Приложение 6. Руководство пользователя в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Постановление Администрации г. Сургута Ханты-Мансийского автономного округа - Югры от 05.06.2015 N 3833 "Об утверждении руководящих документов по организации защиты персональных данных при их обработке в информационных системах персональных данных"

Приложение 6
к постановлению Администрации г. Сургута
от 5 июня 2015 г. N 3833

Руководство
пользователя в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных

1. Общие положения

1.1. Пользователи получают допуск к работам в информационной системе персональных данных (далее - ИСПДн) на основании регламентов разграничения прав доступа в ИСПДн, принятых у оператора.

1.2. Пользователи ИСПДн в пределах своих функциональных обязанностей обеспечивают безопасность информации, обрабатываемой, передаваемой и хранимой в ИСПДн.

1.3. Пользователи ИСПДн руководствуются положениями настоящего руководства и других руководящих документов по защите информации и персональных данных (далее - ПДн), принятых у оператора, а также требованиями эксплуатационных документов на используемые средства защиты информации (далее - СЗИ), технические и программные средства ИСПДн.

1.4. Методическое руководство деятельностью пользователей ИСПДн осуществляется уполномоченной организацией по обеспечению безопасности персональных данных при их обработке в муниципальных ИСПДн (далее - уполномоченная организация).

2. Обязанности пользователей в части обеспечения информационной безопасности при работе в ИСПДн

2.1. Каждый пользователь ИСПДн, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:

2.1.1. Хранить в тайне сведения о ПДн субъектов, ставшие известными ему в соответствии с родом работы.

2.1.2. Хранить в тайне свой пароль (пароли).

2.1.3. В соответствии с требованиями инструкции по организации парольной защиты менять свой пароль (пароли) с установленной периодичностью.

2.1.4. Выполнять требования инструкции по организации антивирусной защиты в части, касающейся действий пользователей рабочих станций ИСПДн.

2.1.5. Строго соблюдать:

- требования настоящего руководства;

- требования документов по защите информации и ПДн, принятых у оператора;

- правила работы с общесистемным и прикладным программным обеспечением, средствами защиты информации, используемыми у оператора.

2.1.6. Для хранения ПДн использовать только учтенные установленным порядком машинные носители информации, соблюдать порядок учета, обращения и хранения учтенных машинных носителей информации (гибкие машинные носители, оптические диски, flash-диски и другие носители) согласно правилам работы с носителями персональных данных.

2.1.7. При выходе в течение рабочего дня из помещения, в котором располагаются элементы ИСПДн, убирать документы и машинные носители информации, содержащие ПДн, в предназначенные для этого хранилища (запираемые шкафы, ящики столов, тумбочки), закрывать и при необходимости опечатывать, а также закрывать само помещение.

2.1.8. Располагать экран видеомонитора в помещении во время работы так, чтобы исключалась возможность ознакомления посторонними лицами с отображаемой на нем информацией.

2.1.9. Немедленно оповещать сотрудников уполномоченной организации и ставить в известность ответственного за организацию обработки персональных данных в случае утери индивидуального устройства идентификации (при наличии) или при подозрении компрометации личного пароля, а также при обнаружении:

- нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на системном блоке или иных фактов совершения в его отсутствие попыток несанкционированного доступа;

- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств;

- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ПЭВМ, выхода из строя или неустойчивого функционирования узлов ПЭВМ или периферийных устройств (дисководов, принтера и тому подобное), а также перебоев в системе электроснабжения;

- некорректного функционирования установленных на ПЭВМ технических средств защиты, не предусмотренных формуляром ПЭВМ (техническим паспортом ИСПДн) отводов кабелей и подключенных устройств.

2.1.10. Присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленной за ним ПЭВМ в подразделении.

2.2. Пользователям категорически запрещается:

- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;

- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами рабочих станций (техническим паспортом ИСПДн);

- осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;

- записывать и хранить информацию, содержащую сведения о ПДн, на неучтенных машинные носителях информации;

- оставлять включенной без присмотра свою рабочую станцию, не активизировав временную блокировку экрана и клавиатуры;

- передавать кому-либо свое индивидуальное устройство идентификации (при наличии) или другие реквизиты разграничения доступа (кроме сотрудников уполномоченной организации или ответственного за организацию обработки персональных данных установленным порядком);

- оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), машинные носители и распечатки, содержащие сведения ПДн;

- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. При обнаружении такого рода ошибок ставить в известность сотрудников уполномоченной организации;

- использовать нештатные технические средства и системы;

- самостоятельно вносить изменения в состав, конфигурацию и размещение технических средств;

- использовать нештатные программные средства;

- проводить обработку ПДн при неисправно работающих средствах защиты информации;

- вносить изменения в средства защиты информации, используемые на объекте информатизации;

- допускать к работам в ИСПДн лиц, не имеющих допуска к этим работам;

- обрабатывать информацию в случае, если имеют место неисправности, создающие предпосылки для утечки ПДн.

3. Права пользователей ИСПДн

3.1. Обрабатывать ПДн в соответствии и в рамках полученного служебного задания на выполнение работ.

3.2. Обращаться к сотрудникам уполномоченной организации с просьбой об оказании методической помощи.

4. Ответственность пользователей ИСПДн

4.1. Пользователи ИСПДн несут ответственность в полном объеме в соответствии с действующим законодательством Российской Федерации за разглашение сведений, содержащих ПДн, ставших известными им в соответствии с родом работы, а также утрату носителей информации и выходных документов, содержащих ПДн.

5. Правила работы в сетях связи общего пользования и (или) сетях международного информационного обмена

5.1. Работа в сетях связи общего пользования и (или) международного информационного обмена (сети Интернет и других) (далее - сеть) на элементах ИСПДн должна проводиться при служебной необходимости с соблюдением правил, установленных настоящим руководством.

5.2. При работе в сети запрещается:

- осуществлять работу при отключенных средствах защиты информации (антивирусов и других);

- передавать по сети защищаемую информацию без использования средств защиты каналов связи;

- скачивать из сети программное обеспечение;

- посещение сайтов сомнительной репутации (порно-сайты, сайты, содержащие нелегально распространяемое ПО, и другие);

- нецелевое использование подключения к сети.

5.3. При работе с ресурсами сети запрещается:

- разглашать коммерческую информацию и ПДн, ставшие известными по служебной необходимости либо иным путем;

- распространять защищаемые авторскими правами материалы, затрагивающие какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны;

- публиковать, загружать и распространять материалы, содержащие вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в сети, а также размещать ссылки на вышеуказанную информацию;

- загружать и запускать исполняемые либо иные файлы без предварительной проверки на наличие вирусов установленным антивирусным пакетом;

- использовать анонимные прокси-серверы;

- использовать программные и аппаратные средства, позволяющие получить доступ к ресурсу, запрещенному к использованию политикой оператора.

5.4. Возможность получить доступ к ресурсу не является гарантией того, что запрошенный ресурс является разрешенным политиками оператора.

6. Правила работы с корпоративной электронной почтой

6.1. Электронная почта является собственностью оператора и может быть использована только в служебных целях. Использование электронной почты в иных целях категорически запрещено.

6.2. При работе с корпоративной системой электронной почты пользователям запрещается:

- использовать адрес корпоративной почты для оформления подписок без предварительного согласования;

- публиковать свой адрес либо адреса других сотрудников на общедоступных интернет-ресурсах (форумы, конференции и тому подобное) без предварительного согласования;

- открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами, даже если отправитель письма хорошо известен;

- рассылать через электронную почту материалы, содержащие вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в сети, а также ссылки на вышеуказанную информацию;

- распространять защищаемые авторскими правами материалы, затрагивающие какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ними права третьей стороны;

- распространять информацию, содержание и направленность которой запрещены международным законодательством и законодательством Российской Федерации, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и так далее;

- распространять информацию ограниченного доступа, представляющую коммерческую тайну или информацию со сведениями ПДн, ставшей известной по служебной необходимости либо иным путем;

- предоставлять, кому бы то ни было пароль доступа к своему почтовому ящику.

7. Выдержки из статей Уголовного кодекса Российской Федерации

Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну

1. Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений - наказываются штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.

2. Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельцев, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, - наказывается штрафом в размере от двухсот до пятисот минимальных окладов оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительным работам на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сетей, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказывается лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказывается лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьми-десяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

Статья 293. Халатность

Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок от шести месяцев до одного года, либо арестом на срок до трех месяцев.