Вход
Постановление Администрации города Перми от 19 ноября 2021 г. N 1037 "Об утверждении Порядка эксплуатации информационной системы персональных данных администрации города Перми "Обращения жителей" (с изменениями и дополнениями)
Постановление Администрации города Перми от 19 ноября 2021 г. N 1037
"Об утверждении Порядка эксплуатации информационной системы персональных данных администрации города Перми "Обращения жителей"
В соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Политикой информационной безопасности администрации города Перми, утвержденной распоряжением администрации города Перми от 30 июня 2016 г. N 79, администрация города Перми постановляет:
1. Утвердить прилагаемый Порядок эксплуатации информационной системы персональных данных администрации города Перми "Обращения жителей".
2. Руководителям функциональных, территориальных органов, функциональных подразделений администрации города Перми обеспечить ознакомление муниципальных служащих, уполномоченных на обработку персональных данных в информационной системе персональных данных администрации города Перми "Обращения жителей", с настоящим постановлением.
3. Настоящее постановление вступает в силу со дня официального опубликования в печатном средстве массовой информации "Официальный бюллетень органов местного самоуправления муниципального образования город Пермь".
4. Управлению по общим вопросам администрации города Перми обеспечить опубликование настоящего постановления в печатном средстве массовой информации "Официальный бюллетень органов местного самоуправления муниципального образования город Пермь".
5. Информационно-аналитическому управлению администрации города Перми обеспечить опубликование (обнародование) настоящего постановления на официальном сайте муниципального образования город Пермь в информационно-телекоммуникационной сети Интернет.
6. Контроль за исполнением настоящего постановления возложить на исполняющего обязанности руководителя аппарата администрации города Перми Молоковских А.В.
|
Глава города Перми |
А.Н. Дёмкин |
Порядок
эксплуатации информационной системы персональных данных администрации города Перми "Обращения жителей"
(утв. постановлением администрации города Перми от 19 ноября 2021 г. N 1037)
I. Общие положения
1.1. Настоящий Порядок эксплуатации информационной системы персональных данных администрации города Перми "Обращения жителей" (далее - Порядок, Система) разработан в соответствии с требованиями действующего законодательства о защите персональных данных, обрабатываемых в информационных системах персональных данных, и устанавливает единые правила ведения и формирования Системы, порядок и условия доступа к информационным ресурсам Системы.
1.2. Целью создания Системы является создание информационной основы, поддерживающей деятельность администрации города Перми по учету и обеспечению своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции администрации города Перми.
1.3. Система обеспечивает:
подачу в электронной форме обращений граждан и иной информации, необходимой для рассмотрения обращений граждан, посредством публичного сегмента, доступного из информационно-телекоммуникационной сети Интернет;
прием, регистрацию и защищенное хранение обращений граждан, содержащих персональные данные, поступающих в администрацию города Перми;
формирование единой базы данных обращений граждан в администрацию города Перми;
предоставление в установленном порядке информации и доступа к сведениям об обращениях граждан и ходе их рассмотрения;
создание инструментов для эффективного планирования и контроля исполнения по обращениям граждан;
отправку отчетов о результатах рассмотрения обращений граждан на портал ССТУ.РФ.
1.4. Эксплуатация Системы осуществляется в соответствии с федеральными законами от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
1.5. Обработка персональных данных в Системе осуществляется с целью реализации гражданами прав на обращение в орган местного самоуправления в соответствии с федеральными законами от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", от 09 февраля 2009 года N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления".
1.6. Система является муниципальной межведомственной информационной системой администрации города Перми.
II. Основные понятия, используемые в настоящем Порядке
2.1. Система - информационная система персональных данных администрации города Перми "Обращения жителей", представляющая собой совокупность информации, представляемой гражданами, обратившимися в администрацию города Перми, информационных технологий и технических средств, позволяющих осуществлять их обработку.
2.2. Интернет-приемная администрации города Перми (далее - Интернет-приемная) - подсистема Системы, предназначенная для осуществления приема и регистрации обращений граждан, включающая публичный сегмент, доступный из информационно-телекоммуникационной сети Интернет по адресу: reception.gorodperm.ru.
2.3. Оператор - отдел по работе с обращениями граждан администрации города Перми (далее - ОРОГ). В соответствии с полномочиями осуществляет деятельность по эксплуатации Системы, в том числе по обработке информации, содержащейся в базах данных Системы, определяет цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными в Системе.
2.4. Участники - функциональные подразделения, функциональные и территориальные органы администрации города Перми, которым необходим доступ к информации, обрабатываемой в Системе, для исполнения возложенных на них функций и полномочий.
Участниками Системы могут являться муниципальные учреждения и предприятия города Перми, подведомственные администрации города Перми, уполномоченные для выполнения функций, необходимых для достижения цели обработки персональных данных, указанной в пункте 1.5 настоящего Порядка, на основании заключенного с администрацией города Перми соглашения об информационном взаимодействии (далее - муниципальные учреждения, предприятия, Соглашение), при условии исполнения требований Порядка распространения действия аттестата соответствия объекта информатизации информационной системы персональных данных администрации города Перми "Обращения жителей" требованиям безопасности информации на автоматизированные рабочие места пользовательского сегмента информационной системы персональных данных администрации города Перми "Обращения жителей" (далее - Порядок распространения аттестата соответствия), являющегося приложением 1 к настоящему Порядку.
2.5. Администратор - управление информационных технологий администрации города Перми. Осуществляет функции по выработке требований к проектированию, реализации, сопровождению, в том числе по обеспечению безопасности информации, обрабатываемой в Системе, в соответствии с действующим законодательством, управлению общим техническим оборудованием и программным обеспечением Системы.
2.6. Администратор безопасности - служащий Администратора, отвечающий за организацию установки и настройки средств защиты информации на технических средствах, предназначенных для обработки информации в Системе.
2.7. Регистратор обращений - лицо, уполномоченное Оператором или Участником на регистрацию обращений граждан, обработку информации, в том числе персональных данных в Системе.
2.8. Регистрация обращения - формирование обращений граждан, поступивших в администрацию города Перми разными способами (почта, факс, лично от граждан и другими), Регистратором обращений.
2.9. Системный администратор - лицо, обеспечивающее выполнение функций по обеспечению работы компьютерной техники, сети и программного обеспечения в функциональном, территориальном органе администрации города Перми.
2.10. Субъект персональных данных - лицо, обратившееся в администрацию города Перми для реализации прав граждан на обращение в орган местного самоуправления и предоставившее свои персональные данные в соответствии с требованиями действующего законодательства Российской Федерации.
2.11. Пользователь - Администратор безопасности, Регистратор обращений, граждане, направившие индивидуальные или коллективные обращения в форме электронного документа через Интернет-приемную, являющиеся Субъектами персональных данных.
2.12. Допуск к Системе - процедура оформления права на доступ к информации, обрабатываемой в Системе.
2.13. Доступ к Системе - возможность обработки информации в Системе, в том числе ввод информации, регистрация обращений граждан, в соответствии с установленными правами доступа.
2.14. Права доступа - набор операций, которые может выполнять Пользователь в Системе.
2.15. ССТУ.РФ - сетевой справочный телефонный узел - информационный ресурс в информационно-телекоммуникационной сети Интернет.
2.16. ЕСИА - Федеральная государственная информационная система "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", используемая для авторизации пользователей в Интернет-приемной.
2.17. Система электронного документооборота (далее - СЭД) - автоматизированная информационная система электронного документооборота, обеспечивающая сбор электронных документов, их включение в систему, обработку, управление документами и доступ к ним.
2.18. Иные термины и понятия, используемые в настоящем Порядке, применяются в значении, используемом в действующем законодательстве.
III. Информация, обрабатываемая в Системе
3.1. В Системе содержится следующая информация:
сведения об Участниках и Пользователях Системы;
обращения граждан;
информация об исполнении поручений по обращениям граждан.
3.2. В Системе обрабатываются следующие персональные данные Субъектов персональных данных:
фамилия, имя, отчество (последнее при наличии);
социальная группа;
льготный состав;
адрес для направления ответа (почтовый адрес, адрес электронной почты);
указанный в обращении контактный телефон;
иные персональные данные, указанные Субъектом персональных данных в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
3.3. Запрещается обработка в Системе информации, содержащей сведения, относящиеся к государственной тайне, а также информации, за распространение которой предусмотрена уголовная или административная ответственность.
3.4. Обработка персональных данных в Системе в связи с исполнением функций, указанных в пункте 1.5 настоящего Положения, осуществляется без согласия Субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
3.5. Особенности размещения информации в Интернет-приемной.
3.5.1. Формирование и направление электронного обращения Пользователи, являющиеся Субъектами персональных данных, осуществляют посредством публичного сегмента Интернет-приемной в разделе "Отправить обращение".
3.5.2. Для формирования электронного сообщения Пользователь, являющийся Субъектом персональных данных, выбирает вариант подачи обращения:
обращение, которое может служить основанием для проведения внеплановой проверки (требуется авторизация в ЕСИА);
обращение, не требующее проведения внеплановой проверки (без авторизации в ЕСИА).
3.5.3. При формировании обращения в форме электронного документа необходимо:
выбрать адресата и тип обращения;
разместить в поле "Текст сообщения" текст электронного обращения;
прикрепить документы и материалы в электронной форме (при наличии);
указать персональные данные на отмеченных звездочкой полях формы, заполнение которых является обязательным: фамилию, имя, отчество (последнее при наличии), адрес электронной почты, если ответ должен быть направлен в форме электронного документа, и почтовый адрес, если ответ должен быть направлен в письменной форме. Остальные поля, не отмеченные звездочкой, заполняются по желанию Субъекта персональных данных.
3.5.4. Вложенные документы и материалы в электронной форме должны быть представлены без архивирования. Для вложений допустимы следующие форматы файлов:
текстового (графического) формата: txt, doc, docx, rtf, xls, xlsx, pps, ppt, odt, ods, odp, pub, pdf, jpg, jpeg, bmp, png, tif, gif, pcx;
аудио- (видео-) формата: mp3, wma, avi, mp4, mkv, wmv, mov, flv.
Иные форматы не обрабатываются. Максимальный суммарный размер файлов 10 Мб.
3.5.5. Датой обращения в форме электронного документа является дата его размещения в Интернет-приемной, которая фиксируется автоматически в момент отправки заполненной формы электронного сообщения.
3.5.6. Все поступившие через Интернет-приемную обращения обрабатываются Регистраторами обращений в порядке, установленном Федеральным законом от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" и постановлением администрации города Перми от 18 июня 2021 г. N 451 "Об утверждении Регламента работы по рассмотрению обращений граждан в администрации города Перми и о признании утратившими силу отдельных постановлений администрации города Перми".
IV. Операции, выполняемые с персональными данными в Системе
4.1. С обрабатываемыми в Системе персональными данными возможно выполнение следующих операций: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, уничтожение, удаление.
4.2. Сбор персональных данных осуществляется путем их получения непосредственно от Субъектов персональных данных.
4.3. Запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Субъектов персональных данных осуществляется путем внесения в электронные учетные формы:
Субъектами персональных данных посредством публичного сегмента Интернет-приемной лично;
Регистраторами обращений при регистрации обращения либо при получении уведомления от Субъекта персональных данных об уточнении (обновлении, изменении) персональных данных.
4.4. Передача (предоставление, доступ), извлечение и использование персональных данных Субъектов персональных данных, обрабатываемых в Системе, осуществляется только в случаях и в порядке, предусмотренных законодательством Российской Федерации.
4.5. Передача (предоставление) данных в ССТУ.РФ осуществляется в соответствии с Указом Президента Российской Федерации от 17 апреля 2017 г. N 171 "О мониторинге и анализе результатов рассмотрения обращений граждан и организаций".
4.6. Хранение персональных данных осуществляется в подсистеме защищенного хранилища документов Системы.
4.7. Персональные данные Субъектов персональных данных хранятся в течение пяти лет в соответствии с действующим законодательством Российской Федерации.
4.8. Уточнение (обновление, изменение), блокирование, уничтожение персональных данных в Системе осуществляют Оператор, Участники, Регистраторы обращений в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
4.9. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления персональных данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
Уничтожение персональных данных на электронных носителях производится по акту в порядке, установленном Инструкцией по делопроизводству в администрации города Перми, утвержденной распоряжением администрации города Перми от 31 мая 2012 г. N 15-р.
4.10. Трансграничная передача персональных данных, обрабатываемых в Системе, не осуществляется.
4.11. Доступ к работе в Системе осуществляется в соответствии с разделом 5 настоящего Порядка.
V. Порядок предоставления доступа к работе в Системе
5.1. Руководитель Участника:
определяет необходимость доступа служащего (сотрудника) к Системе в соответствии с должностными обязанностями служащего;
обеспечивает оформление допуска к Системе в соответствии с пунктом 5.2 настоящего Порядка;
обеспечивает направление заявки на предоставление, прекращение доступа к Системе по форме согласно приложению 2 к настоящему Порядку (далее - Заявка) Администратору по СЭД в течение 3 рабочих дней с даты издания приказа о назначении, увольнении или изменения должностных обязанностей служащего (сотрудника).
5.2. Процедура оформления допуска к Системе предусматривает:
назначение служащего (сотрудника) уполномоченным лицом, осуществляющим обработку информации в Системе, - Регистратором обращений;
принятие служащим (сотрудником) обязательств по соблюдению конфиденциальности персональных данных, обрабатываемых в Системе;
ознакомление служащего (сотрудника) с нормами законодательства Российской Федерации о персональных данных, настоящим Порядком, нормами, предусматривающими ответственность за их нарушение.
5.3. Доступ к Системе Регистраторам обращений предоставляется только с автоматизированного рабочего места (далее - АРМ), на котором выполняются требования Порядка распространения аттестата соответствия, в том числе установлены средства защиты информации (далее - СЗИ).
5.4. Установку СЗИ на АРМ Пользователей в функциональных подразделениях администрации города Перми, управлении жилищных отношений администрации города Перми осуществляет Администратор, в функциональных, территориальных органах администрации города Перми - Администратор совместно с системным администратором.
Обеспечение и установку СЗИ на АРМ Пользователей Участников, являющихся муниципальным учреждением, предприятием, осуществляет Участник самостоятельно за счет собственных средств.
5.5. Администратор безопасности осуществляет учет технических средств и систем Оператора, Участников, Администратора, участвующих в обработке информации в Системе, путем ведения перечня основных технических средств и систем Системы (далее - ОТСС, Перечень ОТСС). Включение, исключение ОТСС Участника в Перечень ОТСС осуществляется на основании Заявки Участника, составленной по форме согласно приложению 1 к Порядку распространения аттестата соответствия.
5.6. Запрещается осуществление доступа к Системе с использованием АРМ, не включенных в Перечень ОТСС, а также с неустановленными или отключенными СЗИ.
5.7. Вход Пользователей в Систему осуществляется по имени (логину) и паролю. Пароль доступа должен содержать не менее 8 символов, содержать строчные и прописные буквы, цифры, специальные символы. В случае компрометации пароля Пользователю необходимо изменить пароль.
5.8. Пользователи, являющиеся Субъектами персональных данных, получают доступ в Систему после регистрации личного кабинета путем личного заполнения электронной формы в Интернет-приемной или через ЕСИА.
5.9. Предоставление доступа, прекращение доступа в Систему Регистраторам обращений осуществляется Администратором на основании Заявки, поступившей по СЭД от Участника.
Прекращение доступа в Систему осуществляется в день получения Заявки Администратором безопасности.
Для предоставления доступа в Систему Администратор безопасности проверяет наличие распространения аттестата соответствия на АРМ, указанный в Заявке. При наличии распространения аттестата соответствия предоставление доступа осуществляется в течение 3 рабочих дней с даты получения Заявки по СЭД.
При отсутствии распространения аттестата соответствия Заявка отклоняется до выполнения требований Порядка распространения аттестата соответствия.
5.10. Предоставление доступа Регистраторам обращений осуществляется путем заполнения Администратором безопасности электронной формы в Интернет-приемной и созданием кабинета регистратора.
5.11. При предоставлении доступа на электронную почту Пользователя, указанную при регистрации, направляется уведомление о регистрации Пользователя в Системе. Для завершения процесса регистрации в Системе Пользователь должен перейти по ссылке, указанной в уведомлении.
VI. Функции, права и обязанности Оператора, Участников, Администратора, Администратора безопасности, Пользователей Системы
6.1. Функции, права и обязанности Оператора:
6.1.1. Оператор в соответствии с установленными полномочиями:
определяет состав персональных данных, подлежащих обработке в Системе, необходимый для достижения указанной в пункте 1.5 настоящего Порядка цели обработки персональных данных;
осуществляет обработку информации в Системе;
согласовывает проект Соглашения с Участниками, не являющимися функциональными, территориальными органами, функциональными подразделениями администрации города Перми;
координирует деятельность Участников Системы, Регистраторов обращений по вопросам эффективного использования Системы;
6.1.2. Оператор имеет право:
требовать от Участников, Регистраторов обращений выполнения положений настоящего Порядка;
осуществлять контроль за соблюдением Участниками положений настоящего Порядка.
6.1.3. Оператор обязан:
своевременно доводить до Участников требования по вопросам эффективного использования Системы;
выполнять требования по защите информации, в том числе персональных данных, обрабатываемых в Системе.
6.2. Функции, права и обязанности Участников:
6.2.1. Участники осуществляют обработку информации, в том числе персональных данных, обрабатываемых в Системе, в пределах своей компетенции.
6.2.2. Участники имеют право:
получать доступ к Системе, информации, в том числе персональным данным, обрабатываемым в Системе, посредством использования общих технических средств и программного обеспечения Системы;
направлять предложения Оператору по оптимизации эксплуатации Системы;
вносить предложения Администратору о необходимых улучшениях в части функционирования Системы и (или) обеспечения защиты информации;
6.2.3. Участники обязаны:
осуществлять использование Системы с соблюдением установленных настоящим Порядком требований;
выполнять требования по защите информации, в том числе персональных данных, обрабатываемым в Системе;
определять и оборудовать в соответствии с требованиями Администратора АРМ Регистратора обращений;
назначать Регистраторов обращений и направлять Заявку Администратору в порядке, установленном пунктом 5.1 настоящего Порядка;
своевременно доводить до Регистраторов обращений требования по эксплуатации Системы и (или) обеспечению безопасности информации, в том числе персональных данных, обрабатываемых в Системе;
требовать от Регистраторов обращений исполнения требований по использованию Системы и (или) обеспечению безопасности информации, в том числе персональных данных, обрабатываемых в Системе;
предотвращать действия Регистраторов обращений, направленные на нарушение процесса функционирования Системы и (или) безопасности информации, в том числе персональных данных, обрабатываемых в Системе;
уведомлять Администратора о сбоях и нарушениях в работе Системы.
6.3. Функции, права и обязанности Администратора.
6.3.1. Администратор в соответствии с установленными полномочиями:
определяет требования к формированию, проектированию и реализации Системы, в том числе по обеспечению безопасности информации, в том числе персональных данных, обрабатываемых в Системе, в соответствии с действующим законодательством;
обеспечивает резервное копирование и архивное хранение программного обеспечения, баз данных Системы;
обеспечивает надежное функционирование общего серверного, телекоммуникационного оборудования, каналов передачи данных, участвующих в обработке информации Системы;
определяет требования к рабочему месту Регистратора обращений;
организует планирование и выполнение мероприятий по обеспечению защиты информации, в том числе персональных данных, разработке организационных и технических документов, проведению оценки защищенности по требованиям безопасности информации (аттестации) Системы в соответствии с требованиями действующего законодательства Российской Федерации;
обеспечивает назначение Администратора безопасности;
обеспечивает заключение Соглашения с Участниками, не являющимися функциональными, территориальными органами, функциональными подразделениями администрации города Перми;
6.3.2. Администратор имеет право:
требовать от Участников, Регистраторов обращений выполнения правил эксплуатации Системы, в том числе мероприятий по обеспечению безопасности персональных данных, обрабатываемых в Системе;
контролировать выполнение Участниками, Регистраторами обращений, требований по обеспечению безопасности информации, в том числе персональных данных, обрабатываемых в Системе, правильность применения установленных СЗИ;
контролировать действия Пользователей, являющихся Субъектами персональных данных, и прекращать (блокировать) их доступ к Системе в случае возникновения угрозы безопасности информации до устранения причин ее возникновения;
6.3.3. Администратор обязан:
направлять в ОРОГ информацию о регистрации, прекращении, блокировании доступа Участников;
доводить до сведения Участников требования к АРМ Регистратора обращений по обеспечению безопасности информации, в том числе персональных данных, обрабатываемых в Системе;
направлять информацию Участникам о возникновении угрозы безопасности информации, прекращении, блокировании доступа к Системе;
направлять Пользователям, являющимся Субъектами персональных данных, информацию о прекращении (блокировании) их доступа к Системе, причинах прекращения (блокирования) их доступа к Системе, порядке восстановления доступа к Системе;
выполнять требования по защите информации, в том числе персональных данных, обрабатываемых в Системе.
6.4. Функции, права и обязанности Администратора безопасности:
6.4.1. Администратор безопасности в рамках своих полномочий:
обеспечивает ведение учета ОТСС Системы;
организует установку СЗИ на АРМ Регистраторов обращений в порядке, определенном пунктом 5.5 настоящего Порядка;
осуществляет регистрацию, доступ, блокировку доступа к ресурсам Системы Участников;
осуществляет регистрацию, доступ, блокировку доступа к ресурсам Системы Регистраторов обращений на основании Заявки Участника, ведет учет Пользователей;
обеспечивает планирование и выполнение мероприятий по обеспечению защиты информации, в том числе персональных данных, разработке организационных и технических документов, проведению оценки защищенности по требованиям безопасности информации (аттестации) Системы в соответствии с требованиями действующего законодательства Российской Федерации;
6.4.2. Администратор безопасности имеет право:
прекращать (блокировать) доступ к Системе Участников, Регистраторов обращений в случае возникновения угрозы безопасности информации до устранения причин ее возникновения;
контролировать выполнение Участниками, Регистраторами обращений требований по обеспечению безопасности информации, в том числе персональных данных, обрабатываемых в Системе, правильность применения установленных СЗИ;
контролировать действия Пользователей, являющихся Субъектами персональных данных, и прекращать (блокировать) их доступ к Системе в случае возникновения угрозы безопасности информации до устранения причин ее возникновения;
информировать Администратора о выявленных нарушениях безопасности информации Участниками, Пользователями, возникновении угроз безопасности;
6.4.3. Администратор безопасности обязан:
консультировать Участников, Регистраторов обращений по вопросам функционирования Системы, СЗИ;
осуществлять предоставление доступа Регистраторам обращений в Систему только на основании Заявки Участника;
в случае выявления конфликтов при работе СЗИ, приводящих к затруднению (нарушению) обработки информации в Системе, принимать меры к устранению таких конфликтов;
анализировать журналы СЗИ на предмет выявления попыток несанкционированного доступа и нарушений Пользователями своих полномочий;
в случае обнаружения угрозы нарушения или нарушения безопасности персональных данных, обрабатываемых в Системе, определять причину возникновения, локализовать, и принимать меры к ликвидации угрозы нарушения или нарушения безопасности информации, обрабатываемой в Системе, и их последствий;
выполнять требования по защите информации, в том числе персональных данных, обрабатываемых в Системе.
6.5. Функции, права и обязанности Регистратора обращений:
6.5.1. Регистратор обращений осуществляет с использованием кабинета регистратора:
авторизацию в Системе;
просмотр сведений об обращениях граждан, зарегистрированных Регистратором;
просмотр сведений об обращениях граждан, направленных в адрес Участника;
формирование обращений граждан;
просмотр отчетов по обращениям граждан;
отправку данных о обращениях граждан в ССТУ.РФ;
получение и отображение в пользовательском интерфейсе данных от сервиса построения отчетов;
6.5.2. Регистратор обращений имеет право:
знакомиться с действующим законодательством в области защиты информации, персональных данных, требованиями по эксплуатации Системы, обеспечению безопасности информации, в том числе персональных данных, обрабатываемых в Системе;
получать консультации от Оператора в части формирования, регистрации обращений граждан, функционального использования Системы;
получать консультации от Администратора по функционированию Системы, установленных СЗИ;
6.5.3. Регистратор обращений обязан:
осуществлять доступ к ресурсам Системы только с установленного АРМ с использованием своих персонального идентификатора (login) и пароля;
обеспечивать конфиденциальность своей идентификационной информации;
обеспечивать конфиденциальность, полноту, достоверность и актуальность размещаемой в Системе информации, содержащейся в обращениях граждан;
немедленно обращаться к Администратору в случаях отказа идентификации либо неподтверждения личного пароля, обнаружения любых неполадок или ошибок в использовании предоставленных ресурсов Системы;
немедленно прекращать работу на АРМ при обнаружении вирусов и (или) вредоносных программ либо при подозрении заражения АРМ вирусом;
проводить антивирусный контроль любых съемных носителей информации перед началом работы с ними на отсутствие вирусов и вредоносных программ с использованием штатных антивирусных программ;
немедленно прекращать использование съемного носителя информации при обнаружении на нем вирусов и (или) вредоносных программ;
выполнять требования Оператора, Администратора по использованию ресурсов Системы и обеспечению защиты информации, в том числе персональных данных, обрабатываемых в Системе;
ограничивать доступ к АРМ путем его отключения либо блокировки во время отсутствия на рабочем месте;
6.5.4. Регистратору обращений запрещено:
самостоятельно устанавливать или удалять установленные системным администратором программы на АРМ, изменять настройки операционной системы и приложений, влияющие на работу оборудования и ресурсов;
самостоятельно вскрывать АРМ, подключать к АРМ дополнительное оборудование, изменять настройки BIOS, а также производить загрузку АРМ со съемных машинных носителей.
6.6. Права и обязанности Пользователей, являющихся Субъектами персональных данных:
6.6.1. Пользователи, являющиеся Субъектами персональных данных, имеют право осуществлять:
регистрацию и авторизацию в Системе;
формирование и отправку обращений;
ознакомление с порядком рассмотрения обращений;
просмотр состояния обращения по регистрационному номеру обращения;
просмотр сведений об отправленных ранее обращениях (для авторизованных граждан).
6.6.2. Пользователи, являющиеся Субъектами персональных данных, обязаны:
внимательно знакомиться с правилами отправки обращений и подтверждать свое согласие на использование сервиса Интернет-приемной;
не размещать информацию, содержащую ненормативную или нецензурную лексику, некорректные или оскорбительные выражения, угрозы, текст, который невозможно прочитать (в том числе не разбитый на предложения, целиком набранный заглавными буквами или слитно, написанный латиницей), иную информацию, за распространение которой предусмотрена уголовная или административная ответственность;
обеспечивать при регистрации в личном кабинете и (или) формировании обращения в Интернет-приемной достоверность, актуальность, полноту и соответствие законодательству Российской Федерации представляемой информации.
VII. Обеспечение информационной безопасности в Системе
7.1. Оператор, Участники, Администратор, Администратор безопасности, Регистраторы обращений обеспечивают защиту документов и информации, обрабатываемых в Системе и (или) полученных с использованием Системы, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий в соответствии с законодательством Российской Федерации.
7.2. Обеспечение безопасности персональных данных при их обработке в Системе осуществляется путем:
осуществления идентификации и проверки подлинности Субъектов доступа к ресурсам Системы;
разграничения доступа между Участниками, Пользователями, осуществления идентификации и проверки подлинности Субъектов доступа при входе в Систему;
обеспечения физической сохранности технических средств и систем, исключающей возможность несанкционированного доступа к Системе;
учета машинных носителей персональных данных;
применения прошедших в установленном порядке процедуру оценки соответствия СЗИ от несанкционированного доступа, средств криптографической защиты информации, антивирусной защиты;
применения на рабочих местах и серверах программного обеспечения только при наличии исключительных (неисключительных) лицензионных прав на его использование;
проведения резервного копирования и архивного хранения программного обеспечения, баз данных Системы.
VIII. Ответственность Оператора, Участников, Администратора, Администратора безопасности, Регистраторов обращений Системы
Оператор, Участники, Администратор, Администратор безопасности, Регистраторы обращений Системы несут ответственность за неисполнение требований настоящего Порядка в соответствии с действующим законодательством Российской Федерации.
Приложение 1
к Порядку
эксплуатации информационной системы
персональных данных администрации
города Перми "Обращения жителей"
Порядок
распространения действия аттестата соответствия объекта информатизации информационной системы персональных данных администрации города Перми "Обращения жителей" требованиям безопасности информации на автоматизированные рабочие места пользовательского сегмента информационной системы персональных данных администрации города Перми "Обращения жителей"
Используемые сокращения:
СЭД - система электронного документооборота, используемая в администрации города Перми;
НСД - несанкционированный доступ;
ПО - программное обеспечение;
СЗИ - средство защиты информации;
СКЗИ - средство криптографической защиты информации;
ФСТЭК России - Федеральная служба по техническому и экспортному контролю Российской Федерации;
Система - информационная система персональных данных администрации города Перми "Обращения жителей";
субъекты доступа - лица, ответственные за обеспечение безопасности информации (администратор безопасности), обеспечивающие выполнение функций по обеспечению работы Системы (системный администратор), уполномоченные на регистрацию обращений с Системе (регистраторы обращений), граждане, направившие индивидуальные или коллективные обращения в форме электронного документа через Интернет-приемную, а также процессы, выполняемые в Системе от имени администратора безопасности, системного администратора и регистраторов обращений при обработке информации и настройке СЗИ;
объекты доступа - информация, содержащаяся в Системе, средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, иные средства обработки информации в Системе, информационные технологии, общесистемное, прикладное, специальное программное обеспечение, СЗИ.
Понятия Администратор, Участник используются в понятиях, определенных Порядком эксплуатации информационной системы персональных данных администрации города Перми "Обращения жителей".
I. Общие положения
1.1. Настоящий порядок распространения действия аттестата соответствия объекта информатизации информационной системы персональных данных администрации города Перми "Обращения жителей" требованиям безопасности информации на автоматизированные рабочие места пользовательского сегмента информационной системы персональных данных администрации города Перми "Обращения жителей" (далее - Порядок распространения аттестата соответствия, Система, аттестат соответствия) разработан в соответствии с приказами ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
1.2. Настоящий Порядок распространения аттестата соответствия определяет условия распространения аттестата соответствия и последовательность действий Администратора, Участников для распространения аттестата соответствия на автоматизированное рабочее место пользовательского сегмента Системы (далее - сегмент).
1.3. Выполнение требований, установленных настоящим Порядком распространения аттестата соответствия, является обязательным для распространения действия аттестата соответствия на сегмент.
1.4. Сегмент считается соответствующим ранее аттестованному сегменту Системы, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по системе защиты информации.
1.5. В сегментах, на которые распространяется аттестат соответствия, Участником обеспечивается соблюдение эксплуатационной документации на систему защиты информации Системы и организационно-распорядительных документов по защите информации, действующих в администрации города Перми.
II. Условия и требования распространения действия аттестата соответствия на сегмент
2.1. Условиями распространения действия аттестата соответствия (далее - условия распространения) на сегмент является выполнение требований безопасности информации, обрабатываемой в Системе, от утечки вследствие:
несанкционированного доступа к информации, обрабатываемой на сегменте;
специальных программных воздействий, нарушающих целостность обрабатываемой на сегменте информации и (или) работоспособность средств вычислительной техники или средств защиты информации;
хищения средств вычислительной техники с хранящейся в них информацией или отдельных носителей информации;
просмотра видовой информации с экранов дисплеев и других средств отображения информации, входящих в состав технических средств и систем сегмента, путем непосредственного наблюдения и (или) с помощью оптических средств.
2.2. Для выполнения условий распространения на сегменте Участники обязаны обеспечить выполнение следующих требований:
обязательное использование лицензионного общесистемного и специального программного обеспечения, наличие документов, подтверждающих легальность использования указанного программного обеспечения;
установку на сегментах, на которые распространяется аттестат соответствия, сертифицированных по требованиям безопасности информации СЗИ от НСД и средств антивирусной защиты;
осуществление передачи информации по открытым каналам связи только с использованием сертифицированных СКЗИ;
обеспечение контроля информационных потоков, поступающих в информационную Систему и (или) выходящих из нее, применением сертифицированных средств межсетевого экранирования;
принятие и выполнение мер по исключению НСД в помещениях, в которых размещены технические средства сегмента, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в этих помещениях;
расположение экранов дисплеев и других средств отображения информации, входящих в состав технических средств и систем сегмента, исключающее просмотр видовой информации.
2.3. Для сегментов, на которые распространяется аттестат соответствия, должны быть актуальны такие же угрозы безопасности информации, как и в аттестованной части. Если в сегменте выявлены новые угрозы безопасности информации, распространение аттестата соответствия невозможно.
2.4. Требования к СЗИ.
2.4.1. Защита от НСД должна быть обеспечена применением сертифицированного СЗИ от НСД, соответствующего 6 или более высокому уровню доверия, и выполнять следующие функции:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
регистрация событий безопасности;
обеспечение целостности Системы и информации.
2.4.2. Антивирусная защита должна быть обеспечена применением сертифицированного средства антивирусной защиты САВЗ типа "В" не ниже 4 класса защиты и обеспечивать:
проверку всех запускаемых, открываемых и модифицируемых файлов;
проведение лечения или удаления зараженных объектов, изолирование подозрительных объектов в карантинное хранилище для дальнейшего анализа;
проведение антивирусной проверки заданных областей по запросу администратора или по расписанию.
2.4.3. В качестве подсистемы межсетевого экранирования и криптографической защиты информации требуется использование программных комплексов линейки ViPNet от производителя ОАО "Инфотекс".
Защищенное подключение сегмента Участника осуществляется ViPNet client 4.х. Защищенное подключение группы сегментов Участника может осуществляться через ViPNet Coordinator Участника.
Подключение ViPNet осуществляется к защищенной сети администрации города Перми.
2.4.4. Установка и настройка СЗИ должна осуществляться в соответствии с эксплуатационной документацией производителя.
III. Последовательность действий Участников, Администратора для распространения аттестата соответствия на сегмент
3.1. В целях выполнения условий распространения:
3.1.1. Участник:
определяет сегмент, на который будет распространяться аттестат соответствия;
заполняет заявку об определении технических средств и систем сегмента и установке СЗИ (далее - Заявка) по форме согласно приложению 1 к настоящему Порядку распространения аттестата соответствия;
направляет Заявку по СЭД Администратору;
3.1.2. Администратор в течении 10 рабочих дней:
на основании сведений, указанных в Заявке, проверяет соответствие сегмента условиям и требованиям, указанным в разделе 2 настоящего Порядка распространения аттестата соответствия;
проверяет наличие на сегменте установленных сертифицированных СЗИ от НСД, антивирусного ПО, СКЗИ, при отсутствии установка осуществляется в соответствии с пунктом 3.4 Порядка эксплуатации информационной системы персональных данных администрации города Перми "Обращения жителей";
на основании сведений, указанных в Заявке, подготавливает в двух экземплярах акт классификации сегмента, дополнение к техническому паспорту Системы;
подготавливает акт соответствия сегмента условиям распространения аттестата соответствия (далее - Акт соответствия) по форме согласно приложению 2 к настоящему Порядку распространения аттестата соответствия в двух экземплярах;
3.1.3. после утверждения Акта соответствия Администратор:
обеспечивает издание распоряжения администрации города Перми о распространении действия аттестата соответствия на сегмент;
направляет Участнику по одному экземпляру акт классификации сегмента, дополнение к техническому паспорту Системы, Акт соответствия;
предоставляет Участнику доступ к электронной версии документов на Систему;
предоставляет Участнику доступ к Системе;
направляет информацию о распространении аттестата соответствия организации, выдавшей аттестат соответствия.
3.2. При распространении аттестата соответствия на сегмент Участник обязан обеспечить неизменность состава технических и программных средств, СЗИ сегмента, условия размещения технических средств сегмента.
3.3. При изменении состава технических и программных средств, СЗИ сегмента, условия размещения технических средств сегмента действие распространения аттестата соответствия приостанавливается, доступ к Системе с сегмента блокируется, Участник обязан повторно направить Заявку с указанием изменений.
Приложение 1
к Порядку распространения действия
аттестата соответствия объекта
информатизации информационной системы
персональных данных администрации
города Перми "Обращения жителей"
требованиям безопасности информации
на автоматизированные рабочие места
пользовательского сегмента информационной
системы персональных данных администрации
города Перми "Обращения жителей"
Заявка
об определении технических средств
и систем сегмента и установке СЗИ
Прошу распространить аттестат соответствия на сегмент ИС "Обращения
жителей" _______________________________________________________________,
(полное наименование Участника Системы),
расположенный по адресу: г. Пермь, ул. ___________, д.___, кабинет
(помещение) N _____ (далее - сегмент).
1. Состав основных технических средств и систем сегмента
|
N |
Тип ОТСС* |
Заводской номер |
Сведения о сертификации, специальных исследованиях, специальных проверках |
|
1. |
имя компьютера___________________ в составе: |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-----------------------------
* ОТСС - основные технические средства и системы, на которых
осуществляется обработка информации, содержащейся в информационной
системе "Обращения жителей".
2. Состав общесистемного и прикладного программного обеспечения
сегмента:
|
N |
Тип программного обеспечения (общесистемное, прикладное) |
Наименование |
Основная (мажорная) версия |
|
|
|
|
|
3. Состав средств защиты информации, используемых в сегменте:
|
N |
Тип средства (СЗИ от НСД**, СКЗИ, антивирус и так далее) |
Наименование |
Основная (мажорная) версия |
Сведения о сертификатах соответствия |
|
|
|
|
|
|
-----------------------------
** СЗИ от НСД - средство защиты информации от несанкционированного
доступа.
*** СКЗИ - средство криптографической защиты информации.
Приложение 2
к Порядку распространения действия
аттестата соответствия объекта
информатизации информационной системы
персональных данных администрации
города Перми "Обращения жителей"
требованиям безопасности информации
на автоматизированные рабочие места
пользовательского сегмента информационной
системы персональных данных администрации
города Перми "Обращения жителей"
УТВЕРЖДАЮ
Председатель комиссии по обследованию,
классификации и подготовке к проведению
оценки соответствия требованиям
безопасности информации (аттестации)
информационных систем персональных
данных администрации города Перми
__________________________ И.О. Фамилия
"___" ____________ 20__ г.
Акт
соответствия сегмента _______________________________
(наименование сегмента)
информационной системы персональных данных администрации
города Перми "Обращение жителей" условиям распространения
аттестата соответствия N 160к-2021
Комиссия по обследованию, классификации и подготовке к проведению
оценки соответствия требованиям безопасности информации (аттестации)
информационных систем персональных данных администрации города Перми,
утвержденная распоряжением администрации города Перми от 25 сентября
2012 г. N 91 "Об утверждении состава комиссии", в составе:
Председатель комиссии:
_______________________________________ ________________________________
Должность Ф.И.О.
Заместитель председателя комиссии:
_______________________________________ ________________________________
Должность Ф.И.О.
Секретарь комиссии:
_______________________________________ ________________________________
Должность Ф.И.О.
Члены комиссии:
_______________________________________ ________________________________
Должность Ф.И.О.
_______________________________________ ________________________________
Должность Ф.И.О.
(далее - Комиссия) провела оценку соответствия сегмента
________________________________________________________________________,
(наименование сегмента)
расположенного по адресу: ______________________________________________,
типовому сегменту ______________________________________________________,
(наименование типового сегмента)
прошедшему аттестационные испытания.
Основываясь на документально подтвержденных сведениях, комиссия
определила, что для сегмента ____________________________ информационной
системы персональных данных администрации города Перми "Обращение
жителей" (далее - ИС "Обращение жителей"):
установлен класс защищенности "К3", что подтверждается актом
классификации от "___"________20___ г.;
состав технических средств, программного обеспечения и средств
защиты информации идентичен составу типового сегменту
_________________________________________________________________________
________________________________________________________________________,
(наименование типового сегмента)
что подтверждается техническим паспортом от "____"___________20___
г.;
параметры настройки средств защиты информации обеспечивают
выполнение требований к мерам защиты сегменту
________________________________________________________________________,
(наименование типового сегмента)
указанным в программе и методиках аттестационных испытаний;
имеется в наличии необходимая организационно-распорядительная
документация и эксплуатационная документация на систему защиты
информации.
Руководствуясь приказами Федеральной службы по техническому и
экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении
требований о защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах", от 18 февраля
2013 г. N 21 "Об утверждении Состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных",
Комиссия установила:
сегмент _____________________________________ ИС "Обращение жителей"
соответствует типовому сегменту ________________________________________,
(наименование типового сегмента)
прошедшему аттестационные испытания, и на него может быть
распространено действие аттестата соответствия N 160к-2021.
Заместитель председателя комиссии:
___________________________ _________________________ _________________
Подпись Ф.И.О. Дата
Секретарь комиссии:
___________________________ _________________________ _________________
Подпись Ф.И.О. Дата
Члены комиссии:
___________________________ _________________________ _________________
Подпись Ф.И.О. Дата
___________________________ _________________________ _________________
Подпись Ф.И.О. Дата
Приложение 2
к Порядку
эксплуатации информационной системы
персональных данных администрации
города Перми "Обращения жителей"
Заявка
на предоставление/прекращение доступа
к информационной системе персональных данных
администрации города Перми "Обращения жителей"
Прошу предоставить / прекратить (нужное подчеркнуть) доступ к
информационной системе персональных данных администрации города Перми
"Обращения жителей" (далее - Система) в роли Регистратора обращений:
|
1 |
Фамилия имя отчество пользователя (полностью) |
|
|
2 |
Наименование функционального, территориального органа, функционального подразделения администрации города Перми |
|
|
4 |
Должность пользователя |
|
|
5 |
Имя пользователя в Системе* |
|
|
6 |
Имя компьютера, с которого будет осуществляться доступ к Системе |
|
|
7 |
Адрес электронной почты пользователя |
|
|
8 |
Рабочий телефон (только при предоставлении доступа) |
|
|
10 |
Реквизиты приказа о назначении уполномоченным лицом, осуществляющим обработку персональных данных в Системе (при предоставлении доступа) или об увольнении, переводе на другую должность (при прекращении доступа) |
от ___________ N __________ |
----------------------------------------------
* Указать имя пользователя, под которым пользователь будет
зарегистрирован в Системе.
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Постановление Администрации города Перми от 19 ноября 2021 г. N 1037 "Об утверждении Порядка эксплуатации информационной системы персональных данных администрации города Перми "Обращения жителей"
Вступает в силу с 26 ноября 2021 г.
Текст постановления опубликован в Официальном бюллетене органов местного самоуправления муниципального образования город Пермь от 26 ноября 2021 г. N 90
В настоящий документ внесены изменения следующими документами:
Постановление Администрации города Перми от 26 февраля 2024 г. N 138
Изменения вступают в силу с 1 марта 2024 г.
Постановление Администрации города Перми от 21 декабря 2022 г. N 1329
Изменения вступают в силу с 27 декабря 2022 г.