Приложение 6. Положение о разрешительной системе допуска к информационным системам персональных данных в комитете по финансам, налоговой и кредитной политике города Барнаула. Приказ комитета по финансам, налоговой и кредитной политике города Барнаула от 13.05.2022 N 93 "Об утверждении Положения об обеспечении безопасности общедоступной информации в информационных системах комитета по финансам, налоговой и кредитной политике города Барнаула" (с изменениями и дополнениями)

Приложение 6
к Положению об обеспечении
безопасности общедоступной
информации в информационных
системах комитета по финансам,
налоговой и кредитной
политике города Барнаула

Положение
о разрешительной системе допуска к информационным системам персональных данных в комитете по финансам, налоговой и кредитной политике города Барнаула

1. Перечень используемых определений, обозначений и сокращений

АИБ - администратор информационной безопасности.

АРМ - автоматизированное рабочее место.

ИБ - информационная безопасность.

ИС - информационная система.

ИСПДн - информационная система персональных данных.

НСД - несанкционированный доступ

Администратор информационной безопасности - специалист отдела внедрения автоматизированных систем финансовых расчетов, осуществляющий контроль за обеспечением защиты информации в ИС, а также осуществляющий организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

2. Общие положения

2.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и другими нормативными документами.

2.2. Разрешительная система допуска к ИСПДн комитета по финансам, налоговой и кредитной политике города Барнаула представляет собой совокупность процедур оформления права субъектов на доступ к информационным ресурсам (объекты доступа) организации, содержащим персональные данные, и ответственных лиц, осуществляющих реализацию этих процедур.

2.3. Объектами доступа являются:

документированная информация на бумажных носителях в виде отдельных документов или дел;

информационные ресурсы в информационной системе в виде баз данных, библиотек, архивов и их копий на машинных носителях.

2.4. Субъектами доступа являются:

работники комитета по финансам, налоговой и кредитной политике города Барнаула;

юридические и физические лица.

2.5. Субъекты доступа несут персональную ответственность за соблюдение ими установленного в комитете по финансам, налоговой и кредитной политике города Барнаула порядка обеспечения защиты информационных ресурсов.

2.6. Ответственными лицами комитета по финансам, налоговой и кредитной политике города Барнаула, осуществляющими реализацию процедур оформления прав субъектов на доступ к информационным ресурсам, являются:

председатель;

заместители председателя;

начальники отделов;

администратор ИСПДн, ИБ;

ответственный за обработку персональных данных;

ответственный за обеспечение безопасности персональных данных (АИБ).

3. Порядок формирования информационных ресурсов организации

3.1. Формирование информационных ресурсов на бумажных носителях осуществляется в структурных подразделениях и регламентируется внутренними документами комитета по финансам, налоговой и кредитной политике города Барнаула.

3.2. Информационные ресурсы, формируемые в ИС подразделяются на:

сетевые ресурсы с доступом одной группы пользователей (ресурсы отдела);

сетевые ресурсы с доступом нескольких групп пользователей (базы данных и т.п.);

ресурсы общего пользования (справочно-информационные системы, библиотеки, каталоги и т.п.);

сетевой ресурс почтового обмена;

сетевые принтеры;

ресурсы пользователя (сетевые или локальные).

3.3. Информационные ресурсы, содержащие персональные данные, указываются в перечне защищаемых информационных ресурсов.

3.4. Решение о формировании новых информационных ресурсов принимает начальник отдела, инициирующего это решение. В заявке на формирование обосновывается необходимость создания новых информационных ресурсов и указывается, в интересах каких групп пользователей они создаются.

3.5. Непосредственное формирование нового сетевого информационного ресурса осуществляется администратором ИСПДн. На исполненной заявке администратор ИСПДн, проставляет отметку о создании и местонахождении ресурса.

3.6. На основании исполненной заявки вносятся изменения и дополнения в матрицу разграничения доступа и перечень защищаемых информационных ресурсов.

4. Допуск к информационным ресурсам работников организации

4.1. Допуск работников к информации, содержащей персональные данные, осуществляется в соответствии с занимаемой должностью и в объеме, необходимом для выполнения ими должностных обязанностей.

4.2. Допуск работника к информационным ресурсам, оформляется Заявлением на создание (продление) учетной записи пользователя (приложение 1) начальнику отдела автоматизированных систем финансовых расчетов, которое предоставляется начальником соответствующего отдела.

4.3. Заявление на имя начальника отдела внедрения автоматизированных систем финансовых расчетов комитета подписывают начальник отдела, в котором будет работать данный сотрудник, и начальник отдела правового и документационного обеспечения. В заявлении указываются: должность (с полным наименованием подразделения), фамилия, имя, отчество сотрудника, а также к каким ресурсам и с какими правами (полномочиями) допустить конкретного работника.

На основании заявления специалисты отдела внедрения автоматизированных систем финансовых расчетов совершают необходимые операции по созданию учетной записи пользователя, присвоению ему начального значения пароля, а также прав доступа к ресурсам комитета по финансам, налоговой и кредитной политике города Барнаула.

По окончании регистрации учетной записи пользователя в заявлении делается отметка о выполнении задания за подписями исполнителей.

Минимальные права в ИС комитета по финансам, налоговой и кредитной политике города Барнаула, определенные выше, а также присвоение начального пароля производится АИБом, при согласовании заявления на создание (продление) учетной записи пользователя.

4.4. Процедура изменения прав доступа пользователя к ресурсам комитета по финансам, налоговой и кредитной политике города Барнаула инициируется Заявлением на изменение полномочий пользователю (приложение 2) начальника отдела соответствующего сотрудника.

На основании заявления специалисты отдела внедрения автоматизированных систем финансовых расчетов совершают необходимые операции по изменению прав доступа к ресурсам комитета по финансам, налоговой и кредитной политике города Барнаула.

По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.

4.5. Процедура блокировки учетной записи осуществляется при наступлении момента прекращения срока действия полномочий пользователя на основании Заявления на блокировку учетной записи пользователя (приложение 3) от начальника отдела комитета, в котором работал данный работник.

4.6. На основании заявления специалисты отдела внедрения автоматизированных систем финансовых расчетов совершают необходимые операции по блокировке учетной записи пользователя. После блокировки учетной записи в заявлении делается отметка о выполнении задания за подписью системного администратора.

4.7. Исполненные заявления передаются АИБу, и хранятся в архиве в течение 5 лет с момента окончания предоставления доступа к ИС комитета по финансам, налоговой и кредитной политике города Барнаула.

Копии исполненных заявок хранятся у системного администратора.

4.8. АИБ (или ответственным лицом) проверяется соответствие требуемых прав доступа с реально необходимыми для выполнения должностных (функциональных) обязанностей данного работника.

4.9. Согласованное заявление является разрешением на допуск и основанием для регистрации пользователя в сети администратором ИСПДн.

5. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций организации

5.1. К организациям, деятельность которых не связана с исполнением функций организации, могут относиться:

правоохранительные органы;

судебные органы;

органы статистики;

органы исполнительной и законодательной власти субъектов Российской Федерации;

средства массовой информации и пр.

5.2. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций организации, регламентируется законодательством Российской Федерации, договорами и соглашениями об информационном обмене и другими нормативными актами.

6. Допуск к информационным ресурсам организации сторонних организаций, выполняющих работы в организации на договорной основе

6.1. К организациям, выполняющим работы на договорной основе, могут относиться:

организации, выполняющие строительные работы и осуществляющие ремонт зданий, систем инженерно-технического обеспечения (отопления, освещения, водоснабжения, канализации, электропитания, кондиционирования и т.п.);

организации, осуществляющие монтаж и настройку технических средств ИСПДн, сопровождение программно-прикладного обеспечения;

организации, оказывающие услуги в области защиты информации (проведение специальных проверок и исследований, монтаж и настройка средств защиты информации, контроль эффективности системы защиты информации, аттестация объектов информатизации и т.п.);

организации, осуществляющие поставку товаров для обеспечения повседневной деятельности (мебели, канцтоваров, оргтехники, расходных материалов и т.п.);

организации и частные лица, оказывающие юридические услуги, услуги по информационно-техническому обеспечению, осуществляющие преподавательскую деятельность и т.п.

6.2. Порядок допуска определяется в договоре на выполнение работ (оказание услуг), в соответствии с положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

6.3. Решением о допуске является подписанный в установленном порядке договор на выполнение работ или оказание услуг.

6.4. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений. Со всех работников сторонней организации, участвующих в выполнении работ, в этом случае берется подписка о неразглашении таких сведений.

7. Доступ к информационным ресурсам организации

7.1. Правила и процедуры доступа к информационным ресурсам комитета по финансам, налоговой и кредитной политике города Барнаула определяются положением об обработке и защите персональных данных в информационных системах администрации города Барнаула, иных органов местного самоуправления и муниципальных органов города Барнаула, а также данным положением.

7.2. Администрирование прав доступа к информации в ИСПДн, производится специалистами отдела внедрения автоматизированных систем финансовых расчетов.

7.3. После регистрации пользователя в ИСПДн, АИБ вносит изменения в матрицу разграничения доступа для последующего контроля прав и полномочий пользователя.

8. Контроль функционирования разрешительной системы допуска к информационным ресурсам организации

8.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам организуется в соответствии с:

функциональными обязанностями должностных лиц;

приказами председателя комитета.

8.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам осуществляется ответственными лицами. Организация контроля возлагается на АИБ.