Приложение 4. Правила доступа в помещения департамента финансово-бюджетного надзора Краснодарского края, в которых ведётся обработка защищаемой информации, в том числе персональных данных. Приказ департамента финансово-бюджетного надзора Краснодарского края от 24.11.2020 N 145 "Об организационных мероприятиях по обработке и обеспечению безопасности персональных данных, обрабатываемых в департаменте финансово-бюджетного надзора Краснодарского края" (с изменениями и дополнениями)

Приложение 4
к приказу департамента
финансово-бюджетного надзора
Краснодарского края
от 24.11.2020 N 145

Правила
доступа в помещения департамента финансово-бюджетного надзора Краснодарского края, в которых ведётся обработка защищаемой информации, в том числе персональных данных

1. Общие положения

1.1. Настоящие Правила устанавливают порядок доступа в помещения департамента финансово-бюджетного надзора Краснодарского края (далее - департамент), в которых ведётся обработка конфиденциальной и защищаемой информации, в том числе персональных данных (далее - Информация).

1.2. Правила разработаны в целях обеспечения безопасности информации, обрабатываемой в департаменте, на средствах вычислительной техники информационных систем, на материальных носителях информации, а также для обеспечения внутриобъектового режима.

1.3. Настоящий Порядок устанавливает правила доступа в следующие помещения департамента:

помещения, в которых происходит обработка Информации, как с использованием средств автоматизации, так и без таковых, в том числе серверные помещения;

помещения, в которых хранятся материальные носители Информации и их резервные копии;

помещения, в которых установлены средства криптографической защиты информации (далее - СКЗИ) и хранятся носители ключевой информации, в том числе средства электронной подписи (далее - Спецпомещения).

1.4. Настоящий Порядок разработан в соответствии с:

Федеральным законом Российской Федерации от 27 июня 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Федерального закона следует читать как "от 27 июля 2006 г."

постановлением Правительства Российской Федерации от 15 августа 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Федерального закона следует читать как "от 15 сентября 2008 г."

постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

приказом Федеральной службой безопасности России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости";

приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".

1.5. В каждом структурном подразделении департамента назначается ответственное лицо за доступ в Помещения.

1.6. Сотрудники департамента, допущенные в помещения, обязаны:

выполнять требования обеспечения безопасности Информации;

соблюдать режим конфиденциальности при обращении с Информацией, носителями Информации и СКЗИ (в том числе ключевыми документами к ним);

своевременно выявлять попытки посторонних лиц получить сведения об Информации, об используемых СКЗИ или ключевых документах к ним;

предусматривать раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей.

2. Общие требования к оборудованию помещений и регламентации доступа в них

2.1. Режим обеспечения безопасности помещений, в которых осуществляется обработка Информации (далее - Помещения) должен быть организован таким образом, чтобы препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

2.2. Ограждающие конструкции Помещений, должны предполагать существенные трудности для нарушителя по их преодолению (например, металлические решётки на окнах, металлическая дверь, система контроля и управления доступом и так далее).

2.3. Помещения должны быть оснащены надёжными входными дверьми с замками, а также средствами опечатывания помещений по окончании рабочего дня.

2.4. Окна Помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц, должны быть оборудованы металлическими решётками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в помещения.

2.5. В департаменте определяется перечень помещений, в которых разрешена обработка Информации. Форма перечня представлена в приложении 1.

2.6. Доступ сотрудников в Помещения департамента должен быть организован согласно перечня лиц, допущенных в Помещения обработки Информации (форма перечня представлена в приложении 2). Перечень сотрудников, доступ которых разрешён в Помещения, размещается на внутренней стороне двери этого помещения.

2.7. В Помещениях определяются места хранения материальных носителей Информации и лиц, ответственных за их сохранность (форма перечня представлена в приложении 3).

2.8. Указанные перечни разрабатываются ответственными за доступ в Помещения лицами и утверждаются заместителем руководителя департамента, курирующего данное направление.

2.9. Доступ посторонних лиц в Помещения, должен осуществляться только ввиду служебной необходимости и под контролем сопровождающего лица из числа сотрудников, допущенных в Помещение. При этом должны быть приняты меры, исключающие ознакомление посторонних лиц с защищаемой Информацией. Такими мерами являются: размещение мониторов, исключающее или существенно затрудняющее просмотр отображаемой информации; размещение документации на бумажных носителях, содержащих Информацию, исключающее просмотр Информации на них (документация убирается в папки, ящики тумбочек/столов, либо переворачивается лицевой стороной вниз, либо накрывается сверху непрозрачными объектами, закрывающими область текста).

2.10. В нерабочее время все окна и двери в помещениях (в том числе в смежные помещения), в которых ведётся обработка Информации, должны быть надёжно закрыты, материальные носители должны быть убраны в запираемые шкафы (сейфы), компьютеры выключены либо заблокированы.

2.11. При необходимости повышенного уровня обеспечения безопасности Помещений могут использоваться системы видеонаблюдения и системы контроля и управления доступом.

3. Особенности доступа в серверные помещения

Доступ в серверные помещения посторонних лиц разрешается по согласованию с главным консультантом отдела кадровой работы, противодействия коррупции, учета и материально - технического обеспечения Л.В. Голиков.

3.1. Учёт доступа в серверные помещения третьих лиц (осуществляющих обслуживание, техническое сопровождение, настройку серверного и активного сетевого оборудования) должен отражаться в Журнале доступа в серверные помещения (форма журнала приведена в приложении 4 к настоящим Правилам).

3.2. Двери серверных помещений должны быть оборудованы устройствами, обеспечивающими постоянное закрытие дверей на замок и их открытие только для санкционированного прохода.

3.3. Уборка серверных помещений должна происходить только под контролем сопровождающего лица из числа сотрудников, допущенных в Помещение.

3.4. Нахождение в серверных помещениях посторонних лиц без сопровождающего запрещено.

3.5. При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также других ситуаций, которые могут создавать угрозу жизни и здоровью граждан, доступ в серверные помещения, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться без согласования с ответственным за доступ в Помещения лицом.

3.6. Сотрудники органов Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (далее - МЧС), аварийных служб, врачи "скорой помощи" допускаются в серверные помещения для ликвидации нештатной ситуации, иных чрезвычайных ситуаций или оказания медицинской помощи в сопровождении сотрудника, допущенного в Помещение.

4. Особенности доступа в спецпомещения

4.1. Спецпомещения выделяют с учётом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к средствам криптографической защиты информации. Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надёжное закрытие помещений в нерабочее время.

4.2. Расположение Спецпомещений, специальное оборудование и организация режима в Спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

4.3. Двери Спецпомещений должны быть оборудованы устройствами, обеспечивающими постоянное закрытие дверей на замок и их открытия только для санкционированного прохода.

4.4. При утрате ключа от входной двери в Спецпомещение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей (с документальным оформлением).

4.5. Доступ сотрудников в Спецпомещения в нерабочее время допускается на основании служебных записок (или иных видов разрешающих документов).

4.6. При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также ситуаций, которые могут создавать угрозу жизни и здоровью граждан, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться доступ в Спецпомещения иных лиц из числа сотрудников органов Департамента.

4.7. Сотрудники органов МЧС и аварийных служб, врачи "скорой помощи" допускаются в Спецпомещения для ликвидации нештатной ситуации, иных чрезвычайных ситуаций или оказания медицинской помощи в сопровождении руководителя Подразделения или замещающего его лица.

4.8. Нахождение в Спецпомещениях посторонних лиц в нерабочее время запрещается.

Главный консультант отдела кадровой работы, противодействия коррупции, учета и материально технического обеспечения

Л.В. Голиков