Приложение 9. Инструкция пользователя информационных систем персональных данных Администрации города Махачкалы. Постановление Администрации городского округа с внутригородским делением "город Махачкала" Республики Дагестан от 28.03.2018 N 333 "Об утверждении Положения о правилах обработки и защиты персональных данных в Администрации города Махачкалы"

Приложение 9

Утверждено
постановлением Администрации
города Махачкалы
от 28 марта 2018 г. N 333

Инструкция
пользователя информационных систем персональных данных Администрации города Махачкалы

1. Общие положения

Пользователем информационных систем персональных данных (далее - Пользователь) является уполномоченный сотрудник Администрации города Махачкала (далее - Администрация).

Пользователь должен знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы в сфере обработки персональных данных.

В своей деятельности, связанной с обработкой персональных данных, Пользователь руководствуется Политикой в отношении обработки персональных данных в Администрации города Махачкалы и настоящей Инструкцией.

Пользователи, участвующие в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющие доступ к аппаратным средствам, программному обеспечению и обрабатываемой информации, несут персональную ответственность за свои действия.

2. Обязанности и права пользователя информационных систем персональных данных

Пользователь обязан:

соблюдать требования Политики в отношении обработки персональных данных в Администрации города Махачкалы и иных нормативных актов Администрации, устанавливающих порядок работы с персональными данными;

выполнять в информационных системах персональных данных (далее - ИСПДн) только те процедуры, которые необходимы для исполнения его должностных обязанностей;

использовать для выполнения должностных обязанностей только предоставленное ему автоматизированное рабочее место (далее - АРМ) на базе персонального компьютера (автономной ПЭВМ);

пользоваться только зарегистрированными в установленном порядке съемными (отчуждаемыми) машинными носителями информации;

обеспечивать безопасное хранение вышеуказанных материальных носителей информации, исключающее несанкционированный доступ к ним;

немедленно сообщать руководителю структурного подразделения или ответственному за обеспечение безопасности персональных данных в ИСПДн (далее - Ответственный) о нештатных ситуациях, фактах и попытках несанкционированного доступа к обрабатываемой информации, о блокировании, исчезновении (искажении) защищаемой информации;

перед началом обработки в ИСПДн файлов, хранящихся на съемных носителях информации, Пользователь должен осуществлять проверку файлов на наличие компьютерных вирусов. Антивирусный контроль на АРМ должен осуществляться Пользователем не реже одного раза в неделю;

располагать экран монитора в помещении во время работы так, чтобы исключалась возможность ознакомления с отображаемой на них информацией посторонними лицами;

соблюдать установленный режим разграничения доступа к информационным ресурсам: получать пароль, надежно его запоминать и хранить в тайне.

Пользователям ИСПДн запрещается:

записывать и хранить информацию, относящуюся к конфиденциальной информации или персональным данным, на неучтенных материальных носителях информации;

оставлять во время работы материальные носители информации без присмотра, не санкционированно передавать материальные носители информации другим лицам и выносить их за пределы помещения, в котором производится обработка информации;

отключать средства антивирусной защиты;

отключать (блокировать) средства защиты информации;

производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств;

самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;

обрабатывать в ИСПДн информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам ИСПДн;

сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам в ИСПДн;

работать в ИСПДн при обнаружении каких-либо неисправностей;

хранить на учтенных носителях информации программы и данные, не относящиеся к рабочей информации;

вводить в ИСПДн персональные данные под диктовку или с микрофона;

привлекать посторонних лиц для производства ремонта технических средств ИСПДн без согласования с Ответственным.

Пользователь имеет право знакомиться с внутренними документами Администрации, регламентирующими его обязанности по занимаемой должности.

3. Организация парольной защиты при работе на объектах информатизации

Пароли доступа к ИСПДн устанавливаются Ответственным.

При формировании пароля необходимо руководствоваться следующими требованиями:

длина пароля должна быть не менее 8-и буквенно-цифровых символов;

пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования АРМ, общепринятые сокращения) и другие данные, которые могут быть подобраны злоумышленником путем анализа информации;

запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;

запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);

при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;

в числе символов пароля, обязательно должны присутствовать буквы в верхнем и нижнем регистрах, а также цифры;

запрещается использовать ранее использованные пароли.

При организации парольной защиты запрещается:

записывать свои пароли в очевидных местах, внутренности ящика стола, на мониторе ПЭВМ, на обратной стороне клавиатуры и т.д.;

хранить пароли в записанном виде на отдельных листах бумаги;

сообщать свои пароли посторонним лицам, а также сведения о применяемых средствах защиты от НСД.

4. Порядок применения парольной защиты

Плановую смену паролей на доступ в ИСПДн рекомендуется проводить один раз в месяц.

Пользователь обязан незамедлительно сообщить Ответственному факты утраты, компрометации ключевой, парольной и аутентифицирующей информации.

Внеплановая смена личного пароля должна производиться в обязательном порядке в следующих случаях:

компрометации (подозрении на компрометацию) пароля;

в случае прекращения полномочий (увольнение, переход на другую работу внутри организации) Пол