Приложение N 3. Инструкция пользователя информационных систем персональных данных администрации муниципального образования "Город Саратов". Распоряжение администрации муниципального образования "Город Саратов" от 15.06.2023 N 201-р "Об утверждении документов, определяющих политику в отношении обработки персональных данных в администрации муниципального образования "Город Саратов"

Приложение N 3
к распоряжению администрации
муниципального образования
"Город Саратов"
от 15 июня 2023 года N 201-р

Инструкция
пользователя информационных систем персональных данных администрации муниципального образования "Город Саратов"

1. Общие положения

1.1. Инструкция пользователя (далее - Инструкция) информационных систем персональных данных администрации муниципального образования "Город Саратов" (далее - ИСПДн администрации) определяет функциональные обязанности, права и ответственность пользователей ИСПДн администрации, в которых обрабатывается информация согласно Перечню информационных систем персональных данных администрации муниципального образования "Город Саратов".

1.2. Инструкция разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", нормативно-методических документов ФСТЭК России и ФСБ России по защите информации ограниченного доступа (в том числе персональных данных), не содержащей сведений, составляющих государственную тайну (далее - информация), обрабатываемой с использованием средств автоматизации.

1.3. В Инструкции используются следующие понятия и определения:

- автоматизированное рабочее место (далее - АРМ) - объект вычислительной техники, созданный на базе автономных средств вычислительной техники с необходимым для решения конкретных задач периферийным оборудованием;

- компрометация пароля - утрата доверия к тому, что используемый пароль обеспечивает безопасность персональных данных. К событиям, приводящим к компрометации пароля, относятся следующие события (включая, но не ограничиваясь) - несанкционированное сообщение пароля другому лицу; утеря бумажного или машинного носителя информации, на котором был записан пароль; запись пароля на бумажном, машинном, ином носителе информации, доступ к которому не контролируется;

- конфиденциальность информации - обязательное для соблюдения лицом, получившим доступ к информации, требование не допускать ее распространение без наличия иного законного основания;

- контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств;

- несанкционированный доступ к информации - доступ к информации с нарушением установленных прав доступа, приводящий к нарушению конфиденциальности персональных данных, к утечке, искажению, подделке, уничтожению, блокированию доступа к информации;

- пользователь информационной системы - лицо, участвующее в функционировании информационной системы или использующее результаты ее функционирования;

- средства защиты информации (далее - СЗИ) - программные, программно-аппаратные, аппаратные средства, предназначенные и используемые для защиты информации в информационных системах;

- утеря пароля - события, приводящие к невозможности восстановления пароля в памяти лица, владеющего данным паролем.

2. Обязанности пользователя

2.1. Пользователь ИСПДн администрации обязан:

2.1.1. Знать и выполнять требования:

- действующего законодательства и нормативных правовых актов в области защиты персональных данных;

- внутренних распорядительных документов по режиму обработки информации, учету, хранению и пересылке информации и ее носителей, обеспечению безопасности информации;

- настоящей Инструкции.

2.1.2. Не разглашать персональные данные (далее - ПДн), ставшие ему известными во время работы, пресекать действия других лиц, которые могут привести к разглашению персональных данных работников. О фактах, а также других причинах или условиях возможной утечки персональных данных немедленно информировать администратора информационной безопасности (далее - администратор ИБ).

2.1.3. Знать и выполнять правила работы со средствами защиты информации (средствами разграничения доступа), используемыми на персональных компьютерах в соответствии с инструкциями, требованиями, регламентирующими функционирование установленных средств защиты.

2.1.4. Хранить в тайне свой пароль доступа в ИСПДн администрации, а также информацию о системе защиты, установленной в ИСПДн администрации.

2.1.5. Немедленно ставить в известность администратора ИБ:

- при подозрении компрометации личных ключей и паролей;

- в случае нарушений целостности пломб (наклеек с защитной и идентификационной информацией, нарушения или несоответствия номеров печатей) на аппаратных средствах АРМ или иных фактов совершения попыток несанкционированного доступа к ИСПДн администрации;

- в случае несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн администрации.

2.1.6. В случае отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АРМ, выхода из строя или неустойчивого функционирования узлов АРМ или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных в ИСПДн администрации программно-аппаратных средств защиты информации ставить в известность администратора ИБ.

2.1.7. В случае возникновения нештатных и аварийных ситуаций для ликвидации их последствий принимать меры в пределах возложенных на пользователя функций. Оперативно докладывать администратору ИБ о случаях возникновения нештатных и аварийных ситуаций. В кратчайшие сроки принимать меры по восстановлению работоспособности элементов ИСПДн.

2.2. Для получения консультаций по вопросам информационной безопасности и по использованию СЗИ пользователь обращается к администратору ИБ.

2.3. В случае увольнения пользователь обязан вернуть все документы и материалы, относящиеся к ИСПДн администрации, в том числе: отчеты, инструкции, служебную переписку, списки работников, компьютерные программы, а также все прочие материалы и копии названных материалов, имеющих какое-либо отношение к ИСПДн администрации, полученные в течение срока работы.

2.4. Уборка помещений должна производиться под контролем пользователя, имеющего доступ в помещение и постоянно в нем работающего.

2.5. Вынос пользователями технических средств ИСПДн администрации, на которых проводилась обработка персональных данных, за пределы контролируемой зоны с целью их ремонта, замены и т.п. без согласования с администратором ИБ запрещен. При принятии решения о выносе компьютеров жесткие магнитные диски должны быть демонтированы. В случае действия гарантийных обязательств фирмы-поставщика вскрытие корпуса и демонтаж носителей должны быть предварительно согласованы с ней.

2.6. АРМ пользователя, используемые для работы с ПДн, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра монитора (экрана).

2.7. Пользователю запрещается:

- передавать устно или письменно ПДн, а также личные ключи и атрибуты доступа к ресурсам ИСПДн администрации, открыто осуществлять ввод персонального пароля в присутствии других лиц;

- использовать ПДн при подготовке открытых публикаций, докладов, научных работ и т.д.;

- выполнять работу с документами, содержащими ПДн, на дому, выносить из служебных помещений, снимать копии или производить выписки из таких документов без разрешения администратора ИБ;

- оставлять на рабочих столах, в ящиках стола и незакрытых сейфах документы, содержащие ПДн, а также оставлять незапертыми и неопечатанными после окончания работы сейфы, помещения и хранилища с документами, содержащими ПДн;

- использовать компоненты программного и аппаратного обеспечения ИСПДн администрации в неслужебных целях;

- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств АРМ или устанавливать дополнительно любые программные и аппаратные средства (в том числе отключать (блокировать) СЗИ);

- осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;

- подключать к АРМ и корпоративной информационной сети личные внешние носители и мобильные устройства;

- записывать и хранить ПДн на неучтенных носителях информации;

- оставлять включенным без присмотра свое АРМ, не активизировав средства защиты информации от несанкционированных средств доступа (временную блокировку экрана);

- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок - ставить в известность администратора ИБ;

- обсуждать с посторонними лицами процедуры доступа к ИСПДн администрации и обрабатываемую информацию.

2.8. Без согласования с администратором ИБ пользователю запрещается:

- производить установку программных средств;

- самостоятельно устанавливать, тиражировать или модифицировать программное и аппаратное обеспечение;

- изменять установленный алгоритм функционирования аттестованной ИСПДн администрации;

- запускать на рабочем месте файлы, не связанные с исполнением пользователем служебных обязанностей;

- открывать общий доступ к папкам на своем АРМ;

- привлекать посторонних лиц для производства ремонта или настройки АРМ ИСПДн администрации.

3. Права пользователя

3.1. Пользователь имеет право:

3.1.1. Требовать от своего непосредственного руководителя обеспечения организационно-технических условий, необходимых для исполнения обязанностей.

3.1.2. Получать доступ к информации, материалам, техническим средствам, помещениям, необходимых для надлежащего исполнения своих обязанностей.

4. Ответственность пользователя

4.1. Пользователь несет ответственность за соблюдение требований настоящей Инструкции, а также локальных актов администрации города в области защиты информации.

4.2. Пользователь несет ответственность за нарушения в работе аттестованной ИСПДн администрации, вызванные его неправомерными действиями или неправильным использованием предоставленных прав, предусмотренных настоящей Инструкцией.

4.3. Пользователь отвечает за правильность включения и выключения АРМ ИСПДн администрации и всех действий при работе с ним.

4.4. За разглашение ПДн, а также за нарушение порядка работы с документами или машинными носителями ПДн, пользователи могут быть привлечены к дисциплинарной или иной предусмотренной законодательством ответственности.