Приложение 3. Порядок соблюдения конфиденциальности при обработке персональных данных. Распоряжение администрации г. Нижневартовска Ханты-Мансийского автономного округа - Югры от 29.12.2012 N 2393-р "Об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в администрации города Нижневартовска" (с изменениями и дополнениями)

Приложение 3
к распоряжению
администрации муниципального образования
города Нижневартовска
от 29 декабря 2012 г. N 2393-р

Порядок
соблюдения конфиденциальности при обработке персональных данных

С изменениями и дополнениями от:

28 марта 2017 г.

I. Общие положения

1.1. Персональные данные, обрабатываемые в информационных системах персональных данных (далее - ИСПДн), являются конфиденциальной информацией и защищаются в соответствии с законодательством Российской Федерации.

1.2. Запрещается обрабатывать и хранить персональные данные конкретных субъектов персональных данных без выполнения условий, указанных в статье 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

1.3. Доступ к ИСПДн производится после ознакомления с Порядком соблюдения конфиденциальности при обработке персональных данных (далее - Порядок).

II. Назначение, цель и область действия

2.1. Настоящий Порядок определяет общие положения по обработке персональных данных в муниципальной информационной сети администрации города с использованием ИСПДн.

2.2. Целью разработки настоящего Порядка является защита персональных данных от несанкционированного доступа к ним.

2.3. В рамках настоящего Порядка к ИСПДн относятся: информационные ресурсы, программное обеспечение, вычислительная техника, технические средства и системы локально-вычислительной сети, используемые для обработки персональных данных.

III. Понятие и состав персональных данных

3.1. Используемые термины определены ст. 3 Федерального закона от 27.07.2006 N 152 "О персональных данных".

3.2. Состав персональных данных, обрабатываемых в администрации города, определен распоряжением администрации города от 25.12.2012 N 2328-р "Об утверждении перечней персональных данных, обрабатываемых в администрации города в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций".

3.3. Под обработкой персональных данных в администрации города понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.

IV. Требования по обработке персональных данных в ИСПДн

4.1. Все действия с персональными данными в ИСПДн пользователей, допущенных к обработке персональных данных, должны выполняться с использованием своей персональной учетной записи (имя пользователя при включении компьютера) и на закрепленном за ними автоматизированном рабочем месте.

4.2. Объем действий, производимых с персональными данными в ИСПДн, определяется возложенными на пользователей служебными полномочиями.

4.3. Действия пользователей с персональными данными, хранимыми на информационных ресурсах администрации города, могут протоколироваться. Ответственность за уничтожение, изменение информации несет пользователь, под чьим именем операция была зарегистрирована.

4.4. Все съемные машинные носители информации (дискеты, съемные жесткие диски, "флешки", оптические диски и др.), необходимые для работы с персональными данными, учитываются в управлении по информационным ресурсам администрации города в журнале учета съемных машинных носителей информации, предназначенных для хранения и обработки персональных данных.

Уничтожение конфиденциальной информации на съемных (отчуждаемых) носителях осуществляется методом многократной (не менее двукратной) перезаписи конфиденциальной информации на носителе с последующей проверкой остаточной информации или иными методами, гарантирующими полное уничтожение конфиденциальной информации без возможности ее восстановления.

Запрещается размещать автоматизированные рабочие места ИСПДн способом, допускающим просмотр отображаемой информации посторонними лицами.

Запрещается передавать персональные данные через сеть Интернет или по электронной почте без использования сертифицированных средств криптографической защиты информации.

О всех нарушениях Порядка пользователь должен письменно проинформировать начальника управления по информационным ресурсам администрации города.

V. Использование паролей

5.1. Доступ к ресурсам должен производиться с использованием периодически сменяемых буквенно-цифровых паролей, удовлетворяющих следующим требованиям:

- пароль содержит не менее шести символов, включая буквы обоих регистров и цифры;

- не является словом, присутствующим в словарях, или профессиональным термином, в том числе набранным в другой раскладке клавиатуры;

- не основывается на семейной, служебной и другой легко доступной информации (фамилии, имена, даты рождения, клички животных, автомобильные и телефонные номера, названия организаций, адреса сайтов и т.п.), в том числе набранным в другой раскладке клавиатуры;

- не содержит легко угадываемые последовательности символов (123456, aaabbb, qwerty, q1w2e3 и т.п.).

5.2. Одним из способов создания безопасных, но легко запоминающихся паролей является кодирование стихотворной строки или осмысленного утверждения. Так, пароль, созданный на основе фразы: "Вот один пример надежного и запоминающегося пароля", может быть таким: "Vot1РN&ZP".

5.3. Временный пароль, создаваемый администратором при заведении учетной записи или смене забытого пароля, должен быть уникальным, передаваться способом, исключающим доступ к нему других лиц, и быть сменен пользователем при первом обращении к компьютеру.

5.4. Пароли, предустановленные производителем, должны сменяться до начала эксплуатации ресурсов.

5.5. Смена пароля пользователем должна производиться не реже одного раза в квартал или при обнаружении фактов, указывающих на его возможную компрометацию.

5.6. В зависимости от критичности информационно-технологического ресурса его владельцем могут быть установлены более высокие требования к сложности пароля и периодичности смены.

5.7. Пароли ключевых учетных записей критически важных ресурсов должны сохраняться в запечатанном конверте в сейфе управления по информационным ресурсам администрации города.

5.8. Запрещается:

- сообщать свой персональный пароль другим лицам или записывать его на материальных носителях, доступных для других лиц (кроме предусмотренных случаев сохранения паролей ключевых учетных записей владельцем ресурсов);

- сохранять пароль в программно-технических средствах в открытом виде или использовать средства его автоматического ввода;

- использовать легко угадываемый алгоритм смены пароля, учетные записи других лиц.

VI. Требования к администратору ИСПДн

Информация об изменениях:

Распоряжением администрации муниципального образования г. Нижневартовск от 28 марта 2017 г. N 418-р пункт 6.1 изложен в новой редакции, вступающей в силу после официального опубликования названного распоряжения

См. текст пункта в предыдущей редакции

6.1. Администратор безопасности ИСПДн - лицо, на которое возложены обязанности по обеспечению безопасности информационных систем персональных данных в администрации города.

Информация об изменениях:

Распоряжением администрации муниципального образования г. Нижневартовск от 28 марта 2017 г. N 418-р в пункт 6.2 внесены изменения, вступающие в силу после официального опубликования названного распоряжения

См. текст пункта в предыдущей редакции

6.2. Администратор безопасности ИСПДн обязан:

- вести учет лиц, допущенных к работе с персональными данными, в информационных системах администрации города;

- разграничивать доступ пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

- регистрировать действия пользователей и обслуживающего персонала, контролировать несанкционированный доступ и действия пользователей, обслуживающего персонала и посторонних лиц;

- администрировать средства антивирусной защиты ИСПДн, средства и системы защиты персональных данных в ИСПДн;

- осуществлять резервное копирование баз данных ИСПДн;

- вести учет съемных машинных носителей информации, предназначенных для хранения и обработки персональных данных;

- поддерживать вычислительную технику, активное и пассивное сетевое оборудование в рабочем состоянии и проводить профилактические работы;

- выполнять резервное копирование баз данных ИСПДн;

- регулярно проверять серверы на наличие компьютерных вирусов;

- проводить среди пользователей разъяснительную работу по вопросам информационной безопасности;

- не разглашать информацию, полученную в ходе выполнения служебных обязанностей и не имеющую прямого отношения к выполняемым обязанностям;

- ставить в известность пользователей ИСПДн при плановом или аварийном отключении оборудования общего пользования;

- проводить мониторинг состояния компьютерной сети, оборудования общего пользования и обеспечения информационной безопасности ИСПДн;

- фиксировать все инциденты, повлекшие за собой нарушение правил работы в ИСПДн и информационной безопасности ИСПДн, и предлагать главе города по согласованию с заместителем главы города по экономике приостановку или прекращение обработки персональных данных в структурных подразделениях, допустивших нарушения, которые могут привести к нарушению прав субъектов персональных данных;

- получать средства криптографической защиты информации, поступающие в администрацию города;

- вести поэкземплярный учет и хранение используемых средств криптографической защиты информации, эксплуатационной и технической документации к ним, криптоключей (ключевых документов);

- выдавать под роспись средства криптографической защиты информации сотрудникам администрации города для выполнения своих профессиональных обязанностей.

6.3. Администратор вправе:

- без предупреждения удалять с дисков общего пользования игровые программы и программы, предназначенные для нарушения информационной безопасности, файлы, зараженные компьютерными вирусами, файлы, содержащие мультимедиа-информацию, не имеющую отношения к выполняемым обязанностям пользователя;

- при необходимости, для устранения возникших проблем, просматривать пользовательские файлы, данные и электронную почту.

6.4. Администратору запрещено:

- предоставлять доступ или изменять права доступа к ИСПДн без соблюдения Порядка;

- нарушать при администрировании ИСПДн общие правила информационной безопасности.

Информация об изменениях:

Распоряжением администрации муниципального образования г. Нижневартовск от 28 марта 2017 г. N 418-р в раздел VII внесены изменения, вступающие в силу после официального опубликования названного распоряжения

См. текст раздела в предыдущей редакции

VII. Ответственность

Пользователи ИСПДн, администратор безопасности ИСПДн, допустившие несанкционированный доступ к ИСПДн, повлекший нарушение целостности информации, обрабатываемой в администрации города, несут ответственность в соответствии с действующим законодательством.