Приложение 7. Инструкция по наделению пользователей информационных систем персональных данных уникальными учетными записями и правами доступа к ресурсам информационных систем персональных данных министерства финансов Ставропольского края. Приказ Министерства финансов Ставропольского края от 23.12.2010 N 191 "Об обработке и обеспечении безопасности персональных данных в информационных системах персональных данных министерства финансов Ставропольского края" (с изменениями и дополнениями)

Информация об изменениях:

Приказом Министерства финансов Ставропольского края от 12 марта 2012 г. N 50 настоящее приложение изложено в новой редакции

См. текст приложения в предыдущей редакции

Приложение 7

к приказу

министерства финансов

Ставропольского края

от 23 декабря 2010 г. N 191

Инструкция
по наделению пользователей информационных систем персональных данных уникальными учетными записями и правами доступа к ресурсам информационных систем персональных данных министерства финансов Ставропольского края

С изменениями и дополнениями от:

12 марта 2012 г.

1. Общие положения

1.1. Инструкция по наделению пользователей информационных систем персональных данных уникальными учетными записями и правами доступа к ресурсам информационных систем персональных данных министерства финансов Ставропольского края (далее соответственно - Инструкция, министерство) устанавливает порядок использования учетных записей пользователей информационной системы персональных данных (далее - ИСПДн) и порядок предоставления пользователям прав доступа к ИСПДн.

1.2. Сотрудники министерства, допущенные к работе в ИСПДн (далее - пользователи ИСПДн), назначенные приказом министерства, знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.

1.3. Ознакомление с требованиями Инструкции пользователей ИСПДн осуществляет администратор информационной безопасности ИСПДн (далее - администратор) под роспись с выдачей электронных копий соответствующих приложений и разделов Инструкции непосредственно для повседневного использования в работе.

1.4. В случае невозможности исполнения требований Инструкции в полном объеме при возникновении нештатных ситуаций, порядок наделения пользователей ИСПДн уникальными учетными записями и правом доступа к ресурсам ИСПДн министерства определяется администратором по согласованию с ответственным за защиту информации и ПДн министерства.

В целях настоящей Инструкции под нештатными ситуациями следует понимать следующие: отказ, сбой, ошибка в работе технических средств, форс - мажорные обстоятельства.

2. Порядок использования учетных записей пользователей ИСПДн

2.1. С целью соблюдения принципа персональной ответственности за свои действия, каждому пользователю ИСПДн, назначается персональное уникальное имя (учетная запись пользователя), под которым он регистрируется и работает в ИСПДн.

2.2. В случае производственной необходимости пользователям ИСПДн назначается несколько персональных уникальных имен (учетных записей пользователя).

2.3. Использование несколькими пользователями ИСПДн при самостоятельной работе в ИСПДн одного и того же имени пользователя ("группового имени") запрещено.

2.4. Использование пользователем ИСПДн имени пользователя, сопоставленного с другим пользователем ИСПДн (учетной записи другого сотрудника), при работе в ИСПДн запрещено.

3. Порядок предоставления пользователям прав доступа к ИСПДн

3.1. Процедура регистрации (создания учетной записи) пользователя ИСПДн и предоставления (изменения) ему прав доступа к ресурсам ИСПДн оформляется приказом министерства.

3.2. На основании приказа, администратор:

создает учетную запись;

производит изменение прав доступа учетной записи;

осуществляет блокирование учетной записи.

3.3. При предоставлении пользователю ИСПДн прав доступа к ИСПДн необходимо руководствоваться принципом предоставления минимальных прав для решения требуемых задач.

3.4. Начальники отделов министерства несут ответственность за минимальную достаточность прав доступа, имеющихся у пользователей ИСПДн отделов. В случае наличия у пользователей ИСПДн избыточных для работы прав доступа начальники отделов ставят об этом в известность администратора, который вносит необходимые изменения в соответствии с настоящей Инструкцией.

3.5. При выдаче пользователю ИСПДн персонального идентификатора факт выдачи должен фиксироваться в электронном журнале выдачи идентификаторов.

3.6. Документирование прав доступа производится в электронном виде, для чего создается специальная база данных прав пользователей ИСПДн, в которой указываются следующие данные:

Фамилия, имя и отчество пользователя;

отдел;

учетная запись;

контролируемый ресурс;

права доступа;

отметка об удалении учетной записи при увольнении.

3.7. Изменения в конфигурации механизмов защиты информации производятся только администратором и только в соответствии с документацией на средства защиты персональных данных.

3.8. Доступ к ИСПДн министерства сотрудникам сторонних организаций, осуществляющим сопровождение ИСПДн (далее - сотрудники сторонних организаций), предоставляется на основании Заявки о предоставлении доступа к ИСПДн министерства (далее - заявка на доступ) по форме согласно приложению 1 к настоящей Инструкции. Заявка на доступ оформляется на бланке организации или заверяется гербовой печатью, подписывается руководителем и направляется в адрес министерства ответственному за защиту информации и персональных данных министерства.

3.9. В случае согласования заявки на доступ, сотрудники сторонних организаций подписывают Соглашение о неразглашении персональных данных сотрудников министерства по форме согласно приложению 2 к настоящей Инструкции.

3.10. Учет предоставленных прав доступа сотрудников сторонних организаций возлагается на администратора.

3.11. Приостановление (прекращение) доступа к ИСПДн сотрудников сторонних организаций проводится в следующих случаях:

согласно Заявке о прекращении предоставления доступа к ИСПДн министерства по форме согласно приложению 3 к настоящей Инструкции;

в связи с окончанием периода, указанного в заявке на доступ;

по требованию ответственного за защиту информации и персональных данных министерства.

4. Матрица доступа к ИСПДн

4.1. Права всех типов ролей ИСПДн на действия с персональными данными фиксируются в матрице доступа по форме согласно приложению 4 к настоящей Инструкции.

Матрица доступа утверждается ответственным за защиту информации и персональных данных министерства.

4.2. В матрице доступа выделены следующие типовые роли:

администраторы ИСПДн, осуществляющие настройку и установку технических средств ИСПДн и обеспечивающие ее бесперебойную работу (из числа сотрудников министерства);

пользователи ИСПДн, осуществляющие текущую работу с персональными данными (из числа сотрудников министерства);

разработчики ИСПДн, осуществляющие разработку и поддержку программного обеспечения собственной разработки или стандартных программ, специально доработанных под нужды министерства (сотрудники сторонних организаций).

5. Ответственные за организацию и контроль выполнения инструкции

5.1. Ответственность за соблюдение требований Инструкции возлагается на пользователей ИСПДн, назначаемых приказом министерства.

5.2. Ответственность за организацию контрольных и проверочных мероприятий по вопросам управления правами пользователей ИСПДн возлагается на администратора, назначаемого приказом министерства.

5.3. Ответственность за общий контроль информационной безопасности возлагается на ответственного за защиту информации и персональных данных министерства.