Приложение N 12. Порядок доступа государственных гражданских служащих Омской области, работников Министерства транспорта и дорожного хозяйства Омской области в помещения, в которых ведется обработка персональных данных. Приказ Министерства транспорта и дорожного хозяйства Омской области от 08.09.2023 N 76-п "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами"

Приложение N 12
к приказу
Министерства транспорта
и дорожного хозяйства
Омской области
от 8 сентября 2023 г. N 76-п

Порядок
доступа государственных гражданских служащих Омской области, работников Министерства транспорта и дорожного хозяйства Омской области в помещения, в которых ведется обработка персональных данных

1. Общие положения

1.1. Настоящий порядок доступа государственных гражданских служащих Омской области, работников Министерства транспорта и дорожного хозяйства Омской области в помещения, в которых ведется обработка персональных данных (далее соответственно - Порядок, работники, Министерство), устанавливает единые требования к доступу работников в служебные помещения в целях предотвращения нарушения прав субъектов персональных данных, обработка персональных данных которых необходима в связи с реализацией служебных или трудовых отношений, оказанием государственных услуг и осуществлением государственных функций Министерством, а также в целях обеспечения соблюдения требований законодательства Российской Федерации в области персональных данных.

1.2. Настоящий Порядок разработан в соответствии с документами:

- Федеральным законом "О персональных данных"; постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации";

- постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 года N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

- приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

1.3. Настоящий Порядок обязателен для применения и исполнения всеми работниками Министерства, осуществляющими обработку персональных данных, в том числе с использованием средств криптографической защиты информации (далее - СКЗИ).

1.4. Ответственность за несоблюдение положений настоящего Порядка несут работники структурных подразделений Министерства, обрабатывающие персональные данные, а также руководители данных структурных подразделений.

1.5. Контроль соблюдения требований настоящего Порядка обеспечивает ответственный за организацию обработки персональных данных в Министерстве.

2. Требования к помещениям, в которых ведется обработка персональных данных

2.1. Для помещений, в которых обрабатываются персональные данные (далее - помещения), организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих Помещениях посторонних лиц, не имеющих права доступа в данные Помещения.

2.2. Распоряжением Министерства установлены границы контролируемой зоны информационных систем, в которых ведется обработка персональных данных с использованием средств автоматизации и без таковых.

2.3. Все помещения должны быть оборудованы входными дверями и замками.

2.4. Для предотвращения просмотра извне окна помещений должны быть защищены жалюзи или непрозрачными шторами.

2.5. К Помещениям, в которых обрабатываются персональные данные с использованием СКЗИ (далее - спецпомещения), предъявляются требования, указанные в разделе 4 настоящего Порядка.

3. Доступ в помещения, в которых ведется обработка персональных данных

3.1. В помещения допускаются только работники, осуществляющие обработку персональных данных либо имеющие доступ к ним.

3.2. Нахождение в помещениях посторонних лиц допускается только в присутствии работников, имеющих право доступа в соответствующие помещения.

3.3. Уборка и техническое обслуживание помещений допускается только в присутствии работников, имеющих право доступа в соответствующие помещения.

3.4. На момент присутствия посторонних лиц в помещении должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными (например, мониторы повернуты в сторону от посетителей, документы убраны в стол либо находятся в непрозрачной папке или накрыты чистыми листами бумаги).

3.5. Должно обеспечиваться опечатывание помещений по окончании рабочего дня или использование соответствующих технических средств, препятствующих возможности неконтролируемого проникновения в помещения. Материальные носители персональных данных должны храниться в шкафах (ящиках, хранилищах) в условиях, обеспечивающих сохранность носителей персональных данных. Автоматизированные рабочие места по окончании рабочего дня должны быть выключены или заблокированы. Ключи от помещений должны быть сданы под расписку в соответствующем журнале службе охраны одновременно с передачей под охрану самих помещений.

3.6. В обычных условиях помещения должны быть вскрыты только работниками, имеющими право доступа в помещения.

4. Требования к спецпомещениям

4.1. спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ. спецпомещения должны иметь входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время.

4.2. Для предотвращения просмотра извне окна спецпомещений должны быть защищены жалюзи или непрозрачными шторами.

4.3. Нахождение в спецпомещениях посторонних лиц допускается только в присутствии работников, имеющих право доступа в соответствующие спецпомещения.

4.4. Уборка и техническое обслуживание спецпомещений допускается только в присутствии работников, имеющих право доступа в соответствующие спецпомещения.

4.5. Обслуживание технического оборудования, на котором установлены СКЗИ, а также смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ.

4.6. Двери спецпомещений должны быть постоянно закрыты и могут открываться только для санкционированного прохода.

4.7. В спецпомещениях для хранения ключевых документов, эксплуатационной и технической документации, носителей, инсталлирующих СКЗИ, необходимо иметь достаточное число надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования, оборудованных внутренними замками и приспособлениями для опечатывания замочных скважин или кодовыми замками. Ключи от них должны находиться у соответствующих пользователей СКЗИ.

4.8. По окончании рабочего дня хранилища, установленные в спецпомещении, должны быть закрыты и опечатаны.

4.9. Печати, предназначенные для опечатывания хранилищ, должны находиться у пользователей СКЗИ, ответственных за эти хранилища.

4.10. Должно обеспечиваться опечатывание спецпомещений по окончании рабочего дня или оборудование спецпомещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии спецпомещений.

4.11. По окончании рабочего дня ключи от спецпомещений должны быть сданы под расписку в соответствующем журнале службе охраны одновременно с передачей под охрану самих спецпомещений.

4.12. В обычных условиях спецпомещения должны быть вскрыты только работниками, имеющими право доступа в спецпомещения.

5. Правила доступа в помещения, в которых ведется обработка персональных данных, в нештатных ситуациях

5.1. К нештатным ситуациям относятся:

- прорывы водопровода или канализации;

- пожар;

- природные катаклизмы.

5.2. При нештатной ситуации, грозящей уничтожением или повреждением персональных данных, СКЗИ, а также компрометацией криптоключей, работнику, обнаружившему факт возникновения нештатной ситуации, следует:

- немедленно позвонить в аварийно-спасательные службы (пожарная охрана, служба спасения и т.д.);

- немедленно оповестить коммунальные службы, ответственные за обслуживание административного здания;

- немедленно сообщить своему непосредственному руководителю; немедленно оповестить других работников;

- по возможности принять все меры для эвакуации материальных носителей персональных данных, СКЗИ, а также криптоключей в безопасное место.

5.3. Сотрудники органов МЧС России и аварийных служб беспрепятственно допускаются в помещения Министерства для ликвидации нештатной ситуации в присутствии сотрудника службы охраны.