Приложение. Приказ Министерства финансов Ставропольского края от 12.03.2012 N 50 "О внесении изменения в Инструкцию по наделению пользователей информационных систем персональных данных уникальными учетными записями и правами доступа к ресурсам информационных систем персональных данных министерства финансов Ставропольского края, утвержденную приказом министерства финансов Ставропольского края от 23.12.2010 N 191"

Приложение

к приказу министерства финансов

Ставропольского края

от 12 марта 2012 г. N 50

Инструкция
по наделению пользователей информационных систем персональных данных уникальными учетными записями и правами доступа к ресурсам информационных систем персональных данных министерства финансов Ставропольского края

1. Общие положения

1.1. Инструкция по наделению пользователей информационных систем персональных данных уникальными учетными записями и правами доступа к ресурсам информационных систем персональных данных министерства финансов Ставропольского края (далее соответственно - Инструкция, министерство) устанавливает порядок использования учетных записей пользователей информационной системы персональных данных (далее - ИСПДн) и порядок предоставления пользователям прав доступа к ИСПДн.

1.2. Сотрудники министерства, допущенные к работе в ИСПДн (далее - пользователи ИСПДн), назначенные приказом министерства, знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.

1.3. Ознакомление с требованиями Инструкции пользователей ИСПДн осуществляет администратор информационной безопасности ИСПДн (далее - администратор) под роспись с выдачей электронных копий соответствующих приложений и разделов Инструкции непосредственно для повседневного использования в работе.

1.4. В случае невозможности исполнения требований Инструкции в полном объеме при возникновении нештатных ситуаций, порядок наделения пользователей ИСПДн уникальными учетными записями и правом доступа к ресурсам ИСПДн министерства определяется администратором по согласованию с ответственным за защиту информации и ПДн министерства.

В целях настоящей Инструкции под нештатными ситуациями следует понимать следующие: отказ, сбой, ошибка в работе технических средств, форс - мажорные обстоятельства.

2. Порядок использования учетных записей пользователей ИСПДн

2.1. С целью соблюдения принципа персональной ответственности за свои действия, каждому пользователю ИСПДн, назначается персональное уникальное имя (учетная запись пользователя), под которым он регистрируется и работает в ИСПДн.

2.2. В случае производственной необходимости пользователям ИСПДн назначается несколько персональных уникальных имен (учетных записей пользователя).

2.3. Использование несколькими пользователями ИСПДн при самостоятельной работе в ИСПДн одного и того же имени пользователя ("группового имени") запрещено.

2.4. Использование пользователем ИСПДн имени пользователя, сопоставленного с другим пользователем ИСПДн (учетной записи другого сотрудника), при работе в ИСПДн запрещено.

3. Порядок предоставления пользователям прав доступа к ИСПДн

3.1. Процедура регистрации (создания учетной записи) пользователя ИСПДн и предоставления (изменения) ему прав доступа к ресурсам ИСПДн оформляется приказом министерства.

3.2. На основании приказа, администратор:

создает учетную запись;

производит изменение прав доступа учетной записи;

осуществляет блокирование учетной записи.

3.3. При предоставлении пользователю ИСПДн прав доступа к ИСПДн необходимо руководствоваться принципом предоставления минимальных прав для решения требуемых задач.

3.4. Начальники отделов министерства несут ответственность за минимальную достаточность прав доступа, имеющихся у пользователей ИСПДн отделов. В случае наличия у пользователей ИСПДн избыточных для работы прав доступа начальники отделов ставят об этом в известность администратора, который вносит необходимые изменения в соответствии с настоящей Инструкцией.

3.5. При выдаче пользователю ИСПДн персонального идентификатора факт выдачи должен фиксироваться в электронном журнале выдачи идентификаторов.

3.6. Документирование прав доступа производится в электронном виде, для чего создается специальная база данных прав пользователей ИСПДн, в которой указываются следующие данные:

Фамилия, имя и отчество пользователя;

отдел;

учетная запись;

контролируемый ресурс;

права доступа;

отметка об удалении учетной записи при увольнении.

3.7. Изменения в конфигурации механизмов защиты информации производятся только администратором и только в соответствии с документацией на средства защиты персональных данных.

3.8. Доступ к ИСПДн министерства сотрудникам сторонних организаций, осуществляющим сопровождение ИСПДн (далее - сотрудники сторонних организаций), предоставляется на основании Заявки о предоставлении доступа к ИСПДн министерства (далее - заявка на доступ) по форме согласно приложению 1 к настоящей Инструкции. Заявка на доступ оформляется на бланке организации или заверяется гербовой печатью, подписывается руководителем и направляется в адрес министерства ответственному за защиту информации и персональных данных министерства.

3.9. В случае согласования заявки на доступ, сотрудники сторонних организаций подписывают Соглашение о неразглашении персональных данных сотрудников министерства по форме согласно приложению 2 к настоящей Инструкции.

3.10. Учет предоставленных прав доступа сотрудников сторонних организаций возлагается на администратора.

3.11. Приостановление (прекращение) доступа к ИСПДн сотрудников сторонних организаций проводится в следующих случаях:

согласно Заявке о прекращении предоставления доступа к ИСПДн министерства по форме согласно приложению 3 к настоящей Инструкции;

в связи с окончанием периода, указанного в заявке на доступ;

по требованию ответственного за защиту информации и персональных данных министерства.

4. Матрица доступа к ИСПДн

4.1. Права всех типов ролей ИСПДн на действия с персональными данными фиксируются в матрице доступа по форме согласно приложению 4 к настоящей Инструкции.

Матрица доступа утверждается ответственным за защиту информации и персональных данных министерства.

4.2. В матрице доступа выделены следующие типовые роли:

администраторы ИСПДн, осуществляющие настройку и установку технических средств ИСПДн и обеспечивающие ее бесперебойную работу (из числа сотрудников министерства);

пользователи ИСПДн, осуществляющие текущую работу с персональными данными (из числа сотрудников министерства);

разработчики ИСПДн, осуществляющие разработку и поддержку программного обеспечения собственной разработки или стандартных программ, специально доработанных под нужды министерства (сотрудники сторонних организаций).

5. Ответственные за организацию и контроль выполнения инструкции

5.1. Ответственность за соблюдение требований Инструкции возлагается на пользователей ИСПДн, назначаемых приказом министерства.

5.2. Ответственность за организацию контрольных и проверочных мероприятий по вопросам управления правами пользователей ИСПДн возлагается на администратора, назначаемого приказом министерства.

5.3. Ответственность за общий контроль информационной безопасности возлагается на ответственного за защиту информации и персональных данных министерства.

Приложение 1

к Инструкции по наделению

пользователей информационных систем

персональных данных уникальными

учетными записями и правами доступа

к ресурсам информационных систем

персональных данных министерства финансов

Ставропольского края,

утвержденной приказом

министерства финансов

Ставропольского края

от 23 декабря 2010 г. N 191

Заместителю министра финансов Ставропольского края _________________/____________/

Заявка
о предоставлении доступа к информационным системам персональных данных министерства финансов Ставропольского края

Прошу Вас предоставить ________________________________________

                                  (Ф.И.О. работника)

______________________________________________________________

                             (должность)

______________________________________________________________

               (наименование организации разработчика)

доступ к информационной системе персональных данных министерства финансов Ставропольского края________________________________________

                          (название информационной системы)

______________________________________________________________

                          (вид доступа)

для выполнения работ по сопровождению __________________________

                                     (наименование программного

                                                 продукта)

на период с "___"____________20__ г. по "___"____________20__ г.

Руководитель

/______________ /___________________ / подпись Ф.И.О. М.П.

Приложение 2

к Инструкции по наделению

пользователей информационных систем

персональных данных уникальными

учетными записями и правами доступа

к ресурсам информационных систем

персональных данных министерства финансов

Ставропольского края,

утвержденной приказом

министерства финансов

Ставропольского края

от 23 декабря 2010 г. N 191

Согласовано Руководитель организации, осуществляющей сопровождение информационной системы персональных данных "____"___________20___г. М.П.

Согласовано Заместитель министра финансов Ставропольского края "____"____________20___г. М.П.

Соглашение
о неразглашении персональных данных сотрудников министерства финансов Ставропольского края

Я, ___________________________________________________________

                     (Фамилия, Имя, Отчество)

паспорт серии __________, номер ____________, выданный___________

______________________________________________________________

                        (кем, когда)

"___ " ___________ 20__ года, понимаю, что получаю доступ к персональным данным сотрудников министерства финансов Ставропольского края (далее - министерство).

Я также понимаю, что во время исполнения своих обязанностей по сопровождению программного продукта _________________________________

                                   (Наименование

_____________________________________________________________,

                          программного продукта)

мне приходится заниматься сбором, обработкой и хранением персональных данных сотрудников. Использование и/или передача персональных данных для иных целей или нарушающих условия данного субъектом соглашения на обработку персональных данных являются разглашением этой информации. Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный.

Обязуюсь при работе с персональными данными сотрудников министерства соблюдать все требования описанные в приказе министерства от 23 декабря 2010 г. N 191 "Об обработке и обеспечении безопасности персональных данных в информационных системах персональных данных министерства финансов Ставропольского края".

Я подтверждаю, что не имею права разглашать сведения предоставленные субъектами персональных данных:

анкетные и биографические данные;

образование;

сведения о трудовом и общем стаже;

сведения о составе семьи;

паспортные данные;

сведения о воинском учете;

сведения о заработной плате сотрудника;

сведения о социальных льготах;

специальность;

занимаемая должность;

наличие судимостей;

адрес места жительства;

домашний телефон;

место работы или учебы членов семьи и родственников;

характер взаимоотношений в семье;

содержание трудового договора;

состав декларируемых сведений о наличии материальных ценностей;

содержание декларации, подаваемой в налоговую инспекцию;

подлинники и копии приказов по личному составу;

личные дела и трудовые книжки сотрудников;

основания к приказам по личному составу;

дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

копии отчетов, направляемые в контролирующие органы.

Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных, или их утраты я несу ответственность, предусмотренную законодательством Российской Федерации.

"___ " __________ 20__ г.    ______________________ ____________

                                 (Фамилия И.О.)       (подпись)

Приложение 3

к Инструкции по наделению

пользователей информационных систем

персональных данных уникальными

учетными записями и правами доступа

к ресурсам информационных систем

персональных данных министерства финансов

Ставропольского края,

утвержденной приказом

министерства финансов

Ставропольского края

от 23 декабря 2010 г. N 191

Заместителю министра финансов Ставропольского края /__________________/___________/

Заявка
о прекращении предоставления доступа к информационной системе персональных данных министерства финансов Ставропольского края

Прошу Вас прекратить __________________________________________

                                (Ф.И.О. работника)

______________________________________________________________

                            (должность)

______________________________________________________________

                (наименование организации разработчика)

доступ к информационной системе персональных данных министерства финансов Ставропольского края_______________________________________

                          (название информационной системы)

______________________________________________________________

                          (вид доступа)

Руководитель

/____________ _______________/ подпись Ф.И.О. М.П.

Приложение 4

к Инструкции по наделению

пользователей информационных систем

персональных данных уникальными

учетными записями и правами доступа

к ресурсам информационных систем

персональных данных министерства финансов

Ставропольского края,

утвержденной приказом

министерства финансов

Ставропольского края

от 23 декабря 2010 г. N 191

Утверждаю Заместитель министра финансов Ставропольского края __________________/___________/ "____" ______________ 201__ г.

Матрица
доступа к информационным системам персональных данных министерства финансов ставропольского края

Типовая роль	Уровень доступа к ПДн	Разрешенные действия	Фамилия Имя Отчество	Основание
1	2	3	4	5
Администратор ИБ ИСПДн	Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладает полной информацией о технических средствах и конфигурации ИСПДн. Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн. Обладает правами конфигурирования и административной настройки технических средств ИСПДн.	сбор (ввод), систематизация, накопление, хранение, уточнение (обновление, изменение), использование (чтение), распространение (в том числе передача), обезличивание, блокирование, уничтожение
Разработчик ИСПДн	Обладает информацией об алгоритмах и программах обработки информации на ИСПДн. Обладает правами внесения изменений в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения. Располагает всей информаций о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн	систематизация, накопление, хранение, уточнение (обновление), обезличивание, блокирование, уничтожение
Пользователь ИСПДн	Обладает правами доступа к подмножеству ПДн. Располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн.	сбор (ввод), систематизация, накопление, хранение, уточнение (обновление, изменение), использование (чтение), распространение, обезличивание

Начальник отдела информатизации __________________

                                     (подпись)

Администратор

информационной безопасности

информационной системы

персональных данных ___________________

                         (подпись)