Приложение 4. Правила доступа государственных гражданских служащих департамента по регулированию контрактной системы Краснодарского края в помещения департамента по регулированию контрактной системы Краснодарского края, в которых ведётся обработка защищаемой информации, в том числе персональных данных. Приказ департамента по регулированию контрактной системы Краснодарского края от 13.05.2020 N 41 "Об организационных мероприятиях по обеспечению безопасности персональных данных, обрабатываемых в департаменте по регулированию контрактной системы Краснодарского края" (с изменениями и дополнениями)

Приложение 4

Утверждены
приказом департамента по
регулированию контрактной системы
Краснодарского края
от 13.05.2020 N 41

Правила
доступа государственных гражданских служащих департамента по регулированию контрактной системы Краснодарского края в помещения департамента по регулированию контрактной системы Краснодарского края, в которых ведётся обработка защищаемой информации, в том числе персональных данных

1. Общие положения

1.1. Настоящие Правила устанавливают порядок доступа в помещения департамента по регулированию контрактной системы Краснодарского края (далее - Департамент), в которых ведётся обработка конфиденциальной и защищаемой информации, в том числе персональных данных (далее - Информация).

1.2. Правила разработаны в целях обеспечения безопасности информации, обрабатываемой в Департаменте, на средствах вычислительной техники информационных систем, на материальных носителях информации, а также для обеспечения внутриобъектового режима.

1.3. Настоящий Порядок устанавливает правила доступа в следующие помещения Департамента:

помещения, в которых происходит обработка Информации, как с использованием средств автоматизации, так и без таковых, в том числе серверные помещения;

помещения, в которых хранятся материальные носители Информации и их резервные копии;

помещения, в которых установлены средства криптографической защиты информации (далее - СКЗИ) и хранятся носители ключевой информации, в том числе средства электронной подписи (далее - Спецпомещения).

1.4. Настоящий Порядок разработан в соответствии с:

Федеральным законом Российской Федерации от 27 июня 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");

постановлением Правительства Российской Федерации от 15 августа 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного постановления Правительства Российской Федерации следует читать как "от 15 сентября 2008 г. N 687"

постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

приказом Федеральной службой безопасности России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости";

приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".

1.5. В каждом структурном подразделении Департамента назначается ответственное лицо за доступ в Помещения.

1.6. Сотрудники Департамента, допущенные в помещения, обязаны:

выполнять требования обеспечения безопасности Информации;

соблюдать режим конфиденциальности при обращении с Информацией,

носителями Информации и СКЗИ (в том числе ключевыми документами к ним);

своевременно выявлять попытки посторонних лиц получить сведения об Информации, об используемых СКЗИ или ключевых документах к ним;

предусматривать раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей.

2. Общие требования к оборудованию помещений и регламентации доступа в них

2.1. Режим обеспечения безопасности помещений, в которых осуществляется обработка Информации (далее - Помещения) должен быть организован таким образом, чтобы препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

2.2. Ограждающие конструкции Помещений, должны предполагать существенные трудности для нарушителя по их преодолению. Помещения должны быть оснащены надёжными входными дверьми с замками, а также средствами опечатывания помещений по окончании рабочего дня.

2.3. В Департаменте определяется перечень помещений, в которых разрешена обработка Информации. Форма перечня представлена в приложении 1.

2.4. Доступ сотрудников в Помещения Департамента должен быть организован согласно перечня лиц, допущенных в Помещения обработки Информации (форма перечня представлена в приложении 2). Перечень сотрудников, доступ которых разрешён в Помещения, размещается на внутренней стороне двери этого помещения.

2.5. Указанные перечни разрабатываются ответственными за доступ в Помещения лицами и утверждаются руководителем Департамента.

2.6. В Помещениях определяются места хранения материальных носителей Информации и лиц, ответственных за их сохранность (форма перечня представлена в приложении 3).

2.7. Доступ посторонних лиц в Помещения, должен осуществляться только ввиду служебной необходимости и под контролем сопровождающего лица из числа сотрудников, допущенных в Помещение. При этом должны быть приняты меры, исключающие ознакомление посторонних лиц с защищаемой Информацией. Такими мерами являются: размещение мониторов, исключающее или существенно затрудняющее просмотр отображаемой информации; размещение документации на бумажных носителях, содержащих Информацию, исключающее просмотр Информации на них (документация убирается в папки, ящики тумбочек/столов, либо переворачивается лицевой стороной вниз, либо накрывается сверху непрозрачными объектами, закрывающими область текста).

2.8. В нерабочее время все окна и двери в помещениях (в том числе в смежные помещения), в которых ведётся обработка Информации, должны быть надёжно закрыты, материальные носители должны быть убраны в запираемые шкафы (сейфы), компьютеры выключены либо заблокированы.

2.9. При необходимости повышенного уровня обеспечения безопасности Помещений могут использоваться системы видеонаблюдения и системы контроля и управления доступом.

3. Особенности доступа в серверные помещения

Доступ в серверные помещения посторонних лиц разрешается по согласованию с начальником отдела информационно-аналитического сопровождения, а также его заместителем.

3.1. Учёт доступа в серверные помещения третьих лиц (осуществляющих обслуживание, техническое сопровождение, настройку серверного и активного сетевого оборудования) должен отражаться в Журнале доступа в серверные помещения (форма журнала приведена в Приложении 4 к настоящей Политике).

3.2. Уборка серверных помещений должна происходить только под контролем сопровождающего лица из числа сотрудников, допущенных в Помещение.

3.3. Нахождение в серверных помещениях посторонних лиц без сопровождающего запрещено.

3.4. При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также других ситуаций, которые могут создавать угрозу жизни и здоровью граждан, доступ в серверные помещения, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться без согласования с ответственным за доступ в Помещения лицом.

3.5. Сотрудники органов Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (далее - МЧС), аварийных служб, врачи "скорой помощи" допускаются в серверные помещения для ликвидации нештатной ситуации, иных чрезвычайных ситуаций или оказания медицинской помощи в сопровождении сотрудника, допущенного в Помещение.

4. Особенности доступа в Спецпомещения

4.1. Спецпомещения выделяют с учётом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к средствам криптографической защиты информации. Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надёжное закрытие помещений в нерабочее время.

4.2. Расположение Спецпомещений, специальное оборудование и организация режима в Спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

4.3. Двери Спецпомещений должны быть оборудованы устройствами, обеспечивающими постоянное закрытие дверей на замок и их открытия только для санкционированного прохода.

4.4. При утрате ключа от входной двери в Спецпомещение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей (с документальным оформлением).

4.5. Доступ сотрудников в Спецпомещения в нерабочее время допускается на основании служебных записок (или иных видов разрешающих документов).

4.6. При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также ситуаций, которые могут создавать угрозу жизни и здоровью граждан, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться доступ в Спецпомещения иных лиц из числа сотрудников органов Департамента.

4.7. Сотрудники органов МЧС и аварийных служб, врачи "скорой помощи" допускаются в Спецпомещения для ликвидации нештатной ситуации, иных чрезвычайных ситуаций или оказания медицинской помощи в сопровождении руководителя Подразделения или замещающего его лица.

4.8. Нахождение в Спецпомещениях посторонних лиц в нерабочее время запрещается.

Заместитель начальника отдела информационно-аналитического сопровождения

И.М. Мусин