Приложение N 4. Инструкция пользователя информационной системы персональных данных в департаменте финансов Администрации города Салехарда. Приказ департамента финансов администрации г. Салехард Ямало-Ненецкого автономного округа от 11.01.2017 N 4 "Об утверждении инструкций по защите персональных данных в департаменте финансов Администрации города Салехарда"

Приложение N 4
к приказу
департамента финансов
администрации г. Салехард
от 11 января 2017 г. N 4

Инструкция
пользователя информационной системы персональных данных в департаменте финансов Администрации города Салехарда

Термины и определения

Автоматизированное рабочее место (АРМ) - это комплекс средств вычислительной техники и программного обеспечения, располагающийся непосредственно на рабочем месте работника и предназначенный для автоматизации его работы.

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Администратор информационной безопасности - лицо, ответственное за защиту автоматизированных рабочих мест от несанкционированного доступа к информации.

Пользователь информационной системы персональных данных (ИСПДн) - лицо, назначаемое оператором для непосредственной обработки персональных данных в объеме служебной деятельности с использованием информационной системы персональных данных, а также результатов ее функционирования.

Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами.

Доступ к информации - возможность получения информации и ее использования.

Несанкционированный доступ (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, представляемых АРМ.

1. Общие положения

1.1. Настоящая Инструкция разработана в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 01 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также другими нормативными документами по безопасности информации, и определяет порядок обеспечения информационной безопасности при проведении работ пользователями информационных систем персональных данных (далее - ИСПДн) департамента финансов Администрации города Салехарда (далее - Департамент финансов).

1.2. Пользователи ИСПДн (далее - пользователи) получает свои права на доступ к ресурсам ИСПДн через администратора информационной безопасности (далее - АБ).

1.3. Пользователи допускаются к работе на основании утвержденного списка пользователей ИСПДн в Департаменте финансов.

2. Обязанности пользователя

Пользователь обязан:

2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций и приказов, а также настоящей Инструкции.

2.2. Выполнять на закрепленном за этим пользователем автоматизированном рабочем месте (далее - АРМ) входящим в ИСПДн, обработку персональных данных в объеме, необходимом для его служебной деятельности, соблюдая при этом технологический процесс обработки персональных данных.

2.3. Знать и соблюдать установленные требования к обработке персональных данных, учёту и хранению носителей информации, обеспечению безопасности персональных данных, а также руководящих и организационно-распорядительных документов.

2.4. Использовать для хранения персональных данных только определенные места хранения и учтенные носители персональных данных.

2.5. Не сообщать устно или письменно, не передавать в каком-либо виде третьим лицам и не раскрывать публично персональные данные без соответствующего разрешения непосредственного руководителя.

2.6. Незамедлительно, в кратчайшие срок, сообщать непосредственному руководителю об утрате или недостаче носителей информации, ключей от помещений, хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению персональных данных.

2.7. При прекращении работ (трудовых отношений) все материальные носители, содержащие персональные данные (флэш-накопители, дискеты, компакт-диски, документы, черновики, распечатки на принтерах и т.п.), передать непосредственному руководителю.

2.8. Соблюдать требования парольной политики в соответствии с "Инструкцией по организации парольной защиты информационных систем персональных данных в департаменте финансов Администрации города Салехарда".

2.9. Соблюдать требования антивирусной защиты в соответствии с "Инструкцией по организации антивирусной защиты информационных систем персональных данных в департаменте финансов Администрации города Салехарда".

2.10. Получить уникальное имя пользователя и персональный идентификатор (при его наличии) от АБ. Знать и соблюдать в тайне свое имя пользователя и пароль, не допускать их запись на каких-либо носителях в целях напоминания.

2.11. Во время работы располагать экран монитора так, чтобы затруднить посетителям просмотр отображаемой информации. Жалюзи на окнах должны быть закрыты.

2.12. При возникновении подозрения на наличие вредоносного программного обеспечения (частые ошибки в работе программ, появление посторонних графических и звуковых эффектов, искажения данных, неконтролируемое пропадание файлов, появление сообщений о системных ошибках, замедление работы компьютера и т.п.) самостоятельно или вместе с АБ провести внеочередной антивирусный контроль своего АРМ. При самостоятельном проведении антивирусного контроля - уведомить о результатах АБ для определения им факта наличия или отсутствия вредоносного программного обеспечения.

2.13. В случае появления информационного окна средства антивирусной защиты, сигнализирующем об обнаружении вредоносного программного обеспечения выполнить следующие мероприятия:

2.13.1. приостановить обработку данных;

2.13.2. немедленно поставить в известность о факте обнаружения вредоносного программного обеспечения АБ, владельца зараженных файлов, а также смежные структурные подразделения, использующие эти файлы в работе;

2.13.3. совместно с владельцем файлов, зараженных вредоносным программным обеспечением, провести анализ необходимости дальнейшего их использования;

2.13.4. произвести лечение или уничтожение зараженных файлов (для выполнения требований данного пункта привлечь АБ).

2.14. Немедленно вызывать АБ и поставить в известность ответственного за обработку персональных данных в своем структурном подразделение при обнаружении:

2.14.1. нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах АРМ или иных фактов совершения в его отсутствие попыток несанкционированного доступа к защищаемой АРМ;

2.14.2. несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств АРМ;

2.14.3. отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АРМ, выхода из строя или неустойчивого функционирования узлов АРМ или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;

2.14.4. некорректного функционирования установленных на АРМ технических средств защиты;

2.14.5. непредусмотренных отводов кабелей и подключенных к АРМ дополнительных устройств.

2.15. При утере или подозрении на утечку сведений о своем имени пользователя, пароля и персональных идентификаторов пользователь должен немедленно сообщить об этом АБ.

2.16. Обо всех выявленных нарушениях, связанных с информационной безопасностью в Департаменте финансов, а так же для получения консультаций по вопросам информационной безопасности, необходимо обратиться к АБ.

2.17. При отсутствии визуального контроля за рабочей станцией доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш <Ctrl><Alt><Del> и выбрать опцию <Блокировка>.

2.18. Принимать меры по реагированию в случае возникновения внештатных ситуаций и аварийных ситуаций с целью ликвидации их последствий в пределах возложенных на него функций.

Пользователю ЗАПРЕЩАЕТСЯ:

- разглашать защищаемую информацию посторонним лицам;

- копировать защищаемую информацию на неучтенные внешние носители;

- самостоятельно устанавливать, тиражировать или модифицировать программное и аппаратное обеспечение, изменять установленный порядок функционирования технических и программных средств;

- подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства;

- отключать (блокировать) средства защиты информации;

- выполнять на АРМ работы, не предусмотренные технологическим процессом обработки ПДн;

- сообщать (или передавать) посторонним лицам параметры своей учётной записи (имя, персональный идентификатор (при его наличии) и пароль) в ИСПДн;

- оставлять без присмотра и передавать другим лицам персональный идентификатор;

- привлекать посторонних лиц для ремонта или настройки АРМ без согласования с АБ;

- оставлять без присмотра свое АРМ, не активизировав блокировку доступа, или оставлять свое АРМ включенным по окончании работы;

- самостоятельно создавать совместно используемые сетевые ресурсы (папки общего доступа);

- вести обработки персональных данных на АРМ другого пользователя, если иное не оговорено оператором при его назначении;

- использовать в работе персональные данные субъектов, выходящие за рамки служебной деятельности пользователя;

- удалять или искажать программы и защищаемую информацию;

- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к нарушению безопасности персональных данных.

3. Порядок работы пользователя с ресурсами ИСПДн

3.1. Начало работы на АРМ.

3.1.1. При включении АРМ необходимо дождаться завершения загрузки и готовности системы защиты информации (далее - СЗИ) и операционной системы (далее - ОС) к идентификации пользователя. Идентификация пользователя осуществляется по уникальному имени и паролю с использованием персонального идентификатора, если таковой предусмотрен комплектацией СЗИ;

3.1.2. Для получения доступа к ресурсам ИСПДн пользователь должен приложить к считывателю персональный идентификатор (при его наличии) и ввести с клавиатуры свой пароль. Если после ввода пароля СЗИ выдаст сообщение об ошибке, пользователь должен обратиться к АБ.

3.2. Завершение работы на АРМ.

3.2.1. По окончании работы пользователь должен либо завершить штатными средствами сеанс своей работы (без выключения АРМ), либо завершить работу АРМ стандартным способом (при этом выключить АРМ).

3.3. Требования к распечатыванию информации.

3.3.1. Все распечатываемые документы должны быть учтены;

3.3.2. Бракованные бумажные носители и черновики документов должны быть уничтожены;

3.3.3. При отсутствии пользователя на рабочем месте либо в присутствии лиц, не имеющих допуска к ресурсам ИСПДн, все документы, содержащие ПДн, должны быть недоступны для просмотра и иного их использования.

4. Права пользователя

Пользователь имеет право:

4.1. Обращаться к администратору информационной безопасности, ответственному за обработки персональных данных в своем структурном подразделении для консультаций по поводу использования программного обеспечения и АРМ, вопросам обработки персональных данных.

4.2. Направлять предложения по установке нового (а также дополнительного) программного обеспечения.

4.3. Направлять предложения по модернизации АРМ, входящих в ИСПДн.

4.4. Получать консультации и разъяснения по нормативным документам, регламентирующими работу с персональными данными в Департаменте финансов.

4.5. Иметь доступ к информационным ресурсам персональных данных ИСПДн, вести обработку персональных данных и использовать их в работе в объеме, необходимом для осуществления своей служебной деятельности.

5. Ответственность

5.1. Пользователь несет персональную ответственность за:

- сохранность носителей информации и содержащейся на них информации;

- соблюдение требований данной Инструкции, неправомерное использование ресурсов ИСПДн и за все действия, совершенные от имени его учётной записи в ИСПДн, если с его стороны не было предпринято необходимых действий для предотвращения несанкционированного использования его учётной записи.

5.2. За разглашение ПДн и нарушение порядка работы со средствами ИСПДн, содержащими персональные данные, работники могут быть привлечены к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.