Приказ Департамента государственного управления Новгородской области от 11.08.2016 N 74 "Об организации работы по обеспечению безопасности персональных данных при их обработке в Департаменте государственного управления Новгородской области"

С целью организации работы по обеспечению безопасности персональных данных, подлежащих обработке в департаменте государственного управления Новгородской области (далее - департамент), в соответствии с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказываю:

1. Организовать ведение следующих журналов:

журнал периодического антивирусного контроля;

журнал учета машинных носителей, содержащих персональные данные;

журнал учета обращений субъектов персональных данных по вопросам обработки персональных данных;

журнал регистрации доступа к программному и аппаратному обеспечению автоматизированных систем;

журнал учета металлических хранилищ и ключей от них;

журнал учета проверок юридического лица, индивидуального

предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля.

2. Утвердить прилагаемый Перечень информации, обрабатываемой в информационных системах департамента государственного управления Новгородской области (Приложение 1).

3. Утвердить:

Инструкцию ответственного за обеспечение безопасности персональных данных (за защиту информации) при их обработке в информационных системах;

Инструкцию ответственного за эксплуатацию информационной системы персональных данных;

Инструкцию по работе пользователей информационных систем персональных данных;

Инструкцию по проведению антивирусного контроля в информационной системе персональных данных;

Инструкцию по применению парольной защиты и личных идентификаторов в информационной системе персональных данных;

Инструкцию об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные.

4. Признать утратившим силу приказ комитета государственной гражданской службы и содействия развития местного самоуправления Новгородской области от 28.05.2015 N 34 "Об организации работ по обеспечению безопасности персональных данных при их обработке в комитете государственной гражданской службы и содействия развития местного самоуправления Новгородской области".

Руководитель департамента

А.И. Бирюкова

Инструкция
ответственного за обеспечение безопасности персональных данных (за защиту информации) при их обработке в информационных системах
(утв. приказом департамента государственного управления Новгородской области от 11 августа 2016 г. N 74)

1. Общие положения

1.1. Настоящая инструкция определяет обязанности и ответственность лица, назначенного ответственным за обеспечение безопасности персональных данных (за защиту информации) при их обработке в информационных системах (далее ИСПДн).

1.2. Ответственный за обеспечение безопасности персональных данных (за защиту информации) при их обработке в ИСПДн (далее ответственный за защиту информации) назначается руководителя департамента государственного управления Новгородской области.

1.3. Ответственный за защиту информации в своей работе руководствуется требованиями федеральных и областных правовых актов в сфере защиты информации и защиты персональных данных, локальными актами департамента государственного управления Новгородской области.

2. Обязанности

2.1. Проведение инструктажа пользователей информационных систем по соблюдению режима конфиденциальности при обработке персональных данных в ИСПДн.

2.2. Взаимодействие по вопросам обеспечения защиты информации и прав доступа пользователей к информационным системам:

с ответственными за эксплуатацию ИСПДн, назначенными в департамента государственного управления Новгородской области (далее - департамент),

администратором безопасности информации - государственным учреждением "Новгородский информационно-аналитический центр" (далее - ГУ НИАЦ).

2.3. Организация и проведение периодического и внеочередного контроля работы пользователей ИСПДн.

2.4. Учет, хранение и выдачу машинных носителей, содержащих персональные данные. При увольнении ответственного за защиту информации составляется акт приема-сдачи документов по учету, хранению и выдаче машинных носителей персональных данных, который утверждается руководителем департамента.

2.5. Контроль выполнения пользователями ИСПДн установленных правил эксплуатации материальных носителей, содержащих персональные данные.

2.6. Контроль выполнения пользователями ИСПДн режима конфиденциальности при обработке персональных данных, в том числе, соблюдения режима конфиденциальности при обращении с персональными идентификаторами, личными ключевыми дискетами и карточками паролей, со съемными машинными носителями информации, в процессе создания машинных документов, при процедурах "лечения" администратором безопасности информации зараженных файлов.

2.7. Участие в процедурах контроля операций по безопасному удалению личных файлов пользователя при прекращении полномочий учетной записи, по уничтожению (в установленном порядке) старых карточек паролей (при замене ГУ НИАЦ паролей пользователям) и созданию новых карточек паролей.

2.8. Организация и участие в служебных расследованиях для выяснения причин утечки или воздействия на обрабатываемую в ИСПДн информацию, компрометации паролей с целью выяснения величины нанесенного ущерба безопасности информации и выработки новых или совершенствования принятых технических и организационных мер по защите информации от реализации угрозы в будущем.

2.9. При возникновении необходимости организация и участие в мероприятиях, связанных с событиями вскрытия, опечатывания, модификации состава, ремонта и т.д. технических средств ИСПДн. Опечатывание корпусов технических средств ИСПДн. Составление актов о вскрытии и опечатывании корпусов технических средств.

3. Ответственность

3.1. Ответственный за защиту информации несет персональную ответственность за полноту и качество исполнения настоящей инструкции, а также за реализацию адекватных реальным угрозам безопасности информации мер по защите информации и за их своевременное применение.

Инструкция
ответственного за эксплуатацию информационной системы персональных данных
(утв. приказом департамента государственного управления Новгородской области от 11 августа 2016 г. N 74)

1. Общие положения.

1.1. Ответственный за эксплуатацию информационной системы персональных данных департамента государственного управления Новгородской области (далее ИСПДн) отвечает за обеспечение устойчивой работоспособности ИСПДн.

1.2. Ответственный за эксплуатацию ИСПДн в своей работе руководствуется нормативными документами ФСТЭК России по защите информации и несет персональную ответственность за свои действия.

1.3. Техническое обслуживание ИСПДн, уборка помещения и т. п. проводятся под контролем ответственного за эксплуатацию ИСПДн.

2. Обязанности ответственного за эксплуатацию ИСПДн

2.1. Осуществляет контроль за тем, чтобы в помещении, где размещается ИСПДн, не находились посторонние лица, не допущенные в установленном порядке к обрабатываемой информации.

2.2. В случае нарушения работоспособности (отказа) технических средств и программного обеспечения ИСПДн, в том числе средств защиты информации, немедленно докладывает о случившемся администратору безопасности информации - в государственное учреждение "Новгородский информационно-аналитический центр" (далее - ГУ НИАЦ).

2.3. Обеспечивает постоянный контроль выполнения установленного комплекса мероприятий (организационных и технических) по обеспечению безопасности информации.

2.4. Контролирует целостность печатей (пломб) на устройствах ИСПДн.

2.5. Соблюдает порядок учета, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов, электронных копий документов.

2.6. Обеспечивает строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств ИСПДн и отправке их в ремонт.

2.7.Присутствует при выполнении технического обслуживания ИСПДн, при установке (модификации) программного обеспечения.

2.8. Информирует ответственного за обеспечение безопасности персональных данных (за защиту информации) при их обработке в информационных системах о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн.

Инструкция
по работе пользователей информационной системы персональных данных
(утв. приказом департамента государственного управления Новгородской области от 11 августа 2016 г. N 74)

1.Общие положения

1.1. Пользователи информационных систем персональных данных департамента государственного управления Новгородской области (далее ИСПДн) - работники департамента государственного управления Новгородской области, являющиеся ответственными за обработку персональных данных в департаменте (далее пользователи).

2. Обязанности пользователя

2.1. При эксплуатации ИСПДн пользователь обязан:

2.1.1. Руководствоваться требованиями федеральных и областных правовых актов в сфере защиты информации и защиты персональных данных, локальными актами департамента государственного управления Новгородской области:

2.1.2. Использовать личные пароли и идентификаторы.

2.1.3. При выходе в течение служебного (рабочего) дня из помещения, в котором размещается ИСПДн, пользователь обязан:

- блокировать ввод-вывод информации на своем рабочем месте ИСПДн в случаях кратковременного отсутствия (перерыв) или выключать технические средства, содержащие ИСПДн;

- блокировать вывод информации на монитор технического средства, содержащего ИСПДн;

2.2. Пользователю запрещается:

- подключать к техническому средству нештатные устройства;

- самостоятельно вносить изменения в состав, конфигурацию и размещение ИСПДн;

- самостоятельно вносить изменения в состав, конфигурацию и настройку программного обеспечения, установленного в ИСПДн;

- самостоятельно вносить изменения в размещение, состав и настройку средств защиты ИСПДн;

- сообщать устно, письменно или иным способом (показ и т. п.) другим лицам пароли, передавать личные идентификаторы, ключевые дискеты и другие реквизиты доступа к ресурсам ИСПДн.

3. Ответственность

3.1. Пользователь несет персональную ответственность:

- за соблюдение режима конфиденциальности при обработке и хранении информации в ИСПДн;

- за соблюдение требований нормативных правовых актов, приказов, распоряжений и указаний, определяющих порядок организации работ по информационной безопасности при работе с персональными данными.

Инструкция
по проведению антивирусного контроля в информационной системе персональных данных
(утв. приказом департамента государственного управления Новгородской области от 11 августа 2016 г. N 74)

1. К применению в ИСПДн допускаются лицензионные антивирусные средства.

2. Ярлык для запуска антивирусной программы должен быть вынесен на "Рабочий стол" операционной системы.

3. Пользователи ИСПДн при работе со съемными носителями информации (компакт-дисками (CD), USB, флеш-накопителями, гибкими магнитными дисками (ГМД)) обязаны перед началом работы осуществить их проверку на предмет отсутствия компьютерных вирусов.

4. Администратор безопасности информации - государственное учреждение "Новгородский информационно-аналитический центр" (далее - ГУ НИАЦ) осуществляет периодическое обновление антивирусных пакетов и контроль их работоспособности, проводит периодическое тестирование всего установленного программного обеспечения на предмет отсутствия компьютерных вирусов.

5. При обнаружении компьютерного вируса пользователь ИСПДн обязан немедленно поставить в известность ГУ НИАЦ и прекратить какие-либо действия в ИСПДн.

6. ГУ НИАЦ проводит, в случае необходимости, лечение зараженных файлов путем выбора соответствующего пункта меню антивирусной программы и после этого вновь проводит антивирусный контроль.

7. В случае обнаружения вируса, не поддающегося лечению, ГУ НИАЦ должен поставить в известность ответственного за эксплуатацию ИСПДн, запретить работу в ИСПДн и в возможно короткие сроки обновить пакет антивирусных программ.

Инструкция
по применению парольной защиты и личных идентификаторов в информационной системе персональных данных
(утв. приказом департамента государственного управления Новгородской области от 11 августа 2016 г. N 74)

1. Настоящая Инструкция определяет порядок использования, генерации, смены и прекращения действия паролей и личных идентификаторов пользователей в информационных системах персональных данных департамента государственного управления Новгородской области (далее пользователи ИСПДн), а также контроль действий пользователей ИСПДн при работе с паролями.

2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей, а также контроль действий пользователей при работе с паролями возлагается на администратора безопасности информации - государственное учреждение "Новгородский информационно-аналитический центр" (далее - ГУ НИАЦ).

3. Пароли для всех учетных записей пользователей ИСПДн должны выбираться с учетом следующих требований:

- длина пароля должна быть не менее 6 буквенно-цифровых символов;

- пароль не должен включать в себя легко вычисляемые (угадываемые) сочетания символов (имена, фамилии, отчества, наименования организации и т. д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER, ADM, ADMIN и т.п.);

- максимальное действие пароля - не более чем 90 дней;

- пароль не должен повторяться;

- пользователь не может неправильно ввести пароль учетной записи более 5 раз, в этом случае должна происходить блокировка учетной записи пользователя, до момента снятия блокировки.

4. При первичной регистрации пользователя ИСПДн в системе пароль ему назначает ГУ НИАЦ.

5. Пользователи ИСПДн обязаны хранить свой личный пароль втайне от других и не передавать любым способом пароль третьим лицам.

6. Пользователь ИСПДн лично должен проводить смену пароля учетной записи регулярно не реже одного раза в три месяца.

7. Привязку идентификатора к пользователю (учетной записи) выполняет ГУ НИАЦ.

8. Пользователи ИСПДн получают свой идентификатор у ГУ НИАЦ.

9. Пользователь ИСПДн обязан хранить свой личный идентификатор в недоступных для других сотрудников хранилищах.

10. Пользователю ИСПДН запрещается передавать свой личный идентификатор.

11. В случае утери личного идентификатора, пользователь ИСПДн должен немедленно доложить об этом администратору безопасности информации.

12. В случае прекращения полномочий учетной записи пользователя ИСПДн (увольнение, переход на другую работу, в другой отдел или помещение, а также другие обстоятельства) учетная запись должна быть удалена, а ее идентификатор должен быть сдан администратору безопасности информации после окончания последнего сеанса работы данного пользователя в ИСПДн.

13. В случае компрометации личного пароля или утери личного идентификатора пользователя администратором безопасности информации должны быть немедленно предприняты меры в соответствии с п. 14 настоящей Инструкции.

14. Администратор безопасности информации должен провести служебное расследование для выяснения причин компрометации пароля с целью выработки новых или совершенствования принятых технических и организационных мер по устранению такой угрозы в будущем, а также выяснению величины ущерба, который может быть нанесен собственнику информационных ресурсов.

Инструкция
об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные
(утв. приказом департамента государственного управления Новгородской области от 11 августа 2016 г. N 74)

1. Настоящая Инструкция устанавливает организацию учета, хранения и выдачи машинных носителей, содержащих персональные данные, подлежащие обработке в департаменте государственного управления Новгородской области.

2. Все находящиеся на хранении и в обращении машинные носители, содержащие персональные данные, подлежат учету. Учет всех видов и типов носителей производится в журнале учета машинных носителей, содержащих персональные данные.

Каждый машинный носитель, содержащий персональные данные (далее носитель) должен иметь этикетку, на которой указывается его уникальный учетный номер. На несъемной части упаковки носителя указывается:

- учетный номер;

- отметка "Персональные данные";

- дата регистрации (день, месяц, год);

- ФИО, должность, подпись сотрудника выполнившего учет.

3. Пользователи информационных систем персональных данных получают учтенный съемный носитель от уполномоченного сотрудника, для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета машинных носителей, содержащих персональные данные. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета материальных носителей, содержащих персональные данные.

4. Хранение носителей осуществляется в условиях, исключающих несанкционированное копирование, изменение или уничтожение информации, а также хищение носителей. Носители должны храниться в служебных помещениях, в металлическом хранилище (сейфе). Запрещается хранить носители на рабочих столах, оставлять их без присмотра или передавать на хранение другим лицам.

5. Носители, пришедшие в негодность, отслужившие установленный срок, подлежат уничтожению. По результатам уничтожения носителей составляется акт уничтожения носителей.

6. При передаче технических средств, содержащих информационные системы сторонним организациям для проведения ремонтно-восстановительных или иных работ, несъемные материальные носители изымаются из технических средств.

7. Ответственность за выполнение правил эксплуатации носителей при выполнении непосредственных работ с носителями несет пользователь информационной системы.