски, гибкие магнитные диски, магнитные ленты, USB флеш-накопители, карты флеш-памяти, оптические носители (CD, DVD, Blu-ray и прочее);

- неотчуждаемые носители информации (жесткие магнитные диски).

6.1. Порядок организации учёта машинных носителей, содержащих персональные данные

Все машинные носители данных, используемые при работе со средствами вычислительной техники (далее СВТ) для обработки и хранения персональных данных, обязательно регистрируются и учитываются в "Журнале учета машинных носителей ПДн, обрабатываемых в ИСПДн Администрации Юргинского муниципального района (далее - Журнал учета носителей) с присвоением индивидуального учетного номера (см. Приложение 3 настоящего Регламента).

Ответственность за хранение машинных носителей ПДн и ведение Журнала учета носителей в Администрации Юргинского муниципального района несёт лицо, ответственное за обеспечение безопасности ПДн.

Учетный номер и гриф "Конфиденциально" наносятся на носитель информации или его корпус. Если невозможно маркировать непосредственно машинный носитель данных, то маркируется упаковка, в которой хранится носитель.

Несъемные жесткие магнитные диски закрепляются за сотрудником, ответственным за СВТ, в котором они установлены.

6.1.1. Порядок использования машинных носителей персональных данных

Машинные носители данных выдаются Пользователям или другим лицам, участвующим в обработке персональных данных, для работы под расписку в Журнале учета носителей. По завершении работы машинные носители данных сдаются лицу, ответственному за обеспечение безопасности ПДн.

Уничтожение персональных данных с материального носителя происходит путем очистки информации с использованием сертифицированных по требованиям безопасности информации систем гарантированного уничтожения информации, а так же с применением прикладного программного обеспечения, позволяющего выполнять многократную перезапись всего электронного носителя псевдослучайной последовательностью.

После уничтожения информации машинные носители продолжают использоваться наравне с другими машинными носителями персональных данных. В последующем эти носители повторно используются для записи информации, содержащей персональные данные.

В случае повреждения машинных носителей, содержащих персональные данные, сотрудник, за которым закреплён носитель, сообщает о случившемся своему руководителю.

Поврежденные материальные носители уничтожаются электромагнитным или физическим воздействием либо иным способом, предусмотренным эксплуатационной и технической документацией к ним.

Передача съёмного носителя, содержащего персональные данные, третьим организациям производится в соответствии с требованиями договора между Администрации Юргинского муниципального района и третьим лицом.

Машинные носители данных пересылаются в том же порядке, что и конфиденциальные бумажные документы.

При фиксации персональных данных на машинных носителях не допускается фиксация на одном машинном носителе персональных данных, цели обработки которых заведомо не совместимы.

Вынос машинных носителей, содержащих персональные данные, за пределы контролируемой зоны Администрации Юргинского муниципального района запрещается без соответствующего разрешения лица, ответственного за обеспечение безопасности ПДн.

6.1.2. Порядок хранения машинных носителей, содержащих персональные данные

Хранение носителей, содержащих ПДн, осуществляется в условиях, исключающих возможность хищения, изменения целостности или уничтожения содержащейся на них информации.

Отчуждаемые съемные носители после окончания работы с ними должны убираться в сейфы или шкафы, запираемые на ключ.

Не допускается оставлять на рабочем столе или в СВТ машинные носители содержащие ПДн.

Персональную ответственность за сохранность полученных машинных носителей и предотвращение несанкционированного доступа к записанным на них ПДн несет сотрудник, за которым закреплен носитель.

6.1.3. Хранение носителей резервного копирования

Организация и правила хранения носителей резервных копий, содержащих ПДн, осуществляется с учетом раздела 4.2.2 настоящего Регламента.

6.1.4. Порядок уничтожения машинных носителей, содержащих персональные данные

Основанием для уничтожения машинных носителей, содержащих ПДн, является повреждение машинного носителя, исключающее его дальнейшее использование или потеря практической ценности носителя. Решение об уничтожении машинного носителя принимает лицо, ответственное за обеспечение безопасности ПДн.

Уничтожение производится раз в год путем их физического разрушения с предварительным затиранием (уничтожением) содержащейся на них ПДн, если это позволяют физические принципы работы носителя.

Уничтожение машинных носителей производится Комиссией в составе не менее трех человек, в состав Комиссии должны обязательно входить лицо, ответственное за обеспечение безопасности ПДн, и лицо, ответственное за организацию обработки ПДн. После уничтожения всех машинных носителей составляется Акт об уничтожении (см. Приложение 4 настоящего Регламента).

При уничтожении машинные носители данных снимаются с учета. Отметка об уничтожении носителей проставляется в Журнале учета носителей.

6.2. Порядок уничтожения (стирания) персональных данных с машинного носителя

Основанием для уничтожения (стирания) записей или части записей с машинного носителя являются следующие случаи:

- возврат носителя сотрудником;

- передача носителя в ремонт;

- списание носителя.

Хранящиеся на машинных носителях и потерявшие актуальность персональные данные своевременно стираются (уничтожаются). Лицо, ответственное за обеспечение безопасности ПДн принимает окончательное решение о необходимости их уничтожения.

Ответственный за процесс обработки ПДн передает машинный носитель лицу, ответственному за обеспечение безопасности ПДн. Совместно с машинным носителем передается служебная записка, в которой указывается причины возврата и состав ПДн, которые подлежат уничтожению.

Лицо, ответственное за обеспечение безопасности ПДн, при получении носителя должно обеспечить уничтожение (стирание) записей или части записей с носителя и подготовить Акт об уничтожении (стирании) записей с носителя (см. Приложение 4) с внесением данных в Журнал учета носителей.

В Акт уничтожения заносится дата, учетный номер носителя и способ уничтожения (стирания) записей ПДн, также в Акте отображается наименование программного обеспечения, которым производилось стирание.

*(1) Пользователями ИСПДн Администрации Юргинского муниципального района являются лица, использующий при обработке персональных данных средства автоматизированной обработки информации, в том числе средства вычислительной техники, программное обеспечение, электронные носители персональных данных и средства защиты информации

*(2) Под Инцидентом понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн Администрации Юргинского муниципального района, предоставляемых пользователям ИСПДн, а так же потерей защищаемой информации.