Приложение N 5. Положение по защите персональных данных, обрабатываемых в Совете местного самоуправления Зольского муниципального района КБР. Постановление Главы Зольского муниципального района Кабардино-Балкарской Республики от 13.12.2017 N 27 "Об утверждении перечня документов, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных"

Приложение N 5

к постановлению главы

Зольского муниципального района

Кабардино-Балкарской Республики

от 13 декабря 2017 года N 27

Положение
по защите персональных данных, обрабатываемых в Совете местного самоуправления Зольского муниципального района КБР

1. Общие положения

1.1. Настоящее Положение разработано на основании требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 01.11.2012 N 1119 и устанавливает порядок обработки, распространения и использования персональных данных в Совете местного самоуправления Зольского муниципального района КБР при их обработке в информационных системах персональных данных.

1.2. Обработка персональных данных производиться на основании Трудового кодекса Российской Федерации, Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", Положения об оплате труда в Совете местного самоуправления Зольского муниципального района без письменного согласия. Целью обработки является обеспечение кадровой и бухгалтерской работы в отношении сотрудников. Состав обрабатываемых персональных данных приведен в приложении N 1 к настоящему приказу.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Слова "Состав обрабатываемых персональных данных приведен в приложении N 1 к настоящему приказу" приводятся ошибочно

2. Функции ответственного за организацию обработки персональных данных

2.1. В Совете местного самоуправления Зольского муниципального района КБР назначается ответственный за организацию обработки персональных данных (далее - Ответственный).

2.2. Деятельность Ответственного регламентируется законодательными актами в области защиты персональных данных, нормативными документами ФСТЭК и ФСБ России, документацией по эксплуатации средств защиты информации и внутренними документами Совета местного самоуправления Зольского муниципального района КБР.

2.3. Ответственный должен:

2.3.1. знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите ПДн;

2.3.2. вести инструктаж сотрудников, имеющих доступ к персональным данным, по организационно-распорядительным документам Совета местного самоуправления Зольского муниципального района КБР. Форма Журнала инструктажа приведена в приложении N 19 к настоящему постановлению;

2.3.3. участвовать в установке и настройке средств защиты, в контрольных и тестовых испытаниях и проверках элементов ИСПДн, вести их учет;

2.3.4. участвовать в приемке новых программных средств;

2.3.5. обеспечить доступ к защищаемым ПДн пользователям ИСПДн согласно их правам, в соответствии с матрицей доступа;

2.3.6. уточнять в установленном порядке обязанности пользователей ИСПДн по обработке объектов защиты;

2.3.7. вести контроль над процессом осуществления резервного копирования объектов защиты;

2.3.8. осуществлять контроль над выполнением Плана мероприятий по защите персональных данных;

2.3.9. анализировать состояние защиты ИСПДн и ее отдельных подсистем;

2.3.10. контролировать неизменность состояния средств защиты их параметров и режимов защиты;

2.3.11. контролировать физическую сохранность средств и оборудования ИСПДн;

2.3.12. контролировать исполнение пользователями ИСПДн введенного режима безопасности, а также правильность работы с элементами ИСПДн и средствами защиты;

2.3.13. контролировать исполнение пользователями парольной политики;

2.3.14. контролировать работу пользователей в сетях общего пользования и (или) международного обмена;

2.3.15. своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений;

2.3.16. не допускать установку, использование, хранение и размножение в ИСПДн программных средств, не связанных с выполнением функциональных задач;

2.3.17. не допускать к работе на элементах ИСПДн посторонних лиц;

2.3.18. осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ИСПДн;

2.3.19. оказывать помощь пользователям ИСПДн в части применения средств защиты и консультировать по вопросам введенного режима защиты;

2.3.20. представлять по требованию руководства отчет о состоянии защиты ИСПДн и о нештатных ситуациях на объектах ИСПДн и допущенных пользователями нарушениях установленных требований по защите информации;

2.3.21. в случае отказа работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности;

2.3.22. принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.

2.4. Ответственный имеет право:

2.4.1. подать прошение руководству о прохождении обучения по защите персональных данных в учебных центрах и курсах повышения квалификации;

2.4.2. вносить руководству предложения о наказании отдельных сотрудников, имеющих санкционированный доступ к ПДн, допустивших серьезные нарушения в безопасности ПДн.

3. Обеспечение безопасности персональных данных в информационных системах

3.1. Система защиты персональных данных при их обработке в информационных системах персональных данных представляет собой комплекс организационных и технических мероприятий и должна быть направлена на пресечение всех возможных каналов утечки информации.

3.1.1. Технические мероприятия заключаются в выборе необходимых сертифицированных средств защиты информации, их установке, настройке и эксплуатации на местах обработки персональных данных.

3.1.2. Организационные мероприятия заключаются во введении организационно-режимных мер и нормативных документов по защите персональных данных.

3.2. Доступ в помещения с техническими средствами обработки персональных данных.

3.3. Применение парольной политики.

3.3.1. Каждый сотрудник, имеющий доступ к персональным данным должен иметь личную учетную запись (логин) и пароль доступа к операционной системе и автоматизированным системам обработки персональных данных. Такие логины должны быть учтены в Журнале учета доступа.

3.3.2. Пользователи автоматизированных систем обработки персональных данных перед уходом со своего рабочего места обязаны включать "блокировку" учетной записи операционной системы, для исключения возможного несанкционированного доступа к средствам обработки персональных данных и базе данных во время их отсутствия. Включение "блокировки" производится одним из следующих способов:

- одновременным нажатием на клавиатуре кнопок "Ctrl", "Alt" и "Del";

- одновременным нажатием на клавиатуре кнопок "Windows" и "L";

- мышкой выбрать в меню "Пуск" -> "Завершение сеанса" -> "Смена пользователя".

3.3.3. Пароли на учетные записи операционной системы и автоматизированные системы обработки персональных данных должны быть известны только тому сотруднику, которому они принадлежат. Разглашение пароля ведет к возникновению риска несанкционированного доступа к персональным данным.

3.3.4. Требования к паролю:

- срок действия пароля должен составлять 1 месяц, по истечении которого пароль должен быть заменен на новый, отличающийся от старого минимум на 3 символа;

- пароль должен содержать цифробуквенный набор и состоять минимум из шести символов;

- при пятикратном вводе неверного пароля учетная запись пользователя должна быть заблокирована. Блокировку имеет право снять только системный администратор.

3.4. Применение антивирусной политики.

3.4.1. На всех рабочих местах обработки персональных данных должно быть установлено сертифицированное лицензионное программное обеспечение.

3.4.2. Обновление антивирусных баз должно быть регулярным, для этого в настройках программного обеспечения устанавливается автоматический режим обновления.

3.4.3. Регулярная проверка рабочих мест на наличие/отсутствие вирусов и вредоносных программ проводиться администратором безопасности один раз в месяц, с записью в Журнале учета антивирусных проверок.

3.4.4. Каждый пользователь автоматизированных систем обработки персональных данных должен обращать внимание на вирусную активность на своем рабочем месте и о фактах или подозрениях вирусного заражения незамедлительно сообщать администратору безопасности.

3.4.5. При использовании съемных носителей (USB, диски, дискеты, переносные носители на жестких магнитных дисках) пользователь обязан проверить его на наличие/отсутствие вирусов и вредоносных программ и в случае обнаружения принять меры, предлагаемые антивирусным программным обеспечением. По окончании использования съемного носителя необходимо проверить рабочее место на предмет заражения.

3.5. Работа с носителями