Приложение N 5. Положение по защите персональных данных, обрабатываемых в Совете местного самоуправления Зольского муниципального района КБР. Постановление Главы Зольского муниципального района Кабардино-Балкарской Республики от 13.12.2017 N 27 "Об утверждении перечня документов, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных"

Приложение N 5

к постановлению главы

Зольского муниципального района

Кабардино-Балкарской Республики

от 13 декабря 2017 года N 27

Положение
по защите персональных данных, обрабатываемых в Совете местного самоуправления Зольского муниципального района КБР

1. Общие положения

1.1. Настоящее Положение разработано на основании требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 01.11.2012 N 1119 и устанавливает порядок обработки, распространения и использования персональных данных в Совете местного самоуправления Зольского муниципального района КБР при их обработке в информационных системах персональных данных.

1.2. Обработка персональных данных производиться на основании Трудового кодекса Российской Федерации, Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", Положения об оплате труда в Совете местного самоуправления Зольского муниципального района без письменного согласия. Целью обработки является обеспечение кадровой и бухгалтерской работы в отношении сотрудников. Состав обрабатываемых персональных данных приведен в приложении N 1 к настоящему приказу.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Слова "Состав обрабатываемых персональных данных приведен в приложении N 1 к настоящему приказу" приводятся ошибочно

2. Функции ответственного за организацию обработки персональных данных

2.1. В Совете местного самоуправления Зольского муниципального района КБР назначается ответственный за организацию обработки персональных данных (далее - Ответственный).

2.2. Деятельность Ответственного регламентируется законодательными актами в области защиты персональных данных, нормативными документами ФСТЭК и ФСБ России, документацией по эксплуатации средств защиты информации и внутренними документами Совета местного самоуправления Зольского муниципального района КБР.

2.3. Ответственный должен:

2.3.1. знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите ПДн;

2.3.2. вести инструктаж сотрудников, имеющих доступ к персональным данным, по организационно-распорядительным документам Совета местного самоуправления Зольского муниципального района КБР. Форма Журнала инструктажа приведена в приложении N 19 к настоящему постановлению;

2.3.3. участвовать в установке и настройке средств защиты, в контрольных и тестовых испытаниях и проверках элементов ИСПДн, вести их учет;

2.3.4. участвовать в приемке новых программных средств;

2.3.5. обеспечить доступ к защищаемым ПДн пользователям ИСПДн согласно их правам, в соответствии с матрицей доступа;

2.3.6. уточнять в установленном порядке обязанности пользователей ИСПДн по обработке объектов защиты;

2.3.7. вести контроль над процессом осуществления резервного копирования объектов защиты;

2.3.8. осуществлять контроль над выполнением Плана мероприятий по защите персональных данных;

2.3.9. анализировать состояние защиты ИСПДн и ее отдельных подсистем;

2.3.10. контролировать неизменность состояния средств защиты их параметров и режимов защиты;

2.3.11. контролировать физическую сохранность средств и оборудования ИСПДн;

2.3.12. контролировать исполнение пользователями ИСПДн введенного режима безопасности, а также правильность работы с элементами ИСПДн и средствами защиты;

2.3.13. контролировать исполнение пользователями парольной политики;

2.3.14. контролировать работу пользователей в сетях общего пользования и (или) международного обмена;

2.3.15. своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений;

2.3.16. не допускать установку, использование, хранение и размножение в ИСПДн программных средств, не связанных с выполнением функциональных задач;

2.3.17. не допускать к работе на элементах ИСПДн посторонних лиц;

2.3.18. осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ИСПДн;

2.3.19. оказывать помощь пользователям ИСПДн в части применения средств защиты и консультировать по вопросам введенного режима защиты;

2.3.20. представлять по требованию руководства отчет о состоянии защиты ИСПДн и о нештатных ситуациях на объектах ИСПДн и допущенных пользователями нарушениях установленных требований по защите информации;

2.3.21. в случае отказа работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности;

2.3.22. принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.

2.4. Ответственный имеет право:

2.4.1. подать прошение руководству о прохождении обучения по защите персональных данных в учебных центрах и курсах повышения квалификации;

2.4.2. вносить руководству предложения о наказании отдельных сотрудников, имеющих санкционированный доступ к ПДн, допустивших серьезные нарушения в безопасности ПДн.

3. Обеспечение безопасности персональных данных в информационных системах

3.1. Система защиты персональных данных при их обработке в информационных системах персональных данных представляет собой комплекс организационных и технических мероприятий и должна быть направлена на пресечение всех возможных каналов утечки информации.

3.1.1. Технические мероприятия заключаются в выборе необходимых сертифицированных средств защиты информации, их установке, настройке и эксплуатации на местах обработки персональных данных.

3.1.2. Организационные мероприятия заключаются во введении организационно-режимных мер и нормативных документов по защите персональных данных.

3.2. Доступ в помещения с техническими средствами обработки персональных данных.

3.3. Применение парольной политики.

3.3.1. Каждый сотрудник, имеющий доступ к персональным данным должен иметь личную учетную запись (логин) и пароль доступа к операционной системе и автоматизированным системам обработки персональных данных. Такие логины должны быть учтены в Журнале учета доступа.

3.3.2. Пользователи автоматизированных систем обработки персональных данных перед уходом со своего рабочего места обязаны включать "блокировку" учетной записи операционной системы, для исключения возможного несанкционированного доступа к средствам обработки персональных данных и базе данных во время их отсутствия. Включение "блокировки" производится одним из следующих способов:

- одновременным нажатием на клавиатуре кнопок "Ctrl", "Alt" и "Del";

- одновременным нажатием на клавиатуре кнопок "Windows" и "L";

- мышкой выбрать в меню "Пуск" -> "Завершение сеанса" -> "Смена пользователя".

3.3.3. Пароли на учетные записи операционной системы и автоматизированные системы обработки персональных данных должны быть известны только тому сотруднику, которому они принадлежат. Разглашение пароля ведет к возникновению риска несанкционированного доступа к персональным данным.

3.3.4. Требования к паролю:

- срок действия пароля должен составлять 1 месяц, по истечении которого пароль должен быть заменен на новый, отличающийся от старого минимум на 3 символа;

- пароль должен содержать цифробуквенный набор и состоять минимум из шести символов;

- при пятикратном вводе неверного пароля учетная запись пользователя должна быть заблокирована. Блокировку имеет право снять только системный администратор.

3.4. Применение антивирусной политики.

3.4.1. На всех рабочих местах обработки персональных данных должно быть установлено сертифицированное лицензионное программное обеспечение.

3.4.2. Обновление антивирусных баз должно быть регулярным, для этого в настройках программного обеспечения устанавливается автоматический режим обновления.

3.4.3. Регулярная проверка рабочих мест на наличие/отсутствие вирусов и вредоносных программ проводиться администратором безопасности один раз в месяц, с записью в Журнале учета антивирусных проверок.

3.4.4. Каждый пользователь автоматизированных систем обработки персональных данных должен обращать внимание на вирусную активность на своем рабочем месте и о фактах или подозрениях вирусного заражения незамедлительно сообщать администратору безопасности.

3.4.5. При использовании съемных носителей (USB, диски, дискеты, переносные носители на жестких магнитных дисках) пользователь обязан проверить его на наличие/отсутствие вирусов и вредоносных программ и в случае обнаружения принять меры, предлагаемые антивирусным программным обеспечением. По окончании использования съемного носителя необходимо проверить рабочее место на предмет заражения.

3.5. Работа с носителями информации, участвующих в обработке персональных данных.

3.5.1. Носители информации (накопители на жестких магнитных дисках) и съемные носители информации (USB, диски, дискеты, переносные носители на жестких магнитных дисках) подлежат учету в Журнале учета носителей. Каждый носитель должен быть промаркирован.

3.5.2. Съемные носители, на которых могут храниться и передаваться персональные данные, должны храниться в сейфе у администратора безопасности.

3.5.3. Выдача носителей производится администратором безопасности сотруднику под роспись в соответствующем Журнале учета. После использования или в конце рабочего дня носитель сдается обратно администратору безопасности для хранения в сейфе.

3.5.4. По окончании эксплуатации носителей информации необходимо производить затирание данных без возможности дальнейшего восстановления информации. Относительно дисков и дискет применяется уничтожение самого носителя любым способом, исключающим возможность его восстановления. Уничтожение носителя проводится комиссионно с оформлением акта.

3.5.5. Окончание эксплуатации носителя фиксируется в Журнале учета с соответствующей пометкой (произведено затирание данных или уничтожение носителя).

3.6. Восстановление после сбоев.

3.6.1. Работа любых технических средств связана с постоянным риском сбоя, вызванным как человеческим, так и природным факторами.

3.6.2. К природным факторам, вызывающим сбой работы технических средств, можно отнести любые природные явления - пожар, наводнение, землетрясение, ураганы, смерчи и т.д. Восстановление работоспособности технических средств в результате сбоя по причине природных факторов крайне затруднено.

3.6.3. К человеческим факторам можно отнести перебои в подаче электроэнергии, разрушающие воздействия, направленные через сеть "Интернет", вывод из рабочего состояния технических средств путем непосредственного воздействия на него в результате несанкционированного доступа (запуском вредоносных программ, затиранием системных файлов и т.д.).

3.6.4. Сотрудники, обрабатывающие персональные данные, должны следить за работой технических средств, и в случаях возникновения затруднений (медленная работа программ - "зависание", внеплановая перезагрузка операционной системы, оповещения антивирусным программным обеспечением о наличии вируса или вредоносной программы, произвольное открытие и закрытие операционных окон, передвижение курсора мыши и т.д.) сообщать администратору безопасности для принятия своевременных мер.

3.6.5. Во всех случаях прекращения работоспособности технического средства обработки персональных данных сотрудники обязаны оповестить администратора безопасности.

3.6.6. Администратор безопасности с привлечением других сотрудников проводит выяснение причин прекращения работоспособности технических средств.

3.6.7. Для возможности оперативного восстановления работоспособности системы необходимо вести резервное копирование критических файлов (база данных с персональными данными) не реже одного раза в полгода.

3.6.8. Резервные копии должны записываться на съемный носитель, учитываться в Журнале учета съемных носителей и храниться в сейфе администратора безопасности.

3.6.9. Для исключения ряда причин сбоев необходимо использовать источники бесперебойного питания, сертифицированные средства защиты информации от несанкционированного доступа, от воздействия из сети Интернет, а также соблюдение организационно-режимных мер по защите персональных данных.

3.7. Криптографическая защита.

3.7.1. При передаче персональных данных третьим лицам (в Пенсионный Фонд, Управление Федеральной налоговой службы и банки) через общедоступный канал "Интернет" необходимо использовать криптографические средства защиты канала связи и шифрование передаваемых данных.

3.7.2. Требования к криптографическим средствам и условиям их эксплуатации регламентируются действующим законодательством.