Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства сельского хозяйства Алтайского края от 12 октября 2023 г. N 119 "Об осуществлении мероприятий по защите персональных данных"
- Приложение 21. Положение о разрешительной системе допуска к информационным системам персональных данных Министерства сельского хозяйства Алтайского края
Приложение 21. Положение о разрешительной системе допуска к информационным системам персональных данных Министерства сельского хозяйства Алтайского края
Приложение 21
УТВЕРЖДЕНО
приказом Министерства
сельского хозяйства
Алтайского края
от 12.10.2023 N 119
Положение
о разрешительной системе допуска к информационным системам персональных данных Министерства сельского хозяйства Алтайского края
1. Перечень используемых определений, обозначений и сокращений
В настоящем Порядке используются следующие определения, обозначения и сокращения:
АИБ - администратор информационной безопасности;
АРМ - автоматизированное рабочее место;
ИБ - информационная безопасности;
ИС - информационная система;
ИСПД - информационная система персональных данных.
2. Общие положения
2.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и другими нормативными документами.
2.2. Разрешительная система допуска к ИСПД Министерства сельского хозяйства Алтайского края (далее - "Министерство") представляет собой совокупность процедур оформления права субъектов на доступ к информационным ресурсам (объекты доступа) Министерства, содержащим персональные данные, и ответственных лиц, осуществляющих реализацию этих процедур.
2.3. Объектами доступа являются:
документированная информация на бумажных носителях в виде отдельных документов или дел;
информационные ресурсы в информационных системах в виде баз данных, библиотек, архивов и их копий на машинных носителях.
Субъектами доступа являются:
сотрудники Министерства;
граждане Российской Федерации;
юридические и физические лица.
2.4. Субъекты доступа несут персональную ответственность за соблюдение ими установленного в Министерстве порядка обеспечения защиты информационных ресурсов.
2.5. Ответственными лицами Министерства, осуществляющими реализацию процедур оформления прав субъектов на доступ к информационным ресурсам, являются:
министр сельского хозяйства Алтайского края;
АИБ;
ответственный за обработку персональных данных;
ответственный за обеспечение безопасности персональных данных;
начальники отделов.
3. Порядок формирования информационных ресурсов Министерства
3.1. Формирование информационных ресурсов на бумажных носителях осуществляется в структурных подразделениях и регламентируется внутренними документами Министерства.
3.2. Информационные ресурсы, формируемые в ИС, подразделяются:
на сетевые ресурсы с доступом одной группы пользователей (ресурсы отдела);
сетевые ресурсы с доступом нескольких групп пользователей (базы данных и т.п.);
ресурсы общего пользования (справочно-информационные системы, библиотеки, каталоги и т.п.);
сетевой ресурс почтового обмена;
сетевые принтеры;
ресурсы пользователя (сетевые или локальные).
3.3. Информационные ресурсы, содержащие персональные данные, указываются в Перечне информационных систем персональных данных Министерства сельского хозяйства Алтайского края.
3.4. Решение о формировании новых информационных ресурсов принимает начальник отдела, инициирующего это решение. В заявке о формировании обосновывается необходимость создания новых информационных ресурсов и указывается, в интересах каких групп пользователей они создаются.
3.5. Непосредственное формирование нового сетевого информационного ресурса осуществляется отделом развития и управления информационными ресурсами. На исполненной заявке сотрудник указанного отдела проставляет отметку о создании и местонахождении ресурса.
3.6. На основании исполненной заявки вносятся изменения и дополнения в Матрицу доступа и Перечень информационных систем персональных данных Министерства сельского хозяйства Алтайского края.
4. Допуск к информационным ресурсам сотрудников Министерства
4.1. Допуск сотрудников Министерства к информации, содержащей персональные данные, осуществляется в соответствии с занимаемой должностью и в объеме, необходимом для выполнения ими должностных обязанностей.
4.2. Допуск к персональным данным разрешается начальником отдела развития и управления информационными ресурсами только уполномоченным лицам с соблюдением требований Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.
4.3. Допуск сотрудников к информационным ресурсам ИСПД оформляется посредством направления отделу развития и управления информационными ресурсами заявки, которая представляется начальником соответствующего отдела. В заявке указывается, к каким ресурсам и с какими правами (полномочиями) допустить конкретного сотрудника.
4.4. Заявку подписывает начальник отдела кадровой политики, науки и учебных заведений, подтверждающий, что указанный сотрудник действительно принят в штат Министерства. Затем она передается в отдел развития и управления информационными ресурсами. Указанный отдел рассматривает представленную заявку и совершает необходимые операции по созданию учетной записи пользователя, присвоению ему начального значения пароля и права доступа к ресурсам Министерства в соответствии с Матрицей доступа.
По окончании регистрации учетной записи пользователя в заявке делается отметка за подписями исполнителей о выполнении задания.
Минимальные права в ИС Министерства, определенные выше, а также присвоение начального пароля производится отделом развития и управления информационными ресурсами при согласовании заявки о предоставлении (изменении) права доступа пользователя к информационным ресурсам.
Процедура предоставления (или изменения) права доступа пользователя к ресурсам Министерства инициируется заявкой руководителя структурного подразделения, в котором трудоустроен сотрудник.
Заявка согласуется с АИБ и передается отделу развития и управления информационными ресурсами на исполнение.
По окончании внесения изменений в заявке делается отметка за подписями исполнителей о выполнении задания.
4.5. При наступлении момента прекращения срока действия полномочий пользователя (окончание договорных отношений, увольнение сотрудника) учетная запись должна немедленно блокироваться.
При отсутствии механизмов автоматической блокировки допускается регистрация постоянных учетных записей. В этом случае руководитель подразделения, за которым числился сотрудник, обязан своевременно подавать заявку на блокирование учетной записи сотрудника не позднее, чем за сутки до момента прекращения срока действия полномочий пользователя.
Заявку подписывает АИБ, утверждая тем самым факт прекращения срока действия полномочий пользователя.
Отдел развития и управления информационными ресурсами рассматривает представленную заявку и производит блокирование учетной записи.
По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.
4.6. Исполненные заявки передаются АИБ и хранятся в архиве в течение 5 лет с момента окончания предоставления доступа к ИС Министерства.
В случае невозможности исполнения заявки инициатору направляется мотивированный отказ с её приложением.
4.7. Администратором безопасности проверяется соответствие требуемых прав доступа с реально необходимыми для выполнения должностных (функциональных) обязанностей данного сотрудника.
4.8. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в сети, производимая отделом развития и управления информационными ресурсами.
5. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций Министерства
5.1. К организациям, деятельность которых не связана с исполнением функций Министерства, могут относиться:
правоохранительные органы;
судебные органы;
органы статистики;
исполнительные органы Алтайского края;
законодательные органы государственной власти субъектов Российской Федерации;
средства массовой информации и пр.
5.2. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций Министерства, регламентируется законодательством Российской Федерации, договорами и соглашениями об информационном обмене и другими нормативными актами.
6. Допуск к информационным ресурсам Министерства сторонних организаций, выполняющих работы в Министерства на договорной основе
6.1. К организациям, выполняющим работы на договорной основе, могут относиться:
организации, выполняющие строительные работы и осуществляющие ремонт зданий, систем инженерно-технического обеспечения (отопления, освещения, водоснабжения, канализации, электропитания, кондиционирования и т.п.);
организации, осуществляющие монтаж и настройку технических средств ИСПД, сопровождение программно-прикладного обеспечения;
организации, оказывающие услуги в области защиты информации (проведение специальных проверок и исследований, монтаж и настройка средств защиты информации, контроль эффективности системы защиты информации, аттестация объектов информатизации и т.п.);
организации, осуществляющие поставку товаров для обеспечения повседневной деятельности (мебель, канцтовары, оргтехника, расходные материалы и т.п.);
организации и частные лица, оказывающие юридические услуги, услуги по информационно-техническому обеспечению, а также организации, осуществляющие преподавательскую деятельность и т.п.
6.2. Порядок допуска определяется в договоре о выполнении работ (оказание услуг), в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.
6.3. Решением о допуске является подписанный в установленном порядке договор о выполнении работ или оказании услуг.
6.4. В договор об оказании услуг включается условие о неразглашении сведений, составляющих персональные данные, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений. Со всех работников сторонней организации, участвующих в выполнении работ, в этом случае берется подписка о неразглашении таких сведений.
7. Доступ к информационным ресурсам Министерства
7.1. Правила и процедуры доступа к информационным ресурсам Министерства определяются Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных и Положением о разрешительной системе допуска.
7.2. Администрирование прав доступа к информации в ИСПД производится отделом развития и управления информационными ресурсами.
7.3. После регистрации пользователя в ИСПД АИБ вносит изменения в Матрицу доступа для последующего контроля прав и полномочий пользователя.
8. Контроль функционирования разрешительной системы допуска к информационным ресурсам Министерства
8.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам организуется в соответствии:
с планом основных мероприятий по защите информации на текущий год;
с функциональными обязанностями должностных лиц;
с приказами министра сельского хозяйства Алтайского края.
8.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам осуществляется ответственными лицами. Организация контроля возлагается на начальника отдела развития и управления информационными ресурсами.