Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Распоряжение Администрации Великоустюгского муниципального района Вологодской области от 20 мая 2021 г. N 111 "Об утверждении документов по обеспечению выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных""
- Приложение N 9. Порядок работы персонала информационных систем персональных данных администрации района в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
Приложение N 9. Порядок работы персонала информационных систем персональных данных администрации района в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
Приложение N 9
УТВЕРЖДЕНО
распоряжением
администрации
Великоустюгского муниципального района
от 20.05.2021 N 111
Порядок
работы персонала информационных систем персональных данных администрации района в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
1. Настоящий порядок работы персонала информационных систем персональных данных администрации района в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (далее - порядок) разработан в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных, приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
2. Настоящий порядок определяет действия персонала информационных систем персональных данных администрации района (далее - ИСПДн администрации района) в части обеспечения безопасности персональных данных (далее - ПДн) при их обработке в ИСПДн администрации района.
3. Допуск муниципальных служащих для работы на компьютерах ИСПДн администрации района осуществляется в соответствии с распоряжением администрации Великоустюгского муниципального района от 15.02.2018 N 41 "Об утверждении Перечня муниципальных служащих" и в соответствии со списком лиц, допущенных к работе в ИСПДн администрации района.
4. С целью обеспечения ответственности за нормальное функционирование ИСПДн администрации района распоряжением администрации района от 20.05.2021 N 111 "Об утверждении документов по обеспечению выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"" назначен администратор информационной безопасности администрации района; с целью контроля выполнения необходимых мероприятий по обеспечению безопасности назначается ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн администрации района.
5. Пользователь имеет право в отведённое ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн администрации района. Полномочия пользователей к информационным ресурсам определяются в матрице доступа, которая создаётся ответственным за обеспечение безопасности персональных данных при их обработке в ИСПДн администрации района и утверждается первым заместителем руководителя администрации района. При этом для хранения информации, содержащей ПДн, разрешается использовать только машинные носители информации, учтённые в журнале учёта машинных носителей.
6. Пользователь несёт ответственность за правильность включения и выключения средств вычислительной техники (СВТ), входа в систему и все действия при работе в ИСПДн администрации района.
7. Вход пользователя в систему может осуществляться по выдаваемому ему электронному идентификатору или по персональному паролю.
8. Запись информации, содержащей ПДн, может, осуществляется пользователем на съёмные машинные носители информации, соответствующим образом учтённые в журнале учёта машинных носителей.
9. При работе со съёмными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах ИСПДн администрации района. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями инструкции по антивирусной защите в информационных системах персональных данных администрации района.
10. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ в помещение, в котором производится обработка ПДн, аппаратным средствам, программному обеспечению и данным ИСПДн администрации района, несёт персональную ответственность за свои действия и обязан:
а) строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;
б) знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах ИСПДн администрации района;
в) хранить в тайне свой пароль (пароли) и с установленной периодичностью менять свой пароль (пароли);
г) хранить в установленном порядке своё индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе, или ящике, закрывающемся на ключ;
д) выполнять требования инструкции по антивирусной защите в информационных системах персональных данных администрации района в полном объёме.
Немедленно известить ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн администрации района и (или) администратора информационной безопасности в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении:
1) нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на составляющих узлах и блоках СВТ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее - НСД) к данным СВТ;
2) несанкционированных (произведённых с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн администрации района;
3) отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию СВТ, выхода из строя или неустойчивого функционирования узлов СВТ или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения;
ГАРАНТ:
Нумерация подпунктов приводится в соответствии с источником
г) непредусмотренных отводов кабелей и подключённых устройств.
11. Пользователю ИСПДн администрации района категорически запрещается:
а) использовать компоненты программного и аппаратного обеспечения персонального компьютера в неслужебных целях;
б) вносить какие-либо изменения в конфигурацию аппаратных средств ИСПДн администрации района или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения;
в) осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;
г) записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтённых машинных носителях информации (магнитных дисках и т.п.);
д) оставлять включённым без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
е) оставлять без личного присмотра своё персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);
ё) умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации;
ж) размещать средства ИСПДн администрации района так, чтобы существовала возможность визуального считывания информации.
12. Администратор информационной безопасности (при его отсутствии ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн администрации района) обязан:
1) знать состав основных и вспомогательных технических систем и средств (далее - ОТСС и ВТСС) установленных и смонтированных в ИСПДн администрации района, перечень используемого программного обеспечения (далее - ПО) в ИСПДн администрации района;
2) контролировать целостность печатей (пломб, защитных наклеек) на периферийном оборудовании, защищённых СВТ и других устройствах;
3) производить необходимые настройки подсистемы управления доступом установленных в ИСПДн администрации района СЗИ от НСД и сопровождать их в процессе эксплуатации, при этом:
а) реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.);
б) проводить инструктаж сотрудников - пользователей компьютеров по правилам работы с используемыми техническими средствами;
в) контролировать своевременное (не реже чем один раз в течение 60 дней) проведение смены паролей для доступа пользователей к компьютерам и ресурсам ИСПДн администрации района;
г) обеспечивать постоянный контроль выполнения сотрудниками установленного комплекса мероприятий по обеспечению безопасности информации в ИСПДн администрации района;
д) осуществлять контроль порядка создания, учёта, хранения и использования резервных и архивных копий массивов данных;
е) сопровождать подсистемы обеспечения целостности информации в ИСПДн администрации района;
ё) периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядок и правила проведения антивирусного тестирования:
ж) проводить работу по выявлению возможных каналов вмешательства в процесс функционирования ИСПДн администрации района и осуществления несанкционированного доступа к информации;
з) обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания ИСПДн администрации района и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);
и) присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию ИСПДн администрации района;
й) вести журнал учёта нештатных ситуаций ИСПДн администрации района, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн администрации района;
к) докладывать ответственному за обработку персональных данных о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;
13. Администратор информационной безопасности и ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн администрации района имеют право:
а) требовать от сотрудников - пользователей ИСПДн администрации района соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в ИСПДн администрации района;
б) инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов ИСПДн администрации района;
в) требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
г) участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.