Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства экономического развития Рязанской области от 29 июля 2022 г. N 214 "Об утверждении организационно-распорядительной документации по организации обработки и защите персональных данных в министерстве экономического развития Рязанской области" (с изменениями и дополнениями)
- Приложение N 18. Инструкция о разрешительной системе допуска к обрабатываемой в информационной системе персональных данных министерства экономического развития Рязанской области информации
Приложение N 18. Инструкция о разрешительной системе допуска к обрабатываемой в информационной системе персональных данных министерства экономического развития Рязанской области информации
Приложение N 18
к приказу
министерства
экономического развития
Рязанской области
от 29 июля 2022 г. N 214
Инструкция
о разрешительной системе допуска к обрабатываемой в информационной системе персональных данных министерства экономического развития Рязанской области информации
1. Общие положения
1.1. Настоящая "Инструкция о разрешительной системе допуска к информационным ресурсам информационных систем персональных данных министерства экономического развития Рязанской области (далее - Инструкция) разработана в соответствии с Федеральным законом "О персональных данных" от 27.07.2006 N 152-ФЗ, Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и руководящими документами ФСТЭК России по вопросам обеспечения безопасности персональных данных, разработанными в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 N 1119.
1.2. Разрешительная система доступа к информационным системам персональных данных министерства экономического развития Рязанской области (далее - ИСПДн Министерства) представляет собой совокупность процедур оформления прав субъектов на доступ к информационным ресурсам (далее - ИР) (объектам доступа) министерства экономического развития Рязанской области (далее - Министерство) и прав и обязанностей ответственных лиц, осуществляющих реализацию этих процедур.
1.3. Действие настоящего Положения распространяется на сотрудников Министерства.
1.4. Объектами доступа являются:
- ИР, обрабатываемые в ИСПДн Министерства (в том числе содержащие персональные данные), в виде баз данных, библиотек, архивов и на отдельных съемных носителях;
- технологическая информация Министерства
1.5. Субъектами доступа являются:
- уполномоченные работники Министерства;
- физические лица - субъекты персональных данных (ПДн);
- уполномоченные представители субъектов ПДн.
1.6. Субъекты доступа несут персональную ответственность за соблюдение порядка обеспечения защиты ИР ИСПДн Министерства.
1.7. Ответственными лицами, осуществляющими реализацию процедур оформления и прав субъектов на доступ к ИР, являются:
- министр;
- первый заместитель министра;
- администратор информационной безопасности Министерства.
2. Допуск к информационным ресурсам ИСПДн Министерства
2.1. Наделение пользователей полномочиями доступа к информационным ресурсам ИСПДн Министерства
2.1.1. Лица, доступ которых к персональным данным, обрабатываемым в ИСПДн Министерства, необходим для выполнения служебных (трудовых) обязанностей, допускаются к ним на основании списка лиц допущенных к обработке персональных данных, утверждаемых Министерства.
2.1.2. Необходимость доступа работника к ИР ИСПДн Министерства определяет начальник структурного подразделения на основании должностных (трудовых) обязанностей работника. Допуск работников к информации, содержащей персональные данные, осуществляется в объеме, необходимом для выполнения ими должностных обязанностей. Права доступа работников к защищаемой информации определяются в Матрице доступа.
2.1.3. Основанием для предоставления (изменения либо прекращения (отзыва)) прав доступа пользователям ИСПДн Министерства является письменная Заявка, подписанная начальником структурного подразделения Министерства, и согласованная с начальником соответствующего структурного подразделения - обладателя информационного ресурса.
2.1.4. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в сети администратором объекта информатизации.
После получения заявки администратор объекта информатизации производит необходимые действия по созданию (изменению, удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам ИСПДн Министерства, включению его в соответствующие группы пользователей и другие необходимые действия. Для всех пользователей ИСПДн Министерства устанавливается режим принудительного запроса смены пароля не реже одного раза в 90 дней (при наличии такой возможности).
Уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе, присваивается каждому пользователю ИСПДн для обеспечения персональной ответственности за свои действия. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя ("группового имени") запрещается.
2.1.5. При изменении должностных обязанностей работника, связанных с переводом в другое подразделение, переводом на другую должность и т.п., учетная запись пользователя на основании заявки начальника соответствующего структурного подразделения подлежит изменению (корректировке), при этом старые полномочия аннулируются.
2.1.6. При необходимости, уполномоченный работник (администратор объекта информатизации) в соответствии с назначаемыми правами доступа осуществляют настройку телекоммуникационных средств ИСПДн Министерства в части контроля доступа пользователей.
2.1.7. Администратор объекта информатизации проводит регистрацию прав доступа к ресурсам указанных в заявке рабочих станций (автоматизированных рабочих мест) с отметкой изменений в Матрице доступа, при необходимости, и другие необходимые операции.
2.1.8. После внесения изменений в Матрицу доступа администратор информационной безопасности производит настройку (при их наличии) специализированных средств защиты рабочих станций (автоматизированных рабочих мест).
2.1.10. Все изменения в правах доступа выполняются администратором информационной безопасности не позднее 5 рабочих дней с момента получения заявки на внесение изменений.
2.1.11. Работнику, зарегистрированному в качестве нового пользователя системы, под роспись (подпись) доводится имя соответствующего ему пользователя и начальное значение пароля, которое он обязан сменить при первом же входе в систему (при первом подключении к ИСПДн).
2.1.12. Оригиналы исполненных заявок хранятся в Министерстве (у администратора объекта информатизации) и могут впоследствии использоваться в следующих случаях:
- для восстановления полномочий пользователей после сбоев в ИСПДн;
- для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;
- для проверки правильности настройки средств разграничения доступа к ресурсам ИСПДн.
2.1.13. При необходимости, блокирование учетных записей на время отпуска пользователей ИСПДн Министерства осуществляется администратором объекта информатизации по заявке начальника соответствующего структурного подразделения. Учетная запись пользователя ИСПДн Министерства может быть временно разблокирована, либо изменены права доступа по заявке начальника структурного подразделения, в котором работает пользователь.
2.2. Отзыв прав доступа
2.2.1. При увольнении должностных лиц - пользователей ИСПДн Министерства и/или лишения их прав доступа к ресурсам ИСПДн Министерства начальник структурного подразделения, в котором работает увольняемый работник, подает заявку на имя администратора объекта информатизации Министерства.
2.2.2. Администратор объекта информатизации удаляет учетные записи из всех указанных в заявке списков доступа.
Администратор объекта информатизации:
- проводит смену (удаление) действующих настроек прав доступа на соответствующих средствах защиты в соответствии с изменившимися полномочиями;
- производит необходимые отметки в Матрице доступа, при необходимости;
- совместно с непосредственным руководителем работника анализирует целостность данных, к которым имел доступ работник.
Удаление или сохранение содержимого почтового ящика, личных локальных и сетевых папок согласовывается с начальником структурного подразделения и администратором информационной безопасности.
Администратор информационной безопасности анализирует автоматизированное рабочее место уволенного работника на наличие закладок, вирусов, после чего все рабочие данные, находящиеся на жестком диске работника уничтожаются.
Все изменения в правах доступа, связанные с увольнением пользователя ИСПДн Министерства, выполняются администратором объекта информатизации не позднее 5 рабочих дней с момента получения заявки на внесение изменений.
2.3. Порядок и периодичность проверки прав пользователей
Проверка прав пользователей проводится администратором объекта информатизации с периодичностью не реже одного раза в 3 месяца путем сравнения прав согласно утвержденной Матрице доступа с правами пользователей по доступу к информационным ресурсам, указанным в Матрице доступа к информационным ресурсам ИСПДн Министерства.
3. Допуск сторонних организаций к информационным ресурсам ИСПДн Министерства
3.1. К организациям, деятельность которых не связана с выполнением функций ИСПДн Министерства, относятся в том числе:
- правоохранительные органы;
- судебные органы;
- органы статистики;
- органы исполнительной и законодательной власти субъектов Российской Федерации;
- средства массовой информации и др.
3.2. Допуск сторонних организаций, деятельность которых не связана с исполнением функций ИСПДн Министерства к информационным ресурсам ИСПДн Министерства регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение такой информации, а также настоящим Положением.
3.3. Доступ сторонних организаций к информационным ресурсам ИСПДн Министерства осуществляется на основании письменных запросов.
В письменном запросе указывается:
- основание (с приведением ссылки на нормативный акт), в соответствии с которым предоставляется информация;
- для каких целей необходима информация;
- конкретное наименование предоставляемой информации и ее объем;
- способ доступа (предоставления).
3.4. Основанием для доступа (предоставления) информации служит резолюция министра либо первого заместителя министра на соответствующем документе (запросе).
4. Допуск сторонних организаций, выполняющих работы на договорной основе к информационным ресурсам ИСПДн Министерства
4.1. К организациям, выполняющим работы на договорной основе, могут относиться:
- организации, оказывающие услуги связи от имени Министерства на основании договора по поручению услуг связи третьему лицу;
- организации, осуществляющие монтаж и настройку ИСПДн Министерства, сопровождение программно-прикладного обеспечения и технических средств;
- организации, оказывающие услуги в области защиты информации (проведение обследований, монтаж и настройка средств защиты информации, контроль эффективности системы защиты информации, аттестация объектов информатизации и т.п.);
- другие организации, оказывающие услуги по информационно-техническому обеспечению, и т.п.
4.2. Порядок допуска определяется в договоре на выполнение работ (оказание услуг) в соответствии с требованиями Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд".
4.3. Решением о допуске является подписанный в установленном порядке "Договор на выполнение работ или оказание услуг".
4.4. Доступ сторонних организаций к информационным ресурсам ИСПДн Министерства осуществляется на основании:
- письменных запросов;
- письменных соглашений (договоров) сторон об обмене информацией.
4.5. В письменном запросе (договоре) указывается:
- основание (ссылка на нормативный акт, договор), в соответствии с которым предоставляется информация;
- для каких целей необходима информация;
- конкретное наименование предоставляемой информации и ее объем;
- способ доступа (предоставления).
4.6. Основанием для доступа (предоставления) информации служит резолюция министра, либо первого заместителя министра на соответствующем документе (запросе).
4.7. При наличии официального соглашения со сторонней организацией о допуске (предоставлении) к информации доступ к ней осуществляется в порядке, указанном в подписанном соглашении (договоре).
4.8. Запрещается передача электронных копий баз данных любым сторонним организациям, за исключением санкционированных случаев передачи электронных файлов, выгружаемых из баз данных в рамках осуществления уставной деятельности Министерства.
4.9. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, а также иной защищаемой информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.
5. Контроль функционирования разрешительной системы допуска к информационным ресурсам ИСПДн Министерства
5.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам организуется в соответствии с:
- планом основных мероприятий по защите информации на текущий год;
- функциональными обязанностями должностных лиц;
5.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам осуществляется ответственными должностными лицами.