Об утверждении мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152 «О персональных данных»



АДМИНИСТРАЦИЯ ЗОНАЛЬНОГО РАЙОНА

АЛТАЙСКОГО КРАЯ

ПОСТАНОВЛЕНИЕ

28.09.2020                                                                                                          № 349

с. Зональное

Об утверждении мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152 «О персональных данных»

В целях соблюдения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и других нормативно-правовых актов и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных,

ПОСТАНОВЛЯЮ:

1. Утвердить:

1.1.               Порядок сбора персональных данных и рассмотрения запросов субъектов персональных данных (Приложение 1);

1.2.               Форма журнала регистрации запросов субъектов персональных данных на предоставление сведений, касающихся обработки его персональных данных (Приложение 2);

1.3.               Форма журнала регистрации обращений субъектов персональных данных на предоставление доступа к своим персональным данным (Приложение 3);

1.4.               Форма уведомления субъекта персональных данных об обработке его персональных данных (Приложение 4);

1.5.               Форма разъяснений субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (Приложение 5);

1.6.               Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (Приложение 6);

1.7.               План проведения внутренних проверок соответствия условий обработки ПДн требованиям по защите ПДн (Приложение 7);

1.8.               Форма протокола проведения внутренней проверки условий обработки ПДн требованиям по защите ПДн (Приложение 8);

1.9.               Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Приложение 9);

1.10.               Порядок организации работы с машинными носителями защищаемой информации (Приложение 10);

1.11.               Форма журнала регистрации и учета электронных носителей защищаемой информации (Приложение 11);

1.12.               Форма акта об уничтожении носителей защищаемой информации (затирания информации с носителя защищаемой информации) (Приложение 12);

1.13.               Форма журнала передачи носителей защищаемой информации (Приложение 13);

1.14.               Порядок выявления инцидентов информационной безопасности в информационных системах (Приложение 14);

1.15.               Форма карточки данных об инциденте информационной безопасности (Приложение 15);

1.16.               Регламент резервного копирования информации (Приложение 16);

1.17.               Перечень резервируемой информации (Приложение 17);

1.18.               Положение о разрешительной системе допуска к информационным системам (Приложение 18);

1.19.               Список постоянных пользователей информационных систем, и установленные им права к информационным и техническим ресурсам (Приложение 19);

1.20.               Матрица доступа к защищаемым ресурсам (Приложение 20);

1.21.               Форма заявления на создание учетной записи пользователя (Приложение 21);

1.22.               Форма заявления на изменение полномочий (Приложение 22);

1.23.               Форма заявления на блокировку учетной записи (Приложение 23);

1.24.               Перечень защищаемых информационных ресурсов (Приложение 24);

1.25.               Инструкция по парольной защите (Приложение 25);

1.26.               Форма парольной карты (Приложение 26);

1.27.               Форма журнала учета парольных карт (Приложение 27);

Назначить ответственным за организацию обработки персональных данных управляющего делами Администрации Зонального района Алтайского края Меремьянина И.В.

Назначить администратором информационной безопасности начальника отдела программного обеспечение Администрации Зонального района Алтайского края Сидоренко А.П.

Назначить администратором информационных систем начальника отдела программного обеспечение Администрации Зонального района Алтайского края Сидоренко А.П.

Управляющему делами Администрации Зонального района Алтайского края Меремьянину И.В. обеспечить регулярное ведение Журнала учета мероприятий по контролю за исполнением правил обработки персональных данных.

Исполняющему обязанности начальника общего отдела Администрации Зонального района Алтайского края Гузенко Г.Н. ознакомить всех сотрудников Администрации Зонального района Алтайского края с настоящим постановлением.

Исполняющему обязанности начальника общего отдела Администрации Зонального района Алтайского края Гузенко Г.Н внести соответствующие изменения в должностные инструкции.

Настоящее постановление опубликовать в Сборнике муниципальных правовых актов Зонального района Алтайского и обнародовать на официальном сайте Администрации Зонального района Алтайского края в сети «Интернет».

Настоящее постановление вступает в силу со дня его принятия.

Контроль за исполнением настоящего постановления возложить на управляющего делами Администрации Зонального района Алтайского края Меремьянина И.В.

Глава Зонального района

Алтайского края  Т. В. Выставкина

Приложение № 1

к Постановлению

от 28.09.2020 № 349

ПОРЯДОК

сбора персональных данных и рассмотрения запросов субъектов персональных данных в Администрации Зонального района Алтайского края

Общие положения

1.1. Настоящий Порядок разработан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон) и определяют порядок обработки поступающих в Администрацию Зонального района Алтайского края (далее – Администрация Зонального района) обращений субъектов персональных данных (далее - ПДн).

Права субъектов ПДн

2.1. В соответствии с действующим законодательством субъект ПДн имеет право на получение при обращении или при получении запроса информации, касающейся обработки его ПДн, в том числе содержащей:

 подтверждение факта обработки ПДн Администрацией Зонального района, а также цель такой обработки;

 правовые основания обработки ПДн;

 способы обработки ПДн, применяемые Администрацией Зонального района;

 наименование и место нахождения Оператора ПДн;

 сведения о лицах (за исключением работников оператора), которым могут быть раскрыты ПДн на основании договора с Администрацией Зонального района ПДн или на основании Федерального закона;

 перечень обрабатываемых ПДн, относящихся к субъекту, обратившемуся в Администрацию Зонального района и источник их получения;

 сроки обработки ПДн, в том числе сроки их хранения;

 порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом;

 информация трансграничной передаче данных;

 сведения о лице, осуществляющем обработку ПДн по поручению Администрации Зонального района;

 сведения о том, какие юридические последствия для субъекта ПДн может повлечь за собой обработка его ПДн.

2.2. Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если:

 обработка ПДн, в том числе ПДн, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

 обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;

 обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

 обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

 предоставление ПДн нарушает конституционные права и свободы других лиц.

2.3. Если субъект ПДн считает, что Администрация Зонального района осуществляет обработку его ПДн с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Администрации Зонального района в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке.

2.4. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Правила работы с обращениями субъектов

3.1. По запросу от субъекта ПДн или его законного представителя Администрация Зонального района обязана сообщить субъекту ПДн или его представителю информацию о всех ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя.

3.2. При поступлении обращения на получение информации, касающейся обработки ПДн от субъекта ПДн или его представителя в Администрацию Зонального района, ответственный за организацию обработки ПДн Администрации Зонального района должен зарегистрировать обращение в «Журнале регистрации запросов субъектов персональных данных на предоставление сведений, касающихся обработки их персональных данных».

3.3. В случае, если субъекту ПДн необходимо ознакомиться с ПДн, относящимися к соответствующему субъекту ПДн, в «Журнале регистрации запросов субъектов персональных данных на предоставление сведений, касающихся обработки их персональных данных» ставится соответствующее примечание. Ответственный за организацию обработки ПДн Администрации Зонального района должен зарегистрировать факт ознакомления субъекта ПДн с ПДн, относящимися к нему, в «Журнале регистрации обращений субъектов персональных данных на предоставление доступа к своим персональным данным».

3.4. При ознакомлении субъекта ПДн с ПДн, относящимися к нему, необходимо исключить возможность ознакомления субъекта ПДн с ПДн, не относящимися к нему.

3.5. В Администрации Зонального района допускается ведение нескольких экземпляров «Журнала регистрации запросов субъектов персональных данных на предоставление сведений, касающихся обработки их персональных данных» и «Журнала регистрации обращений субъектов персональных данных на предоставление доступа к своим персональным данным».

3.6. По решению главы Зонального района Алтайского края, в праве поручить ведение экземпляров «Журнала регистрации запросов субъектов персональных данных на предоставление доступа к своим персональным данным» и «Журнала регистрации обращений субъектов персональных данных на предоставление доступа к своим персональным данным» сотрудникам, обрабатывающим ПДн.

3.7. После регистрации обращения субъекта ПДн в «Журнале регистрации запросов субъектов персональных данных на предоставление доступа к своим персональным данным» и рассмотрения обращения субъекту выдается «Уведомление субъекта персональных данных об обработке его персональных данных». «Уведомление субъекта персональных данных об обработке его персональных данных» оформляется в двух экземплярах, один из которых передается субъекту ПДн, а второй хранится у лица, зарегистрировавшего обращение.

3.8. В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя Администрация Зонального района обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иного федерального закона, являющийся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя.

3.9. Администрация Зонального района обязана предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн.

3.10. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Администрация Зонального района обязана внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Администрация Зонального района обязана уничтожить такие ПДн. Администрация Зонального района обязана уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы (ч. 3 ст.20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Правила сбора персональных данных

4.1. В случае, если предоставление ПДн Администрации Зонального района является обязательным в соответствии с действующим законодательством РФ, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные.

4.2. Если персональные данные получены не от субъекта персональных данных, оператор, за исключение случаев, предусмотренных пунктом 4.3 настоящего документа, до начала обработки таких персональных данных Администрация Зонального района обязуется направить в адрес субъекта персональных данных «Уведомление субъекта персональных данных об обработке его персональных данных».

4.3. Администрация Зонального района не обязуется направлять «Уведомление субъекта персональных данных об обработке его персональных данных» в следующих случаях:

 субъект ПДн уведомлен об осуществлении обработки ПДн Администрацией Зонального района;

 ПДн получены Администрацией Зонального района в соответствии с действующим законодательством РФ или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект;

 ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;

 Администрация Зонального района осуществляет обработку ПДн для статистических или иных исследовательских целей, научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;

 предоставление субъекту ПДн «Уведомления субъекта персональных данных об обработке его персональных данных» нарушает права и законные интересы третьих лиц.

             

Приложение 2

к Постановлению

от 28.09.2020 № 349

ФОРМА

Журнала регистрации запросов субъектов персональных данных на предоставление сведений, касающихся обработки его персональных данных в Администрации Зонального района Алтайского края

Начат «____» _____________ 202_ г.

Окончен «____» _____________ 202_ г.

На __________ листах

№ п/п

№ и дата запроса (письма)

ФИО субъекта ПДн (его законного представителя)

Номер основного документа, удостоверяющего личность субъекта персональных данных (его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе

№ и дата «Уведомления субъекта ПДн об обработке его ПДн»

1

2

3

4

5

Форма предоставления запрашиваемой информации

ФИО, должность лица, предоставившего запрошенную информацию

Подпись субъекта персональных данных (его законного представителя)

Подпись лица, предоставившего информацию по запросу

Примечание

(с ознакомлением/без ознакомления с ПДн, относящимися к субъекту ПДн)

6

7

8

9

10

Приложение 3

к Постановлению

от 28.09.2020 № 349

ФОРМА

Журнала регистрации обращений субъектов персональных данных на предоставление доступа к своим персональным данным в Администрации Зонального района Алтайского края

Начат «____» _____________ 202_ г.

Окончен «____» _____________ 202_ г.

На __________ листах

№ п/п

Дата предоставления доступа к ПДн

ФИО субъекта персональных данных (его законного представителя)

Номер основного документа, удостоверяющего личность субъекта персональных данных (его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе

№ и дата «Уведомления субъекта ПДн об обработке его ПДн»

ФИО, должность лица, предоставившего доступ

Подпись субъекта персональных данных (его законного представителя)

Подпись лица, предоставившего доступ к ПДн

1

2

3

4

5

6

7

8

Приложение № 4

к Постановлению

от 28.09.2020 № 349

Форма

уведомления субъекта персональных данных об обработке его персональных данных

Уведомление субъекта персональных данных об обработке его персональных данных

№____________

Дата:____________

Уважаемый(ая) ________________________________________ (Ф.И.О.), Администрацией Зонального района Алтайского края производиться обработка сведений, составляющих Ваши персональные данные, а именно:

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

Цели обработки Ваших персональных данных:

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

На основании следующих правовых актов:

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Применяются следующие способы обработки Ваших персональных данных:

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Сведения о лицах (за исключением работников оператора), которым могут быть раскрыты Ваши персональные данные на основании договора с Администрацией Зонального района Алтайского края:

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Персональные данные получены из следующих источников:

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Трансграничная передача Ваших персональных данных не осуществляется.

___________________

(должность)

__________________

(подпись)

______________________

(ФИО)

«___»______________20__г.

Второй экземпляр на руки получил:

___________________

(дата)

__________________

(подпись)

______________________

(ФИО)

Приложение № 5

к Постановлению

от 28.09.2020 № 349

Форма

разъяснений субъекту персональных данных юридических последствий отказа предоставить свои персональные данные

РазъяснениЕ

субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в связи с поступлением на работу или выполнением работы в Администрации Зонального района Алтайского края

Мне, _____________________________________________________________

разъяснены юридические последствия отказа предоставить свои персональные данные Администрации Зонального района Алтайского края.

В соответствии со статьями 57, 65, 69 Трудового кодекса Российской Федерации субъект персональных данных, поступающих на работу или работающий в Администрации Зонального района Алтайского края, обязан представить определенный перечень информации о себе.

Без представления субъектом персональных данных обязательных для заключения трудового договора сведений, трудовой договор не может быть заключен.

На основании пункта 11 части 1 статьи 77 Трудового кодекса Российской Федерации трудовой договор прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность продолжения работы.

«

»

20

г

(дата)

(подпись) (расшифровка подписи)

Приложение 6

к Постановлению

от 28.09.2020 № 349

ПОРЯДОК

осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Зонального района Алтайского края

Общие положения

1.1. Настоящий Порядок осуществления внутреннего контроля соответствия обработки персональных данных (далее - ПДн) требованиям к защите ПДн в Администрации Зонального района Алтайского края (далее – Администрация Зонального района) разработан с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Постановления Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.2. Настоящий Порядок определяет правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн и действует постоянно.

Тематика внутреннего контроля

2.1. Тематика проверок обработки ПДн с использованием средств автоматизации:

 соответствие полномочий пользователей Матрице доступа;

 соблюдение пользователями информационных систем персональных данных (далее - ИСПДн) Администрации Зонального района парольной политики;

 соблюдение пользователями ИСПДн Администрации Зонального района антивирусной политики;

 соблюдение пользователями ИСПДн Администрации Зонального района правил работы со съемными носителями ПДн;

 соблюдение пользователями криптографических средств защиты информации правил работы с ними;

 соблюдение порядка доступа в помещения Администрации Зонального района, где расположены элементы ИСПДн;

 соблюдение порядка резервирования баз данных и хранения резервных копий;

 соблюдение порядка работы со средствами защиты информации;

 знание пользователей ИСПДн о своих действиях во внештатных ситуациях.

2.2. Тематика проверок обработки ПДн без использования средств автоматизации:

 соблюдение правил хранения бумажных носителей с ПДн;

 соблюдение правил доступа к бумажным носителям ПДн;

 соблюдение правил доступа в помещения, где обрабатываются и хранятся бумажные носители с ПДн.



Правила проведения внутренних проверок

3.1. В целях осуществления внутреннего контроля соответствия обработки ПДн установленным требованиям Администрация Зонального района организует проведение периодических проверок условий обработки ПДн, но не реже 1 раза в 3 года (постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»).

3.2. Проверки осуществляются ответственным за организацию обработки ПДн (далее – Ответственный) либо комиссией, образуемой главой Зонального района Алтайского края.

3.3. Внутренние проверки проводятся в соответствии с «Планом проведения внутренних проверок соответствия условий обработки ПДн требованиям по защите ПДн».

3.4. Проверки осуществляются непосредственно на месте обработки ПДн путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки ПДн.

3.5. Для каждой проверки составляется «Протокол проведения внутренней проверки соответствия условий обработки ПДн требованиям по защите ПДн» (далее – Протокол).

3.6. При выявлении в ходе проверки нарушений, Ответственным либо Председателем комиссии в Протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.

3.7. Протоколы хранятся у Ответственного либо Председателя комиссии в течение года с момента проведения проверки.

3.8. О результатах проверки и мерах, необходимых для устранения нарушений, главе Зонального района Алтайского края докладывает Ответственный либо Председатель комиссии.

Приложение 7

к Постановлению

от 28.09.2020 № 349

ПЛАН

Проведения внутренних проверок соответствия условий обработки ПДн требованиям по защите ПДн

№ п\п

Тематика проверки

Срок выполнения

Ответственный

Примечание

1

2

3

4

5

1

Соответствие полномочий пользователей Матрице доступа

Ежеквартально

Меремьянин Иван Васильевич

2

Соблюдение пользователями ИСПДн Администрации Зонального района парольной политики

Ежеквартально

Меремьянин Иван Васильевич

3

Соблюдение пользователями ИСПДн Администрации Зонального района антивирусной политики

Раз в полгода

Меремьянин Иван Васильевич

4

Соблюдение пользователями ИСПДн Администрации Зонального района правил работы со съемными носителями ПДн

Ежеквартально

Меремьянин Иван Васильевич

5

Соблюдение пользователями криптографических средств защиты информации правил работы с ними

Ежеквартально

Меремьянин Иван Васильевич

6

Соблюдение порядка доступа в помещения Администрации Зонального района, где расположены элементы ИСПДн

Раз в полгода

Меремьянин Иван Васильевич

7

Соблюдение порядка резервирования баз данных и хранения резервных копий

Раз в год

Меремьянин Иван Васильевич

8

Соблюдение порядка работы со средствами защиты информации

Раз в год

Меремьянин Иван Васильевич

9

Знание пользователей ИСПДн о своих действиях во внештатных ситуациях

Раз в год

Меремьянин Иван Васильевич

10

Соблюдение правил хранения бумажных носителей с ПДн

Раз в полгода

Меремьянин Иван Васильевич

11

Соблюдение правил доступа к бумажным носителям ПДн;

Раз в полгода

Меремьянин Иван Васильевич

12

Соблюдение правил доступа в помещения, где обрабатываются и хранятся бумажные носители с ПДн

Раз в год

Меремьянин Иван Васильевич

Приложение № 8

к Постановлению

от 28.09.2020 № 349

Форма

протокола проведения внутренней проверки условий обработки ПДн требованиям по защите ПДн

в Администрации Зонального района Алтайского края

ПРОТОКОЛ

проведения внутренней проверки условий обработки ПДн требованиям по защите ПДн в Администрации Зонального района Алтайского края

Настоящий Протокол составлен в том, что «__» __________ 20___ г. ответственным за организацию обработки ПДн проведена проверка __________________________________________________________________.

(тема проверки)

Проверка осуществлялась в соответствии с требованиями ________________________________________________________________________________________________________________________________________________________________________________________________________________________.

(название документа)

В ходе проверки проверено:

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________________________________________________________________________________.

Выявленные нарушения:

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

Меры по устранению нарушений:

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

Срок устранения нарушений: ______________________________________________.

управляющий делами Администрации Зонального района Алтайского края              __________________ Меремьянин И.В.

Приложение № 9

к Постановлению

от 28.09.2020 № 349

ПОЛОЖЕНИЕ

об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зонального района Алтайского края

Общие положения

1.1. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зонального района Алтайского края (далее – «Положение») разработано во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и других нормативно-правовых актов и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.

1.2. Настоящее положение определяет политику Администрации Зонального района Алтайского края (далее – Оператор) в отношении обработки персональных данных и является общедоступным документом.

1.3. Требования настоящего Положения являются обязательными для исполнения всеми сотрудниками Оператора, получившими доступ к персональным данным.

1.4. Решения об изменении настоящего Положения принимаются на основании:

 результатов проведенных аудитов, мероприятий по контролю и надзору за обеспечением безопасности персональных данных, осуществляемых уполномоченными органами;

 изменений нормативно-правовых актов и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн);

 изменений процессов обработки персональных данных в информационных системах персональных данных Оператора;

 результатов анализа инцидентов информационной безопасности в ИС персональных данных.

1.5. В настоящем Положении используются следующие понятия и термины:

 персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

 оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

 обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

 автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

 распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

 предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

 блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

 уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

 обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

 информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

 трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.6. Оператором является:

Наименование Оператора: Администрация Зонального района Алтайского края;

ИНН: 2245000202;

Адрес местонахождения: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13.

Общие принципы и условия обработки персональных данных

2.1. Оператор осуществляет обработку персональных данных своих сотрудников и лиц, не являющихся таковыми.

2.2. Обработка осуществляется в целях исполнения функций, определенных законами и иными нормативно-правовыми актами Российской Федерации, а также в рамках осуществления видов деятельности, определенных во внутренних документах Оператора.

2.3. При обработке персональных данных Оператор руководствуется следующими принципами и условиями:

 обработка персональных данных должна осуществляться на законной и справедливой основе;

 обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных за исключением случаев, определенных пп. 2-11 ч.1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

 обработка специальных категорий персональных данных осуществляется в случаях, предусмотренных пп.1-9 ч.2. ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

 обработка биометрических категорий персональных данных осуществляется только при наличии согласия в письменной форме субъекта персональных данных за исключением случаев, предусмотренных ч.2. ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»;

 обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

 не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

 обработке подлежат только персональные данные, которые отвечают целям их обработки;

 содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

 при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

 хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

2.4. Оператор самостоятельно определяет содержание, объем, цели обработки и сроки хранения персональных данных.

2.5. Принятые Оператором документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений доводятся до сотрудников Оператора в части касающихся их.

Правовые основания обработки персональных данных

3.1. Оператор осуществляет обработку персональных данных на основании следующих нормативно-правовых актов Российской Федерации:

 Регламенты оказания услуг;

 Трудовой кодекса Российской Федерации;

 Налогоый кодексРФ;

 Бюджетный кодексРоссийской Федерации;

 Ст. 6 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

 Федеральный закон от 02.03.2007 № 25-ФЗ "О муниципальной службе в Российской Федерации";

 Бюджетный кодекс РФ

 Федеральный закон от 27.07.2004 № 79-ФЗ (ред. от 29.07.2017) "О государственной гражданской службе Российской Федерации".



Цели обработки персональных данных

4.1. Обработка персональных данных осуществляется в целях:

 Заключение, сопровождение, изменение, расторжение трудовых договоров, а также исполнение обязательств, предусмотренных соответствующими договорами и локальными нормативными актами;

 Передача отчетов;

 Кадровый учет;

 Осуществление бухгалтерского учета;

 Оказание государственных и муниципальных услуг.



Категории обрабатываемых персональных данных, источники их получения, сроки обработки и хранения

5.1. В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:

 ФИО;

 Паспортные данные или данные иного документа, удостоверяющего личность и гражданство (серия, номер, дата выдачи, наименование органа, выдавшего документ);

 Сведения о номере и серии страхового свидетельства государственного пенсионного страхования;

 Адрес места жительства (по паспорту);

 Паспортные данные или данные иного документа, удостоверяющего личность и гражданство (серия, номер, дата выдачи, наименование органа, выдавшего документ);

 Сведения о заработной плате;

 Адрес места жительства (фактический);

 Дата рождения;

 Сведения об образовании;

 Сведения о квалификации;

 Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней;

 Сведения об идентификационном номере налогоплательщика;

 Телефон.

Персональные данные предоставляются лично субъектом с согласия субъекта персональных данных или его законным представителем.

5.2. Срок обработки персональных данных составляет

 Сотрудники – 75 лет;

 Граждане, обратившиеся с жалобами, заявлениями – 5 лет;



Сведения о третьих лицах, участвующих в обработке персональных данных

6.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки Оператор, а так же с согласия субъектов персональных данных в ходе своей деятельности предоставляет персональные данные следующим организациям:

 Управление федерального казначейства Алтайского края (РФ);

 ФСС России;

 ПФР России;

 ФНС России.

При получении, в рамках установленных полномочий, мотивированных запросов органам прокуратуры, правоохранительным органам, органам безопасности, государственным инспекторам труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченным запрашивать информацию о сотрудниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

6.2. Оператор не поручает обработку персональных данных другим лицам.

Обязанности и права Оператора персональных данных

7.1. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.

7.2. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

7.3. Оператор обязан рассмотреть возражение, против решения на основании исключительно автоматизированной обработки персональных данных субъекта персональных данных, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

7.4. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч.7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

7.5. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

7.6. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

7.7. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

7.8. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

7.9. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

7.10. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

7.11. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7.12. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими нормативно-правовыми актами.

7.13. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

7.14. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 7.11-7.13 настоящего положения, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Права субъектов персональных данных

8.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

8.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3. В случае, если сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

8.4. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в ч. 7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в ч. 4 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.

8.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в следующих случаях:

 если обработка персональных данных, включая те, что получены в результате оперативно–розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;

 если обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

 если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

 если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

 если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

 если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Меры по обеспечению безопасности персональных данных при их обработке

9.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.2. Обеспечение безопасности достигается:

 определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

 применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

 применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

 оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

 учетом машинных носителей персональных данных;

 обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

 восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

 установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

 контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Управление конфигурацией информационных систем персональных данных

10.1. Внесение изменений в конфигурацию информационных систем персональных данных и системы защиты информации разрешено только администратору информационной безопасности при согласовании вносимых изменений с ответственным за обеспечение безопасности персональных данных, ответственным за организацию обработки персональных данных, и главой Зонального района Алтайского края. При необходимости, возможно привлечение администратора информационных систем для внесения изменений в конфигурацию информационных систем и системы защиты информации.

10.2. Заявка на внесение изменений в конфигурацию информационных систем персональных данных и системы защиты информации оформляется служебной запиской за подписью лиц, которым разрешено внесение изменений в конфигурацию и, при необходимости, администратора информационных систем. Заявку оформляет инициатор внесения изменений в конфигурацию информационных систем персональных данных и системы защиты информации.

10.3. В заявке указываются документы и локальные акты, технические и программные средства, которые подлежат изменению, а также анализируются потенциальные воздействия на изменяемую конфигурацию.

10.4. По результатам внесения изменений в заявке проставляется отметка об исполнении с подробным описанием внесенных изменений.

Ответственность за разглашение информации, связанной с персональными данными

11.1. Лица, виновные в нарушении требований настоящего Федерального законодательства, несут ответственность, предусмотренную законодательством Российской Федерации.

11.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Приложение № 10

к Постановлению

от 28.09.2020 № 249

ПОРЯДОК

организации работы с машинными носителями защищаемой информации в Администрации Зонального района Алтайского края

Перечень используемых определений, обозначений и сокращений

                            АИБ – администратор информационной безопасности.

ИС – информационная система.

ЗИ – защищаемая информация.

НЖМД – накопитель на жёстких магнитных дисках.

СВТ – средства вычислительной техники.

Администратор информационной безопасности – сотрудник Администрации Зонального района Алтайского края, осуществляющий контроль за обеспечением защиты информации в ИС, а также осуществляющий организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Защищаемая информация – персональные данные сотрудников Администрации Зонального района Алтайского края, граждан РФ, обрабатываемые Администрацией Зонального района Алтайского края, а также иная информация, подлежащая защиты в соответствии с действующим законодательством в сфере защиты персональных данных, информационных систем персональных данных и государственных информационных систем.

Общие положения

2.1. Настоящий Порядок устанавливает основные требования к организации учета, использования, передачи и уничтожения электронных носителей информации (далее – носители), предназначенных для обработки ЗИ в Администрации Зонального района Алтайского края (далее – Администрация Зонального района).

2.2. Под электронными носителям информации в данном документе понимаются: гибкие магнитные диски, CD- и DVD-диски, USB флеш-диски, НЖМД и др.

2.3. Ответственность за организацию учета, использования, передачи и уничтожения носителей, предназначенных для обработки и хранения ЗИ, затирание (удаление) информации возлагается на администратора информационной безопасности (АИБ).

2.4. Положения данного Порядка обязательны для сотрудников Администрации Зонального района, которые в ходе выполнения своих должностных обязанностей используют носители ЗИ, а также имеющими допуск к обработке ЗИ.

Учёт и хранение электронных носителей информации

3.1. Учёту подлежат все носители информации, находящиеся в распоряжении Администрации Зонального района и предназначенные для хранения ЗИ.

3.2. Носители учитываются в специальном «Журнале регистрации и учета электронных носителей защищаемой информации», в котором производится непосредственно регистрация и учёт носителей.

3.3. Регистрация и учет носителей информации осуществляется АИБом.

3.4. Учётный номер носителя состоит из сокращенного наименования подразделения (отдела) и порядкового номера по журналу регистрации через дефис (пример: уч. № ОБ-1/ЗИ, где ОБ – отдел бухгалтерии, 1 – порядковый номер в журнале, ЗИ – «Защищаемая информации»).

3.5. В случае отсутствия утвержденных сокращений названий подразделений учетный номер носителя состоит из порядкового номера по журналу регистрации (пример: уч. № 01/ЗИ, где 01 – порядковый номер в журнале, ЗИ – «Защищаемая информация»).

3.6. Каждый носитель информации, применяемый при обработке информации на СВТ, должен иметь пометку, соответствующую записанной на нём информации: защищаемая информация – «ЗИ». Исключается хранение на одном носителе информации, имеющей разные цели обработки.

3.7. Для съемных носителей информации реквизиты наносятся непосредственно на носитель (корпус). Если невозможно маркировать непосредственно носитель (корпус), то применяется маркировка упаковки, в которой хранится носитель или другие доступные способы маркировки (бирки, брелоки и т.п.). Надпись реквизитов делается разборчиво и аккуратно. На дискеты и футляры носителей допускается наклеивать заранее заготовленную этикетку.

3.8. Каждому носителю в журнале должна соответствовать отдельная строка.

3.9. НЖМД в серверах и системных блоках компьютеров учитываются в «Журнале регистрации и учета электронных носителей защищаемой информации» с указанием марки носителя информации и его серийного номера.

3.10. Хранение носителей информации осуществляется в условиях (закрываемые шкафы, сейфы и т.п.), исключающих возможность хищения, приведения в негодность или уничтожения содержащейся на них информации.

3.11. О фактах утраты носителей необходимо незамедлительно докладывать руководителю своего структурного подразделения.

3.12. АИБ не реже одного раза в год осуществляет проверку условий хранения носителей ЗИ.

Хранение носителей

4.1. Не допускается:

‒ хранение съемных носителей с ЗИ вместе с носителями открытой информации, на рабочих столах, либо оставление их без присмотра или передача на хранение другим лицам;

‒ вынос съемных носителей с ЗИ из служебных помещений для работы с ними на дому, в гостиницах и т. д.

Выдача/сдача и передача носителей

5.1. Носители, как правило, выдаются только непосредственно на время работы с данным носителем и сдаются специалистом АИБу сразу по завершению таких работ.

5.2. Носители, которые выдаются специалисту, должны пройти проверку на отсутствие записанной на ней информации. В случае наличия какой-либо информации на выдаваемом носителе, АИБ обязан удалить (затереть) информацию методом, не позволяющим повторное восстановление защищаемой информации (средствами, осуществляющими безвозвратное удаление информации).

5.3. В случае повреждения носителей, содержащих ЗИ, сотрудник, в пользовании которого они находятся, обязан сообщить о случившемся руководителю своего структурного подразделения (отдела) и АИБу.

5.4. При передаче в другие организации носители информации должны, по возможности, быть упакованы в пакет/конверт, обеспечивающий сохранность (работоспособность) передаваемого носителя. При этом носители информации передаются с сопроводительным письмом, в котором указывается, какая информация содержится на данном носителе, а для подтверждения достоверности информации прилагается таблица с реквизитами файлов (допускается прикладывать скриншот окна архиватора/проводника). Данное передвижение (передача) носителей ЗИ регистрируется в «Журнале передачи носителей защищаемой информации» где делается отметка об отправке (куда отправлен (реквизиты адресата), исходящий номер сопроводительного письма, дата отправки, способ отправки (курьер, заказная почта и т.п.)) и отметка о получении (номер «Уведомления о вручении» или «Накладной»). В случае если передача носителей осуществляется лично сотрудником Администрации Зонального района, то у адресата, необходимо взять расписку о получении носителя.

5.5. Для исключения утечки информации, находящейся на жестких дисках компьютеров, при необходимости ремонта компьютера в сервисном центре, жесткий диск с компьютера демонтируется и компьютер отправляется в ремонт без жесткого диска. При необходимости диагностирования самого жесткого диска информация должна быть предварительно скопирована на резервный носитель и затем стёрта с направляемого в ремонт винчестера с использованием специальных средств (сертифицированные программные или программно-аппаратные средства защиты информации, обеспечивающие невозможность восстановления информации). Если невозможно произвести данные действия (поломка жесткого диска или ПЭВМ), то отправка такой ПЭВМ в ремонт возможна только по письменному разрешению руководителя Администрации Зонального района.

Порядок уничтожения носителей, затирания информации на носителях

6.1. Уничтожение носителей информации, пришедших в негодность или утративших практическую ценность, производится путем их физического разрушения без возможности дальнейшего восстановления.

6.2. Перед уничтожением носителя вся информация с него должна быть стерта (уничтожена) путем использования специальных средств (сертифицированные программные или программно-аппаратные средства защиты информации, обеспечивающие невозможность восстановления информации), если это позволяют физические принципы работы носителя.

6.3. Уничтожение носителей, затирания (уничтожении) информации с носителей производиться комиссией из 3 человек, назначенной распоряжением главы Зонального района Алтайского края в состав комиссии должен входить АИБ.

6.4. По факту уничтожения носителей, а также затирания (уничтожения) информации на носителях, комиссией составляется Акт. В Акте указываются учётные номера носителей, характер уничтожаемой (затираемой) информации, причина уничтожения носителя (затирания информации на нем). Реквизиты Акта заносятся председателем данной комиссии в графу «Сведения об уничтожении» «Журнала регистрации и учета электронных носителей защищаемой информации». Подписанный Акт должен храниться у АИБа.

Приложение № 11

к Постановлению

от 28.09.2020 № 249

ФОРМА

Журнала регистрации и учета электронных носителей защищаемой информации в Администрации Зонального района Алтайского края

№ п/п

Учетный номер носителя защищаемой информации

Дата регистрации носителя защищаемой информации

Тип носителя защищаемой информации

(флеш-накопитель, жесткий диск, CD-диск и т.д.)

Марка и модель носителя защищаемой информации

(При наличии)

Серийный (инвентарный) номер носителя защищаемой информации

ФИО пользователя носителя защищаемой информации

ФИО администратора информационной безопасности

Подпись пользователя носителя защищаемой информации

Подпись администратора информационной безопасности

Сведения об уничтожении

1

2

3

4

5

6

7

8

9

10

11

Приложение № 12

к Постановлению

от 28.09.2020 № 349

Форма

акта об уничтожении носителей защищаемой информации (затирания информации с носителя защищаемой информации)

АКТ

об уничтожении носителей защищаемой информации (затирания информации с носителя защищаемой информации)

№____________

Дата:____________

Комиссия в составе:

Председатель комиссии:

– Фамилия И.О. – должность;

Члены комиссии:

– Фамилия И.О. – должность;

– Фамилия И.О. – должность.

Было произведено уничтожение носителя защищаемой информации/затирание информации с носителя защищаемой информации (нужное подчеркнуть):

Учетный номер носителя: ____________________________________________

Тип носителя: ______________________________________________________

Марка и модель носителя: __________________________________________

Серийный (инвентарный) номер носителя: _____________________________

Председатель комиссии

Фамилия И.О.

Члены комиссии:

Фамилия И.О.

Фамилия И.О.

Приложение 13

к Постановлению

от 28.09.2020 № 349

ФОРМА

Журнала передачи носителей защищаемой информации Администрации Зонального района Алтайского края

№ п/п

Учетный номер носителя защищаемой информации

Наименование адресата

Адрес отправки

Исходящий номер сопроводительного письма

Дата отправки

ФИО лица, отправившего носитель

Подпись лица, отправившего носитель

Сведения о контактном лице адресата

Способ отправки

(курьер, почта и т.д.)

Реквизиты документа, подтверждающего получение

1

2

3

4

5

6

7

8

9

10

11

Приложение 14

к Постановлению

от 28.09.2020 № 349

ПОРЯДОК

выявления инцидентов информационной безопасности в информационных системах Администрации Зонального района Алтайского края

Перечень используемых определений, обозначений и сокращений

АИБ – администратор информационной безопасности.

ИБ – информационная безопасности.

ИС – информационная система;

ИСПДн – информационная система персональных данных.

Общие положения

2.1. Настоящий Порядок устанавливает правила выявления фактов несоблюдения условий обработки защищаемой информации, использования средств защиты информации, которые могут привести к нарушению конфиденциальности, целостности и доступности защищаемой информации или другим нарушениям, приводящим к снижению класса защищенности государственной информационной системы или уровня защищенности ИСПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений, а так же выявления и предотвращения иных инцидентов информационной безопасности ИС Администрации Зонального района Алтайского края (далее – Администрация Зонального района).

2.2. Порядок разработан в соответствии с:

‒ Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

‒ Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

‒ Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

‒ иными нормативными правовыми актами, регулирующими вопросы защиты персональных данных, государственных информационных систем, а также в соответствии с локальными нормативными актами Администрации Зонального района.

2.3. Настоящий Порядок обязателен к соблюдению всеми пользователями ИС Администрации Зонального района.

2.4. Разбирательство по всем инцидентам ИБ проводится АИБом Администрации Зонального района.

Выявление инцидента информационной безопасности

3.1. Основными источниками информации об Инцидентах ИБ являются:

‒ факты, выявленные пользователями ИС, администратором информационной системы, АИБом;

‒ результаты работы средств мониторинга ИБ результаты проверок и аудита (внутреннего или внешнего);

‒ запросы и предписания органов надзора;

‒ другие источники информации.

3.2. Пользователь ИС может выявить признаки наличия Инцидента ИБ путем анализа текущей ситуации на предмет ее соответствия требованиям, утвержденным в локальных актах Администрации Зонального района. Любые сведения об Инциденте ИБ должны быть незамедлительно переданы выявившим их пользователем АИБу.

Анализ исходной информации и принятие решения о проведении разбирательства

4.1. АИБ после получения информации о предполагаемом Инциденте ИБ незамедлительно проводит первоначальный анализ полученных данных. В процессе анализа АИБ проводит проверку наличия в выявленном факте нарушений требований локальных актов или действующего законодательства РФ.

4.2. По решению АИБа единичный Инцидент ИБ, не приведший к негативным последствиям и совершенный пользователем ИС впервые, фиксируется в «Карточке данных об инциденте ИБ» с пояснением «Разбирательство не требуется».

4.3. В случае наличия признаков Инцидента ИБ, АИБ по общим вопросам определяет предварительную степень важности Инцидента ИБ и принимает решение о необходимости проведения разбирательства, информирует руководителя структурного подразделения (начальника отдела) или главу Зонального района Алтайского края об Инциденте ИБ, инициирует формирование карточки инцидента с присвоением ему статуса «В процессе разбирательства».

4.4. В срок не более 3 (трех) рабочих дней с момента поступления информации об Инциденте ИБ, АИБ определяет и инициирует первоочередные меры, направленные на локализацию инцидента и на минимизацию его последствий.

Разбирательство инцидента информационной безопасности

5.1. Цели и этапы разбирательства Инцидента ИБ:

Целями разбирательства инцидентов ИБ являются:

‒ выработка организационных и технических решений, направленных на снижение рисков нарушения информационной безопасности, предотвращение и минимизацию подобных нарушений в будущем;

‒ защита прав пользователей ИС Администрации Зонального района, установленных законодательством Российской Федерации;

‒ обеспечение безопасности защищаемой информации;

‒ предотвращение несанкционированного доступа к защищаемой информации.

Разбирательство Инцидента ИБ, состоит из следующих этапов:             

‒ подтверждение/опровержение факта возникновения Инцидента ИБ;

‒ подтверждение/корректировка уровня значимости Инцидента ИБ;

‒ уточнение дополнительных обстоятельств (деталей) Инцидента ИБ;

‒ получение (сбор) доказательств возникновения Инцидента ИБ, обеспечение их сохранности и целостности;

‒ минимизация последствий Инцидента ИБ;

‒ информирование и консультирование пользователей ИС по действиям обнаружения, устранения последствий и предотвращения инцидентов ИБ;

‒ разработка мероприятий по обнаружению и/или предупреждению инцидентов ИБ.

5.2. Создание Рабочей группы для проведения расследования Инцидента ИБ:

При необходимости АИБ незамедлительно уведомляет главу Зонального района Алтайского края о факте Инцидента ИБ и инициирует создание Рабочей группы для разбирательства указанного Инцидента ИБ. Взаимодействие между членами Рабочей группы осуществляется в рабочем порядке с соблюдением при этом требований конфиденциальности. При необходимости проводятся заседания Рабочей группы, время, место и темы которых определяются ее Руководителем. В иных случаях, АИБ может проводить расследование Инцидента ИБ самостоятельно с подготовкой всех необходимых документов.

5.3. Порядок проведения разбирательства Инцидента ИБ:

В процессе проведения разбирательства Инцидента ИБ обязательными для установления являются:

‒ дата и время совершения Инцидента ИБ;

‒ ФИО, должность и подразделение Нарушителя ИБ[1];

‒ уровень критичности Инцидента ИБ;

‒ обстоятельства и мотивы совершения Инцидента ИБ;

‒ информационные ресурсы, затронутые Инцидентом ИБ;

‒ характер и размер реального и потенциального ущерба;

‒ обстоятельства, способствовавшие совершению Инцидента ИБ.

После получения необходимой информации по Инциденту ИБ осуществляющий разбирательство специалист проводит анализ полученных данных.

Осуществляющий разбирательство специалист проводит оценку негативных последствий от реализации Инцидента ИБ. В ходе данной оценки учитываются:

‒ прямой финансовый ущерб;

‒ репутационный ущерб;

‒ потенциальный ущерб;

‒ косвенные потери, связанные с недоступностью сервисов, потерей информации;

‒ другие виды ущерба или аспекты негативных последствий для Администрации Зонального района или его сотрудников.

В течение 5 (пяти) рабочих дней с момента назначения осуществляющего разбирательство сотрудника (формирования Рабочей группы), осуществляющий разбирательство сотрудник запрашивает у руководителя структурного подразделения (начальника отдела), в котором произошел инцидент, объяснительную записку Нарушителя ИБ[2]. Объяснительная записка должна быть составлена, подписана Нарушителем ИБ в течение (двух) рабочих дней и представлена его непосредственным руководителем осуществляющему разбирательство сотруднику (рабочей группе) в течение 3 (трех) рабочих дней с момента поступления запроса. В случае отказа Нарушителя ИБ предоставить объяснительную записку, осуществляющему разбирательство специалисту предоставляется акт, составленный в соответствии с установленным порядком.

С целью минимизации последствий Инцидента ИБ возможно временное ограничение прав доступа специалиста к Информационным системам (ИС) на время проведения расследования. Подобное отключение инициируется осуществляющим разбирательство сотрудником (рабочей группой) с обязательным предварительным устным согласованием с руководителем Нарушителя (руководителем структурного подразделения).

              В случае, если у Нарушителя ИБ были отключены права доступа к ИС на время проведения разбирательства, то по его результатам осуществляющий разбирательство сотрудник (рабочая группа) по согласованию с руководителем Нарушителя ИБ принимает решение и инициирует возвращение в полном или ограниченном объеме ранее имеющихся у Нарушителя ИБ прав доступа к ИС либо инициирует официальную процедуру отмены (изменения) прав доступа к ИС в соответствии с установленным порядком в Администрации Зонального района. Если Нарушение ИБ было вызвано незнанием Нарушителем ИБ правил (технологии) работы с информационными ресурсами высокого уровня безопасности, то основанием для возврата прав доступа является успешное прохождение повторного инструктажа сотрудниками отделов, ознакомлением с положениями должностной инструкции, иными локальными нормативными актами Администрации Зонального района.

              Восстановление временно отключенных у Нарушителя ИБ прав доступа к ИС (разблокировка пользователя) может производиться только по заявке руководителя Нарушителя ИБ или осуществляющего разбирательство сотрудника (рабочей группы).

Оформление результатов проведенного разбирательства

6.1. Собранная в процессе разбирательства Инцидента ИБ информация фиксируется осуществляющим разбирательство сотрудником (рабочей группой) в «Карточке данных об инциденте информационной безопасности» и учитывается при подготовке итогового заключения по Инциденту ИБ.

6.2. Осуществляющий разбирательство сотрудник (рабочая группа) формирует, согласовывает со всеми участниками разбирательства и подписывает итоговое заключение по расследованию Инцидента ИБ.

6.3. Итоговое заключение по Инциденту ИБ осуществляющий разбирательство специалист направляет главе Зонального района Алтайского края.

6.4. Осуществляющий разбирательство специалист фиксирует завершение разбирательства в «Карточке данных об инциденте информационной безопасности» и присваивает инциденту статус «Разбирательство завершено».

6.5. Осуществляющий разбирательство сотрудник (рабочая группа), при необходимости определения правовой оценки Инцидента ИБ, может обратиться за консультациями в другие подразделения Администрации Зонального района и соответствующие организации. В этом случае информацию по инциденту ИБ осуществляющий разбирательство сотрудник передает с грифом «Конфиденциально».

6.6. В случае выявления в инциденте ИБ признаков административного правонарушения или уголовного преступления, относящихся к сфере информационных технологий, осуществляющий разбирательство сотрудник (рабочая группа) передает все материалы по Инциденту ИБ главе Зонального района Алтайского края для принятия решения, в соответствии с установленным порядком, о подаче заявления в правоохранительные органы Российской Федерации.

6.7. Осуществляющий разбирательство сотрудник (рабочая группа) фиксирует полученную дополнительную информацию в карточке данных «Инциденты ИБ» и информирует главу Зонального района Алтайского края.

Завершение разбирательства, превентивные мероприятия

7.1. По завершению разбирательства Инцидента ИБ, осуществляющий разбирательство сотрудник передает имеющиеся материалы (в объеме, достаточном для принятия решения) вышестоящему руководителю Нарушителя ИБ[3] для решения вопроса о целесообразности привлечения Нарушителя ИБ к дисциплинарной ответственности.

7.2. На основании полученных результатов разбирательства руководитель структурного подразделения в срок не более 3 (трех) рабочих дней организовывает проведение одного или нескольких мероприятий, направленных на снижение рисков информационной безопасности в будущем:

‒ повторное ознакомление Нарушителя ИБ с Правилами;

‒ анализ и пересмотр имеющихся прав доступа к информационным ресурсам у Нарушителя ИБ;

‒ доведение до всех пользователей ИС требований внутренних нормативных документов Администрации Зонального района;

‒ отмена неактуальных прав доступа к информационным ресурсам;

‒ проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

‒ другие обоснованные мероприятия.

Права, обязанности и ответственность участников разбирательства

8.1. Осуществляющий разбирательство сотрудник (рабочая группа) имеет право:

‒ по согласованию с непосредственным руководителем Нарушителя ИБ требовать предоставлений письменных объяснений по обстоятельствам Инцидента ИБ у Нарушителя ИБ;

‒ запрашивать и получать от пользователей ИС, в рамках их компетенций, устные и письменные разъяснения и иную информацию, необходимую для проведения разбирательства Инцидента ИБ;

‒ инициировать на основании заявок отключение от информационных ресурсов пользователей ИС, нарушивших правила или требования ИБ, на период проведений расследования Инцидента ИБ в случае если имеется существенный риск того, что продолжение пользователя с ИС может повлечь значительное увеличение ущерба или новые инциденты ИБ;

‒ инициировать процедуры привлечения Нарушителя ИБ к дисциплинарной/ материальной ответственности.

8.2. Осуществляющий разбирательство сотрудник (рабочая группа) обязан:             

‒ объективно и основательно проводить разбирательство каждого инцидента ИБ;

‒ определять первоочередные меры, направленные на локализацию инцидента ИБ и минимизацию негативных последствий;

‒ фиксировать в карточке данных «Инциденты ИБ» всю исходную информацию об инциденте ИБ и результаты его расследования;

‒ предоставлять отчеты и рекомендации по проведенным разбирательствам главе Зонального района Алтайского края;

‒ проводить анализ обстоятельств, способствовавших совершению каждого инцидента ИБ, и на его основе, разрабатывать рекомендации и предложения по оптимизации бизнес-процессов и снижения ущерба от подобных Инцидентов ИБ и минимизации возможности их повторения в будущем;

‒ составление заключений по фактам инцидентов ИБ, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

8.3. Пользователи ИС обязаны:

‒ в рамках своей компетенции предоставлять по запросам проводящего разбирательство специалиста устные и письменные разъяснения и иную информацию, необходимую для проведения разбирательства Инцидента ИБ;

‒ информировать АИБа о выявленных Инцидентах ИБ.

Приложение 15

к Постановлению

от 28.09.2020 № 349

ФОРМА

карточки данных об инциденте информационной безопасности

Карточка

данных об инциденте информационной безопасности

Дата события: _______________________________________________________________

Номер события: ______________________________________________________________

Информация о сообщающем лице

ФИО Сообщающего: __________________________________________________________

Должность: __________________________________________________________________

Организация (если сообщающее лицо состоит в сторонней организации): ______________

Телефон: _____________________________________________________________________

Описание события ИБ

_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Пораженные активы

Пораженные активы (если таковые имеются)

Дать описания активов, пораженных инцидентом, или связанных с ним, включая серийные, лицензионные номера и номера версий, по возможности

Информация/Данные: __________________________________________________________

Оборудование: ________________________________________________________________

Программное обеспечение: ______________________________________________________

Средства связи: _______________________________________________________________

Документация: ________________________________________________________________

Разрешение инцидента

Дата начала расследования инцидента: ____________________________________________

Фамилия лица, проводившего расследование инцидента: ____________________________

Дата окончания инцидента: _____________________________________________________

Дата окончания воздействия: ____________________________________________________

Дата завершения расследования инцидента: _______________________________________

Заключение

Необходимо поставить отметку о том, является ли инцидент значительным или нет и добавить в краткое пояснение для обоснования этого заключения

Значительный 

Незначительный 

Пояснения:

_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Приложение 16

к Постановлению

от 28.09.2020 № 349

РЕГЛАМЕНТ

резервного копирования информации

в Администрации Зонального района Алтайского края

Перечень использованных сокращений, единиц и терминов

АИБ – администратор информационной безопасности.

ИБ – информационная безопасность.

ИС – информационная система.

НСД – несанкционированный доступ.

ОС – операционная система.

ПО – программное обеспечение.

СУБД – система управления базами данных.

Общие положения

2.1. Настоящий Регламент проведения резервного копирования (восстановления) программ и данных, хранящихся на серверах и рабочих станциях, обрабатывающих персональные данные и защищаемую информацию, Администрации Зонального района Алтайского края (далее – Администрация Зонального района) разработан с целью:

– определения порядка резервирования данных для последующего восстановления работоспособности ИС при полной или частичной потере информации, вызванной сбоями или отказами аппаратного или программного обеспечения (ПО), ошибками пользователей, чрезвычайными обстоятельствами (пожаром, стихийными бедствиями и т.д.);

– определения порядка восстановления информации в случае возникновения такой необходимости;

– упорядочения работы должностных лиц, связанной с резервным копированием и восстановлением информации.

2.2. В настоящем документе регламентируются действия при выполнении следующих мероприятий:

– резервное копирование;

– контроль резервного копирования;

– хранение резервных копий;

– полное или частичное восстановление данных и приложений.

2.3. Резервному копированию подлежит информация следующих основных категорий:

– персональная информация пользователей (личные каталоги на файловых серверах);

– групповая информация пользователей (общие каталоги отделов);

– информация, необходимая для восстановления серверов и систем управления базами данных (СУБД);

– конфигурация средств защиты информации;

– персональные профили пользователей;

– информация информационных систем, в т.ч. баз данных;

– справочно-информационная информация систем общего использования («Гарант», «Консультант+» и т.п.);

– рабочие копии установочных компонентов ПО рабочих станций.

Порядок резервного копирования

3.1. Резервное копирование производится на основании следующих данных:

‒ состав и объем копируемых данных, периодичность проведения резервного копирования (из Перечня резервируемых данных);

‒ максимальный срок хранения резервных копий -3 месяца;

‒ минимальный срок хранения резервных копий – 1 месяц;

‒ хранению подлежат 3 последних резервных копии.

3.2. Система резервного копирования должна обеспечивать производительность, достаточную для сохранения информации, указанной в Перечне резервируемой информации, в установленные сроки и с заданной периодичностью.

3.3. О выявленных попытках несанкционированного доступа (НСД) к резервируемой информации, а также иных нарушениях ИБ, произошедших в процессе резервного копирования, ответственный сотрудник сообщает администратору информационной безопасности.

Методика резервного копирования

4.1. Для организации системы резервного копирования используются штатные средства ОС и используемого ПО. С целью оптимизации расходов на развёртывание системы резервного копирования, запись резервной копии осуществляется на специальный внешний носитель.

4.2. С помощью указанного ПО выполняются такие действия, как задание режимов и составление расписания резервного копирования клиентов, проводится контроль за состоянием выполнения заданий, запускаются процедуры восстановления информации.

4.3. Для снижения совокупной нагрузки на информационную систему все операции по резервированию информации проводятся в ночное время. Существуют три набора резервных копий:

– месячный набор. Записывается информация (Образ-файл, содержащий в себе полную копию содержания и структуры) на первые числа текущего месяца. Срок хранения –3 месяца. Хранится на внешнем жёстком диске и съёмном жёстком диске, который по отдельному расписанию выносится за пределы офиса;

– двухнедельная копия. Записывается данные за две недели. Срок хранения – 1 месяц. Хранится на внешнем жёстком диске и съёмном жёстком диске, который по отдельному расписанию выносится за пределы офиса;

– ежедневная копия. Записывается ежесуточно. Срок хранения – 1 месяц. Записывается на внешнем жёстком диске.

Различаются три принципиально разных источника информации, подлежащей резервированию:

– информация, хранимая непосредственно на файловом сервере;

– базы данных информационной системы;

– системные файлы серверов (Образ).

4.4. Для резервирования информации, хранимой непосредственно в файловых системах и информации, хранимой в базах данных Прикладных информационных систем, используется штатные средства ПО, посредством которой формируются задания на проведение резервного копирования информации, находящейся в каталогах файлового сервера. При этом указывается срок хранения информации и периодичность выполнения резервного копирования.

4.5. При создании задания на создание образа системных дисков серверов указывается срок хранения информации и периодичность выполнения резервного копирования.

Контроль результатов резервного копирования

5.1. Контроль результатов всех процедур резервного копирования осуществляется ответственными должностными лицами, в срок до 17 часов рабочего дня, следующего за установленной датой выполнения этих процедур. В случае обнаружения ошибки ответственное лицо сообщает администратору информационной безопасности до 17 часов текущего рабочего дня. На протяжении периода времени, когда система резервного копирования находится в аварийном состоянии, должно осуществляться ежедневное копирование информации, подлежащей резервированию, с использованием средств файловых систем серверов, располагающих необходимыми объемами дискового пространства для её хранения.

Ротация носителей резервной копии

6.1. Система резервного копирования должна обеспечивать возможность периодической замены (выгрузки) резервных носителей без потерь информации на них, а также обеспечивать восстановление текущей информации в случае отказа любого из устройств резервного копирования.

6.2. В качестве новых носителей информации допускается повторное использование тех, у которых срок хранения содержащейся информации истек.

6.3. Персональные данные с носителей, которые перестают использоваться в системе резервного копирования, должны стираться с составлением Акта.

Восстановление информации из резервных копий

7.1. В случае необходимости восстановление данных из резервных копий производится на основании Заявки владельца информации на имя *Должность руководителя организации (РП)* при согласовании с АИБом.

7.2. После поступления заявки, восстановление данных осуществляется в максимально сжатые сроки, ограниченные техническими возможностями системы, но не более одного рабочего дня.

Приложение 17

к Постановлению

от 28.09.2020 №_349

ПЕРЕЧЕНЬ

резервируемой информации в Администрации Зонального района Алтайского края

№

п/п

Наименование

ИС

Ответственный за резервное копирование

Место хранения резервной копии

Срок хранения резервной копии

Периодичность копирования

Средство, с помощью которого производится копирование

Примечания

1

2

3

4

5

6

7

8

1

1С: Зарплата и кадры

Абдурашитова Анна Александровна

Флеш-накопитель

3 месяца

1 месяц

Стандартными средствами ОС

2

1С: Бухгалтерия Государственного учреждения

Пилюченко Татьяна Петровна

Флеш-накопитель

3 месяца

1 месяц

Стандартными средствами ОС

3

Автоматизированная информационная система «SAUMI»

Пашкова Елена Александровна

Флеш-накопитель

3 месяца

1 месяц

Стандартными средствами ОС

4

Технологическая информация ИСПДн (профили пользователей, регистрационная и служебная информация)

Сидоренко Анатолий Павлович

Внешний жесткий диск

3 месяца

1 месяц

Стандартными средствами ОС

5

Рабочие копии установочных компонент программного обеспечения рабочих станций (операционные системы, штатное и специальное программное обеспечение, программные средства защиты)

Сидоренко Анатолий Павлович

Внешний жесткий диск

3 месяца

1 месяц

Стандартными средствами ОС

Приложение № 18

к Постановлению

от 28.09.2020 № 349

ПОЛОЖЕНИЕ

о разрешительной системе допуска к информационным системам в Администрации Зонального района Алтайского края

Перечень используемых определений, обозначений и сокращений

АИБ – администратор информационной безопасности.

АРМ – автоматизированное рабочее место.

ИБ – информационная безопасности.

ИС – информационная система.

ИС – информационная система персональных данных.

Общие положения

2.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативными документами.

2.2. Разрешительная система допуска к ИС Администрации Зонального района Алтайского края (далее – Администрация Зонального района) представляет собой совокупность процедур оформления права субъектов на доступ к информационным ресурсам (объекты доступа) Администрации Зонального района, содержащим персональные данные и защищаемую информацию, и ответственных лиц, осуществляющих реализацию этих процедур.

2.3. Объектами доступа являются информационные ресурсы в информационных системах в виде баз данных, библиотек, архивов и их копий на машинных носителях.

Субъектами доступа являются:

‒ сотрудники Администрации Зонального района;

‒ юридические и физические лица, осуществляющие доступ к объектам доступа на основе договорных отношений.

2.4. Субъекты доступа несут персональную ответственность за соблюдение ими установленного в Администрации Зонального района порядка обеспечения защиты информационных ресурсов.

2.5. Ответственными лицами Администрации Зонального района, осуществляющими реализацию процедур оформления прав субъектов на доступ к информационным ресурсам, являются:

‒ Глава Зонального района Алтайского края;

‒ АИБ;

‒ ответственный за организацию обработки персональных данных;

‒ руководители структурных подразделений.

Порядок формирования информационных ресурсов Администрации Зонального района

3.1. Информационные ресурсы, формируемые в ИС подразделяются на:

‒ сетевые ресурсы с доступом одной группы пользователей (например, ресурсы структурного подразделения);

‒ сетевые ресурсы с доступом нескольких групп пользователей (базы данных и т.п.);

‒ ресурсы общего пользования (справочно-информационные системы, библиотеки, каталоги и т.п.);

‒ сетевой ресурс почтового обмена;

‒ сетевые принтеры;

‒ ресурсы пользователя (сетевые или локальные).

3.2. Информационные ресурсы, содержащие персональные данные и защищаемую информацию, указываются в «Перечне защищаемых информационных ресурсов».

3.3. Решение о формировании новых информационных ресурсов принимает руководитель структурного подразделения, инициирующего это решение. В заявке на формирование обосновывается необходимость создания новых информационных ресурсов и указывается, в интересах каких групп пользователей они создаются.

3.4. Непосредственное формирование нового сетевого информационного ресурса осуществляется администратором информационной безопасности. На исполненной заявке администратор информационной безопасности, проставляет отметку о создании и местонахождении ресурса.

3.5. На основании исполненной заявки вносятся изменения и дополнения в «Матрицу доступа» и «Перечень защищаемых информационных ресурсов».

Допуск к информационным ресурсам сотрудников Администрации Зонального района

4.1. Допуск сотрудников Администрации Зонального района к информации, содержащей персональные данные и защищаемую информацию, осуществляется в соответствии с занимаемой должностью и в объеме, необходимом для выполнения ими должностных обязанностей.

4.2. Допуск к персональным данным и защищаемой информации выдается главой Зонального района Алтайского края, только уполномоченным лицам с соблюдением требований «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

4.3. Допуск сотрудников к информационным ресурсам ИС, оформляется заявкой администратору информационной безопасности, которая предоставляется начальником соответствующего отдела. В заявке указывается, к каким ресурсам и с какими правами (полномочиями) допустить конкретного специалиста.

4.4. Заявку подписывает глава Зонального района Алтайского края или начальник общего отдела Администрации Зонального района Алтайского края подтверждающий, что указанный сотрудник действительно принят в штат Администрации Зонального района и передают администратору информационной безопасности.

Администратор информационной безопасности рассматривает представленную заявку и совершает необходимые операции по созданию учетной записи пользователя, присвоению ему начального значения пароля и прав доступа к ресурсам Администрации Зонального района в соответствии с «Матрицей доступа».

По окончании регистрации учетной записи пользователя в заявке делается отметка о выполнении задания за подписями исполнителей.

Минимальные права в ИС Администрации Зонального района, определенные выше, а также присвоение начального пароля производится администратором информационной безопасности, при согласовании заявки на предоставление (изменение) прав доступа пользователя к информационным ресурсам с главой Зонального района Алтайского края или начальником общего отдела Администрации Зонального района Алтайского края.

Процедура предоставления (или изменения) прав доступа пользователя к ресурсам Администрации Зонального района инициируется заявкой руководителя структурного подразделения сотрудника.

Заявка согласуется с АИБом и передается ему на исполнение.

По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.

4.5. При наступлении момента прекращения срока действия полномочий пользователя (окончание договорных отношений, увольнение сотрудника) учетная запись должна немедленно блокироваться.

Допускается регистрация постоянных учетных записей при отсутствии механизмов автоматической блокировки. В этом случае руководитель подразделения, за которым числился сотрудник, обязан своевременно подавать заявки на блокирование учетной записи специалиста не позднее, чем за сутки до момента прекращения срока действия полномочий пользователя.

Заявку подписывает АИБ, утверждая тем самым факт прекращения срока действия полномочий пользователя.

Администратор информационной безопасности рассматривает представленную заявку и производит блокирование учетной записи.

По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.

4.6. Исполненные заявки передаются АИБу, и хранятся в архиве в течение 5 лет с момента окончания предоставления доступа к ИС Администрации Зонального района.

Копии исполненных заявок хранятся у начальника общего отдела Администрации Зонального района Алтайского края.

В случае невозможности исполнения инициатору заявки направляется мотивированный отказ с приложением Заявки.

4.7. Администратором безопасности проверяется соответствие требуемых прав доступа с реально необходимыми для выполнения должностных (функциональных) обязанностей данного сотрудника.

4.8. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в сети администратором информационной безопасности.

Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций Администрации Зонального района

5.1. К организациям, деятельность которых не связана с исполнением функций Администрации Зонального района, могут относиться:

‒ правоохранительные органы;

‒ судебные органы;

‒ органы статистики;

‒ органы исполнительной и законодательной власти субъектов Российской Федерации;

‒ средства массовой информации и пр.

5.2. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций Администрации Зонального района, регламентируется законодательством Российской Федерации, договорами и соглашениями об информационном обмене и другими нормативными актами.

Допуск к информационным ресурсам Администрации Зонального района сторонних организаций, выполняющих работы в Администрации Зонального района на договорной основе

6.1. К организациям, выполняющим работы на договорной основе, могут относиться:

‒ организации, выполняющие строительные работы и осуществляющие ремонт зданий, систем инженерно-технического обеспечения (отопления, освещения, водоснабжения, канализации, электропитания, кондиционирования и т.п.);

‒ организации, осуществляющие монтаж и настройку технических средств ИС, сопровождение программно-прикладного обеспечения;

‒ организации, оказывающие услуги в области защиты информации (проведение специальных проверок и исследований, монтаж и настройка средств защиты информации, контроль эффективности системы защиты информации, аттестация объектов информатизации и т.п.);

‒ организации, осуществляющие поставку товаров для обеспечения повседневной деятельности (мебели, канцтоваров, оргтехники, расходных материалов и т.п.);

‒ организации и частные лица, оказывающие юридические услуги, услуги по информационно-техническому обеспечению, осуществляющие преподавательскую деятельность и т.п.

6.2. Порядок допуска определяется в договоре на выполнение работ (оказание услуг), в соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

6.3. Решением о допуске является подписанный в установленном порядке договор на выполнение работ или оказание услуг.

6.4. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, защищаемую информацию, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений. Со всех работников сторонней организации, участвующих в выполнении работ, в этом случае берется подписка о неразглашении таких сведений.

Доступ к информационным ресурсам Администрации Зонального района

7.1. Правила и процедуры доступа к информационным ресурсам Администрации Зонального района определяются «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и «Положением о разрешительной системе допуска».

7.2. Администрирование прав доступа к информации в ИС, производится администратором информационной безопасности.

7.3. После регистрации пользователя в ИС, АИБ вносит изменения в «Матрицу доступа» для последующего контроля прав и полномочий пользователя.

Контроль функционирования разрешительной системы допуска к информационным ресурсам Администрации Зонального района

8.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам организуется в соответствии с:

‒ планом основных мероприятий по защите информации на текущий год;

‒ функциональными обязанностями должностных лиц;

‒ распоряжениями главы Зонального района Алтайского края.

8.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам осуществляется администратором информационной безопасности. Организация контроля возлагается на главу Зонального района Алтайского края.

Приложение№ 19

к Постановлению

от 28.09.2020 № 349

Список

постоянных пользователей информационных систем Администрации Зонального района Алтайского края, и установленные им права к информационным и техническим ресурсам

Список постоянных пользователей ИС Администрации Зонального района Алтайского края и установленные им права к информационным и техническим ресурсам:

№

п/п

ФИО

Должность

Отдел

Группа

1

Сидоренко Анатолий Павлович

Начальник отдела программного обеспечения Администрации района

Отдел программного обеспечения Администрации района

Администраторы

2

Вдовин Денис Владимирович

Заместитель начальника отдела программного обеспечения Администрации района

Отдел программного обеспечения Администрации района

Администраторы

3

Пилюченко Татьяна Петровна

Начальник отдела, главный бухгалтер отдела учета и отчетности Администрации района

Отдел учета и отчетности Администрации района

Пользователи информационной систем «1С: Предприятие»

4

Абдурашитова Анна Александровна

Заместитель начальника отдела, бухгалтер отдела учета и отчетности Администрации района

Отдел учета и отчетности Администрации района

Пользователи информационной систем «1С: Предприятие»

5

Пашкова Елена Александровна

Начальник отдела по имуществу и земельным отношениям Администрации района

Отдел по имуществу и земельным отношениям Администрации района

Пользователи информационной систем «SAUMI»

6

Винокурова Елена Сергеевна

Ведущий специалист - бухгалтер отдела по имуществу и земельным отношениям Администрации района

Отдел по имуществу и земельным отношениям Администрации района

Пользователи информационной систем «SAUMI»

7

Кутукова Дарья Сергеевна

Исполняющий обязанности специалиста 1 категории отдела по имуществу и земельным отношениям Администрации района

Отдел по имуществу и земельным отношениям Администрации района

Пользователи информационной систем «SAUMI»

Приложение 20

к Постановлению

от 28.09.2020 № 349

Матрица

доступа к защищаемым ресурсам

№

п/п

ФИО

Должность

Отдел

Информационная система

Группа

1

Сидоренко Анатолий Павлович

Начальник отдела программного обеспечения Администрации района

Отдел программного обеспечения Администрации района

1С: Предприятие,

Контур,

ЕГР «ЗАГС»

СУФД,

SAUMI

Администраторы

2

Вдовин Денис Владимирович

Заместитель начальника отдела программного обеспечения Администрации района

Отдел программного обеспечения Администрации района

1С: Предприятие,

Контур,

СУФД

Администраторы

3

Пилюченко Татьяна Петровна

Начальник отдела, главный бухгалтер отдела учета и отчетности Администрации района

Отдел учета и отчетности Администрации района

1С: Предприятие,

Контур,

СУФД

Пользователи

4

Абдурашитова Анна Александровна

Заместитель начальника отдела, бухгалтер отдела учета и отчетности Администрации района

Отдел учета и отчетности Администрации района

1С: Предприятие,

Контур,

СУФД

Пользователи

5

Пашкова Елена Александровна

Начальник отдела по имуществу и земельным отношениям Администрации района

Отдел по имуществу и земельным отношениям Администрации района

SAUMI

Пользователи

6

Винокурова Елена Сергеевна

Ведущий специалист - бухгалтер отдела по имуществу и земельным отношениям Администрации района

Отдел по имуществу и земельным отношениям Администрации района

SAUMI

Пользователи

7

Кутукова Дарья Сергеевна

Исполняющий обязанностиспециалиста 1 категории отдела по имуществу и земельным отношениям Администрации района

Отдел по имуществу и земельным отношениям Администрации района

SAUMI

Пользователи

Приложение 21

к Постановлению

от 28.09.2020 № 349

Форма

заявления на создание учетной записи пользователя

СОГЛАСОВАНО

Администратор информационной безопасности

________/ _______________«___» ______ 201_ г.

Подпись Ф. И.О. дата

ЗАЯВЛЕНИЕ № __

на создание (продление) учетной записи пользователя

Прошу создать (продлить) учетную запись пользователя:

Наименование структурного подразделения

Ф.И.О. сотрудника, должность, телефон

Ф.И.О. непосредственного руководителя,

должность, телефон

Сотрудник приступает к работе с: «___» ______ 20__г. по «___» _____ 20__г.

Обоснование служебной необходимости:___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

________/_____________________/ «___» ___________ 20__г.

Подпись Ф. И.О.                                                                                    дата

С правилами работы в информационных системах Администрации Зонального района Алтайского края ознакомлен(а)

________/_____________________/ «___» ___________ 20__г.

Подпись Ф. И.О.                                                                                    дата

Приложение 22

к Постановлению

от 28.09.2020 № 349

Форма

заявления на изменение полномочий

СОГЛАСОВАНО

Администратор информационной безопасности

________/ ______________ «___» _____ 202_ г.

Подпись Ф. И.О. дата

ЗАЯВЛЕНИЕ № __________

на изменение полномочий пользователю

Прошу изменить полномочия по работе с информационным ресурсом:

Наименование структурного подразделения

Ф.И.О. сотрудника, должность, телефон

Имя в системе (указывается если есть)

Ф.И.О. непосредственного руководителя,

должность, телефон

Наименование информационного ресурса

Старые полномочия (если были)

Новые полномочия

Изменения вступают в силу с: «___» _______ 20__г. по «___» _______ 20__г.

Обоснование служебной необходимости:___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ________/_____________________/ «___» ___________ 20__г.

Подпись Ф. И.О.                                                                                                  дата

С правилами работы в информационных системах Администрации Зонального района Алтайского края ознакомлен(на)

________/_____________________/ «___» ___________ 20__г.

Подпись Ф. И.О.                                                                                                  дата

Выполнено: __________________________________________________________________

назначенное имя пользователя, описание выполненных действий

Администратор информационной безопасности:

________/_____________________/ «___» ___________ 20__г.

Подпись Ф. И.О.                                                                                    дата

Системное Время: ____чч____мм

Дата: «___» _______________ 20__г.

Выполнено:

____________________________________________________________________

назначенное имя пользователя                                                         адрес почты

Администратор информационной безопасности

________/_____________________/                                           «___» ___________ 20__г.

Подпись Ф. И.О.                                                                                    дата

Приложение 23

к Постановлению

от 28.09.2020 № 349

Форма

Заявления на блокировку учетной записи

Администратор информационной безопасности

________/ _______________«___» ______ 202_ г.

Подпись Ф. И.О. дата

ЗАЯВЛЕНИЕ № ___

на блокировку учетной записи пользователя

Прошу заблокировать учетную запись пользователя:

Наименование структурного подразделения

Ф.И.О. сотрудника, должность, телефон

Имя в системе

Ф.И.О. непосредственного руководителя,

должность, телефон

Срок действия полномочий прекратить с: «___» _______________ 20__г.

Обоснование блокировки: __________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

________/_____________________/ «___» ___________ 20__г.

Подпись Ф. И.О.                                                                                                  дата

С гарантированным хранением данных в течение _________________________________________________________________

указывается срок хранения данных пользователя

Приложение 24

к Постановлению

от 28.09.2020 № 349

Перечень

защищаемых информационных ресурсов

Администрации Зонального района Алтайского края

№ п/п

Название ресурса

Путь к ресурсу (место хранения)

Группы пользователей, имеющих доступ к ресурсу

1

2

3

4

1

СУФД

Автоматизированное рабочее место (АРМ) кассира

Пользователи ИС «СУФД», Администраторы

2

SAUMI

\\192.168.23.3

Пользователи, Администраторы

3

Автоматизированная информационная система «Контур»

Автоматизированное рабочее место (АРМ) бухгалтера

Пользователи, Администраторы

4

АРМ "Клиент" АС "Клиент-Сбербанк"

Автоматизированное рабочее место (АРМ) бухгалтера

Пользователи, Администраторы

5

ЕИС

https://oepak.alregn.ru/InfSystem/eis/

Пользователи, Администраторы

6

7

9

10

11

12

13

Приложение 25

к Постановлению

от 28.09.2020 № 349

ИНСТРУКЦИЯ

по парольной защите

в информационных системах Администрации Зонального района Алтайского края

Перечень использованных сокращений, единиц и терминов

АИБ – администратор информационной безопасности.

ИС – информационная система.

ЛВС – локальная вычислительная сеть.

НСД – несанкционированный доступ.

ПО – программное обеспечение.

Администратор информационной безопасности – сотрудник Администрации Зонального района Алтайского края, осуществляющий контроль за обеспечением защиты информации в ИС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Общие положения

2.1. Настоящий Порядок регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах общего пользования, государственных информационных системах, информационных системах персональных данных, информационных системах, содержащих другие виды конфиденциальной информации, за исключением систем, содержащих сведения, составляющие государственную тайну, и систем, относящихся к ключевым системах информационной инфраструктуры (далее по тексту – ИС, защищаемые информационные ресурсы) в Администрации Зонального района Алтайского края (далее – Администрация Зонального района), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

2.2. Идентификация/аутентификация пользователей осуществляется посредством использования паролей, при технической возможности – средствами усиленной аутентификации.

2.3. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИС Администрации Зонального района и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на администратора информационной безопасности (АИБ).

Порядок организации работы пользователя ИС с использованием пароля

3.1. Доступ к защищаемым информационным активам Администрации Зонального района должен производиться с использованием персональных учетных записей и периодически сменяемых буквенно-цифровых паролей, удовлетворяющих следующим требованиям:

 пароль содержит не менее шести символов, включая буквы обоих регистров и цифры;

 не является словом, присутствующим в словарях, или профессиональным термином, в т. ч. набранным в другой раскладке клавиатуры;

 не основывается на семейной, служебной и другой легко доступной информации (фамилии, имена, даты рождения, клички животных, автомобильные и телефонные номера, названия организаций, адреса сайтов и т. п.);

 не содержит легко угадываемые последовательности символов (123456, aaabbb, qwerty, q1w2e3 и т. п. );

 не совпадает с номером помещения, названием подразделения, месяцем (312313, бухгалтерия, январь, март2011);

 одним из способов создания безопасных, но легко запоминающихся паролей является кодирование стихотворной строки или осмысленного утверждения. Так, пароль, созданный на основе фразы: "Вот один пример надежного и запоминающегося пароля", может быть таким: "VotlPN&ZP".

3.2. Временный пароль, создаваемый при заведении учетной записи или смене забытого пароля, должен быть уникальным, передаваться способом, исключающим доступ к нему других лиц, и быть сменен пользователем при первом обращении к активу. Пароли, предустановленные производителем, должны сменяться до начала эксплуатации актива.

3.3. Пользователям запрещается:

 сообщать свой персональный пароль другим лицам или записывать его на материальных носителях, доступных для других лиц (кроме предусмотренных случаев сохранения паролей ключевых учетных записей владельцем информационного актива);

 сохранять пароль в программно-технических средствах в открытом виде или использовать средства его автоматического ввода;

 использовать легко угадываемый алгоритм смены пароля (например, F%1hTR8 -* F%2hTR8 -> F%3hTR8, или F%1hTR8 -* Fl%hTR8 -* F1h%TR8 и др.);

 использовать учетные записи других лиц;

 использовать вне Администрации Зонального района пароли, совпадающие с паролями доступа к его информационно-технологическим активам;

 использовать в качестве паролей примеры, приведенные в настоящем Порядке.

Порядок резервирования паролей

4.1. По решению главы Зонального района Алтайского края или АИБа, может применяться резервирование некоторых паролей, таких, как пароли администраторов информационных систем (программистов), пароли ответственных должностных лиц, пароли отдельных пользователей, выполняющих важные функции, пароли, обеспечивающие работу отдельных сетевых сервисов.

4.2. Для резервирования пароля выполняются следующие действия:

 пароль записывается на лист бумаги – парольную карту и заверяется личной подписью;

 лист с записью пароля вкладывается владельцем в конверт. Конверт не должен допускать просмотр записи пароля на просвет. Если конверт недостаточно плотный, в него может быть вложен лист темной бумаги. Конверт заклеивается, опечатывается;

 на конверте владелец пароля указывает свою должность, фамилию и инициалы, наименование информационного средства, которое защищается этим паролем, текущие дату и время, при необходимости – другие данные, и заверяет запись личной подписью;

 конверт передается главе Зонального района Алтайского края или АИБу и учитывается в специальном разделе «Журнала учета парольных карт». Учетный номер (сквозной по Журналу) проставляется ответственным за хранение на конверте.

4.3. Конверты с паролями хранятся в сейфе главы Зонального района Алтайского края Администрации Зонального района или АИБа и не реже, чем один раз в месяц он проверяет их наличие по журналу учета.

4.4. При замене пароля конверт передается владельцу пароля, который уничтожает лист с резервным паролем, о чем делается запись в «Журнале учета парольных карт». Новый резервный пароль подготавливает к хранению так, как указано выше. Новый конверт учитывается в «Журнале учета парольных карт» отдельной позицией.

4.5. Вскрытие конверта с паролем производится по решению руководителя структурного подразделения (начальника отдела) владельца в случае необходимости использования прав доступа его владельца в отсутствие самого владельца. Для вскрытия конверта назначается комиссия не менее чем из трех сотрудников Администрации Зонального района. О вскрытии конверта комиссией составляется акт, утверждаемый главой Зонального района Алтайского края или АИБом, который по окончании работы комиссии хранится не менее 1 года.

4.6. При появлении владельца пароля после факта вскрытия конверта пароль заменяется на новый и вновь сохраняется его копия, как описано выше.

Порядок смены паролей

5.1. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в три месяца.

5.2. Внеплановая смена личного пароля или удаление учетной записи пользователя ИС проводится в случае прекращения его полномочий (увольнение, переход на другую работу внутри территориального органа организации и т.п.) производится АИБом немедленно после окончания последнего сеанса работы данного пользователя с системой.

5.3. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри территориального органа организации и другие обстоятельства) АИБа.

5.4. В случае компрометации личного пароля пользователя ИС, проводится внеплановая смена пароля в зависимости от полномочий владельца скомпрометированного пароля.

Заключительные положения

6.1. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на руководителей структурных подразделений (начальников отделов), периодический контроль – возлагается на АИБа.

6.2. В зависимости от критичности информационно-технологического актива, его владельцем могут быть установлены более высокие требования к сложности пароля и периодичности смены.

6.3. Процессы создания, изменения, использования, блокирования, удаления учетных записей, а также смены паролей должны быть регламентированы, протоколироваться и контролироваться.

Пользователь блокирован

Администратор информационной безопасности

________/_____________________/ «___» ___________ 20__г.

Подпись Ф. И.О.                                                                                    дата

Приложение 26

к Постановлению

от 28.09.2020 № 349

ФОРМА

парольной карты Администрации Зонального района Алтайского края

Парольная карта

________________________________________________________________________

(должность)

________________________________________________________________________

(ФИО)

________________________________________________________________________

(имя учетной записи в ЛВС)

обеспечение информационной безопасности (член групп администратор рабочих станций, серверов)______

(наименование выполняемых функций (информационного ресурса))

Дата

Значение пароля

Подпись

пользователя

Примечание:

(отметка о проверке:

дата, роспись,

соответствует/ не соответствует)

№ __________

«___» _____ 20__.

Конфиденциально

Экз. единственный

№ __________

«___» _____ 20__.

ПАРОЛЬНАЯ КАРТА

№ __________

«___» _____ 20__.

№ __________

«___» _____ 20__.

___________________________

(ФИО пользователя)

_______________________________________________

(должность)

Документы с указанными учетными номерами находятся в конверте

(ДАТА, ПОДПИСЬ)

Приложение 27

к Постановлению

от 28.09.2020 № 349

ФОРМА

Журнала учета парольных карт

Администрации Зонального района Алтайского края

№ п/п

ФИО специалиста резервирующего пароль, должность

ФИО ответственного

за хранение

Дата резервирования пароля

Подпись ответственного за хранение резервных паролей

Дата вскрытия и номер акта о вскрытии

1

2

3

4

5

6

             

             

[1]              В случае внутреннего нарушителя ИБ

[2]              В случае внутреннего нарушителя ИБ

[3]              Здесь и далее - в случае внутреннего нарушителя ИБ