Основная информация
Дата опубликования: | 27 февраля 2013г. |
Номер документа: | RU56000201300264 |
Текущая редакция: | 1 |
Статус нормативности: | Нормативный |
Субъект РФ: | Оренбургская область |
Принявший орган: | Министерство труда и занятости населения Оренбургской области |
Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
1
Утратил силу приказом министерства труда и занятости Оренбургской области от 28.11.2019 № 281
МИНИСТЕРСТВО ТРУДА И ЗАНЯТОСТИ НАСЕЛЕНИЯ ОРЕНБУРГСКОЙ ОБЛАСТИ
ПРИКАЗ
от 27.02.2013 № 45
Об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
В целях распределения ответственности при обеспечении безопасности персональных данных при обработке в информационной системе и защищаемых помещениях, в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» п. 22.1, Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 01.11.2012 г. № 1119, руководящих документов ФСТЭК России по технической защите информации, внутренних документов по организации защиты персональных данных п р и к а з ы в а ю:
1. Назначить ответственным за организацию обработки персональных данных в министерстве труда и занятости населения Оренбургской области Исхакову Наилю Бисингалеевну, заместителя министра с возложением следующих обязанностей:
- организация работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
- проведение разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
- приостановка предоставления персональных данных пользователям информационной системы при обнаружении нарушений порядка предоставления персональных данных.
2. Определить в качестве администратора безопасности, ответственного за выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в министерстве труда и занятости населения Оренбургской области начальника отдела информационных технологий и автоматизации Новичкова Игоря Анатольевича. В рамках проведения данных работ возложить на Новичкова И.А. исполнение следующих функций:
- администрирование информационных систем персональных данных;
- администрирование средств антивирусной защиты информационных систем персональных данных;
- администрирование средств защиты персональных данных в информационных системах персональных данных.
3. Назначить ответственного за эксплуатацию информационных систем персональных данных:
- «Катарсис» Новичкова И. А., начальника отдела ИТ и автоматизации;
- «Бухгалтерия» Белову Е. В., заместителя начальника отдела финансово-бухгалтерского учета;
- «Ветеран» Гришину Г.Н., начальника отдела трудоустройства и специальных программ;
- «Учет граждан, обратившихся в рамках антикризисной программы» Гришину Г.Н., начальника отдела трудоустройства и специальных программ.
4. Назначить ответственных за резервное копирование в автоматизированных системах:
- начальника отдела информационных технологий и автоматизации Новичкова Игоря Анатольевича;
- главного специалиста отдела информационных технологий и автоматизации Светлейшую Наталью Михайловну.
5. Администратору безопасности Новичкову И.А. организовать учет носителей персональных данных в соответствии с правилами ведения делопроизводства.
6. С целью проведения классификации информационных систем персональных данных создать комиссию в составе согласно приложению № 1.
7. Утвердить и ввести в действие:
7.1. Перечень персональных данных, обрабатываемых в информационных системах министерства труда и занятости населения Оренбургской области (Приложение № 2);
7.2. Соглашение о допуске к конфиденциальной информации (Приложение № 3);
7.3. Положение о порядке организации и проведения работ по защите конфиденциальной информации в министерстве труда и занятости населения Оренбургской области (Приложение №4).
7.4. Положение по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях министерства труда и занятости населения Оренбургской области (Приложение № 5).
7.5. Инструкция пользователю автоматизированной системы (Приложение № 6);
7.6. Инструкция администратора безопасности автоматизированных систем (Приложение № 7);
7.7. Инструкция по парольной защите в автоматизированных системах (Приложение № 8);
7.8. Инструкция по антивирусной защите автоматизированной системы объекта вычислительной техники (Приложение № 9);
7.9. Инструкцию по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты конфиденциальной информации, при их обработке в информационных системах персональных данных в министерстве труда и занятости населения Оренбургской области (Приложение №10).
7.10. Порядок доступа в помещения, в которых ведется обработка персональных данных (Приложение №11).
7.11. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (Приложение № 12).
7.12. Правила обработки персональных данных, направленные на выявление и предо твращение нарушений законодательства РФ в сфере ПДн в министерстве труда и занятости населения Оренбургской области (Приложение № 13).
7.13. Правила рассмотрения запросов субъектов персональных данных или их представителей (Приложение № 14).
8. Признать утратившими силу приказы министра труда и занятости населения Оренбургской области:
- от 30.12.2010 № 155 «Об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- от 02.08.2012 № 146 «О внесении изменений в приказ министерства труда и занятости населения Оренбургской области от 30.12.2010 № 155».
9. Контроль за исполнением настоящего приказа оставляю за собой.
Министр В.П.Кузьмин
Приложение № 1
к приказу министра труда и
занятости населения
Оренбургской области
от 27.02.2013 № 45
Состав комиссии для проведения классификации
информационных систем персональных данных
Исхакова Наиля Бисингалеевна, заместитель министра – председатель Комиссии;
Члены Комиссии:
Новичков Игорь Анатольевич - начальник отдела информационных технологий и автоматизации;
Семина Ольга Юрьевна - начальник кадрово-правового отдела;
Светлейшая Наталья Михайловна - главный специалист отдела информационных технологий и автоматизации.
и
о
Перечень
персональных данных, обрабатываемых в информационных системах
министерства труда и занятости населения Оренбургской области
№ п/п
Основание для обработки
Содержание сведений
Срок хранения, условия прекращения обработки
1.
- Глава 14 Трудового кодекса РФ;
- Федеральный закон «О внесении изменений в трудовой кодекс Российской Федерации, признании недействующими на территории Российской Федерации некоторых нормативных правовых актов СССР и утратившими силу некоторых законодательных актов (положений Законодательных актов) Российской Федерации» от 30 июня 2006 года № 90-ФЗ
- Федеральный закон № 173-ФЗ от 17.12.2001 г. «О трудовых пенсиях в Российской Федерации»
- фамилия, имя, отчество;
- пол;
- дата и место рождения, возраст;
- гражданство;
- семейное положение;
- адрес места жительства (пребывания);
- номер контактного телефона;
- сведения о документах, удостоверяющих личность работника;
- данные документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания;
- данные трудовой книжки (назначения, перемещения, должность);
- данные служебного контракта, а также дополнительные соглашения, к нему;
- данные документов воинского учета (категория годности к военной службе, личный номер, военный билет, воинское звание, военно-учебная специальность, удостоверение, команда, название военкомата по месту жительства);
- данные страхового свидетельства обязательного пенсионного страхования;
- данные свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;
- данные страхового медицинского полиса обязательного медицинского страхования граждан;
- данные о зарплате (сумма за месяц, год)
75 лет ЭПК
Приказ Министерства культуры РФ от 25 августа 2010 г. № 558
«Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»
2.
- Закон РФ от 19 апреля 1991 г. № 1032-1 «О занятости населения в Российской Федерации»;
- приказы Министерства здравоохранения и социального развития РФ
от 3 июля 2006 г. № 513;
от 30 ноября 2006г. № 819;
от 18 января 2007 г. № 18н;
от 7 июня 2007 г. № 400;
от 7 июня 2007 г. № 401;
от 13 июня 2007 г. № 415;
от 28 июня 2007 г. № 449;
от 1 ноября 2007 г. № 680;
от 27 ноября 2007 г. № 726;
от 7 марта 2008 г. № 125н;
от 16 июня 2008 г. № 281н;
- Федеральный закон № 173-ФЗ от 17.12.2001 г. «О трудовых пенсиях в Российской Федерации».
- фамилия, имя, отчество;
- пол;
- дата рождения;
- гражданство;
- адрес места жительства;
- номер контактного телефона;
- семейное положение;
- серия и номер паспорта или удостоверения личности, дата выдачи указанных документов, наименование выдавшего их органа;
- данные трудовой книжки (последнее место работы, назначения, перемещения, должность);
- данные документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания;
- наименование учебного заведения, год окончания;
- дополнительные навыки (знание иностранных языков, знание и умение пользоваться ПЭВМ и др.);
- данные о зарплате (сумма за месяц, 3 месяца, год);
- индивидуальная программа реабилитации инвалида, справка МСЭ и КЭК;
- категория, к которой относится гражданин и документы, подтверждающие данную категорию.
75 лет –"В"
Приказ Министерства культуры РФ от 25 августа 2010 г. N 558
«Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»
Приложение № 3
к приказу министра труда и
занятости населения
Оренбургской области
от 27.02.2013 № 45
Приложение №______
к служебному контракту
СОГЛАШЕНИЕ
о допуске к конфиденциальной информации
Министерство труда и занятости населения Оренбургской области в лице министра Кузьмина Вячеслава Петровича, действующего на основании Положения (далее – Работодатель), и работник Ф.И.О. ___________________________________________________________________ служебный контракт «__» __________ 20___ г. № ____ (далее – Работник), (при совместном упоминании – Стороны), договорились о нижеследующем:
1. Предмет соглашения и основные понятия
1.1. Работодатель предоставляет Работнику для исполнения последним его трудовых обязанностей доступ к конфиденциальной информации, обладателями которой являются Работодатель или его контрагенты, а Работник обязуется соблюдать в соответствии со служебным контрактом режим защиты конфиденциальной информации, установленный Работодателем в отношении данной информации.
1.2. Для целей настоящего Соглашения используются следующие основные понятия:
1.2.1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.2.2. Конфиденциальная информация – информация, которая имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим защиты конфиденциальной информации.
1.2.3. Режим защиты конфиденциальной информации – правовые, организационные, технические и иные принимаемые обладателем конфиденциальной информации, меры по охране ее конфиденциальности.
1.2.4. Обладатель конфиденциальной информации – лицо, которое владеет конфиденциальной информацией и на законном основании ограничило доступ к этой информации и установило в отношении нее режим коммерческой тайны (Работодатель и его контрагенты).
1.2.5. Доступ к конфиденциальной информации – ознакомление Работника с конфиденциальной информацией с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.
1.2.6. Разглашение конфиденциальной информации – действие или бездействие, в результате которых конфиденциальная информация в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки служебному котракту.
2. Права и обязанности сторон
2.1. В целях охраны конфиденциальности информации Работодатель обязан:
2.1.1. Ознакомить под роспись Работника, доступ которого к конфиденциальной информации необходим для выполнения им своих трудовых обязанностей, с Перечнем конфиденциальной информации.
2.1.3. Создать Работнику необходимые условия для соблюдения им установленного Работодателем режима защиты конфиденциальной информации.
2.2. В целях охраны конфиденциальности информации Работник обязан:
2.2.1. Выполнять установленный Работодателем режим защиты конфиденциальной информации.
2.2.2. Не разглашать конфиденциальную информацию, обладателями которой являются Работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях и для занятий любой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации.
2.2.3. Не разглашать конфиденциальную информацию, обладателями которой являются Работодатель и его контрагенты, после прекращения служебного контракта в течение 3 (трех) лет.
2.2.4. В случае попытки посторонних лиц получить конфиденциальную информацию, обладателями которой являются Работодатель и его контрагенты, немедленно сообщать Работодателю.
2.2.5. Об утрате или недостаче материальных носителей информации, содержащих конфиденциальную информацию (рукописи, черновики, чертежи, диски, дискеты, распечатки на принтерах и др.), удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению конфиденциальной информации, обладателями которой являются Работодатель и его контрагенты, а также о причинах и условиях возможной утечки соответствующей информации немедленно сообщать Работодателю.
2.2.6. Передать Работодателю при прекращении или расторжении служебного контракта имеющиеся в пользовании Работника материальные носители информации, содержащие конфиденциальную информацию (рукописи, черновики, чертежи, диски, дискеты, распечатки на принтерах, материалы, изделия и др.), обладателями которой являются Работодатель и его контрагенты.
2.2.7. Возместить причиненный Работодателю ущерб, если Работник виновен в разглашении конфиденциальной информации, обладателями которой являются Работодатель и его контрагенты, ставшей ему известной в связи с исполнением им служебных обязанностей.
2.3. Работодатель вправе потребовать возмещения причиненных убытков Работником либо лицом, прекратившим с Работодателем трудовые отношения, в случае, если они виновны в разглашении конфиденциальной информации, обладателями которой являются Работодатель и его контрагенты, доступ к которой они получили в связи с исполнением ими служебных обязанностей.
2.4. Работодатель вправе в случае невыполнения Работником любого из пунктов 2.2.1- 2.2.5 настоящего соглашения привлечь Работника к ответственности в соответствии с действующим законодательством.
3. Ответственность сторон
3.1. За нарушение настоящего Соглашения Стороны несут ответственность в соответствии с действующим законодательством Российской Федерации.
4. Прочие положения
4.1. Настоящее Соглашение вступает в силу со дня подписания его Сторонами и может быть расторгнуто только по инициативе Работодателя посредством письменного уведомления Работника (лица, прекратившего с Работодателем трудовые отношения).
4.2. По вопросам, которые не нашли отражение в настоящем Соглашении, стороны руководствуются действующим законодательством Российской Федерации.
4.3. Соглашение составлено в двух имеющих одинаковую юридическую силу экземплярах, по одному для каждой из сторон.
5. Реквизиты сторон
Работодатель
Работник
Министерство труда и занятости населения Оренбургской области
Юридический и фактический адрес: 460000, г.Оренбург, ул.Пушкинская,
д.14, ИНН 5610112265
КПП 561001001
р/сч.40201810300000100005
в ГРКЦ ГУ Банка России по Оренбургской области г. Оренбурга
паспорт: серия_____ № __________, выдан ________________________
_____________________________, зарегистрированный по адресу:
_____________________________________________________________________________________________
Министр ______________В.П. Кузьмин
М.П.
_________________ ___________
(инициалы, фамилия) (подпись)
Приложение № 4
к приказу министра труда и
занятости населения
Оренбургской области
от 27.02.2013 № 45
ПОЛОЖЕНИЕ
о порядке организации и проведения работ по защите
конфиденциальной информации
в министерстве труда и занятости населения Оренбургской области
1. Общие положения
1.1. Данное «Положение о порядке организации и проведении работ по защите конфиденциальной информации в Министерстве труда и занятости населения Оренбургской области» (далее – Положение) разработано в соответствии с национальным стандартом РФ ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью, с учетом «Специальных требований и рекомендаций по технической защите конфиденциальной информации», утвержденных приказом Гостехкомиссии России от 30.08.2002 г. № 282, методическими рекомендациями ФСТЭК России, ФСБ России в целях обеспечения безопасности конфиденциальной информации.
1.2. Положение определяет порядок работы гражданских служащих министерства труда и занятости населения Оренбургской области (далее - министерство) в части обеспечения безопасности конфиденциальной информации при ее обработке, хранении и передаче в автоматизированных системах; использования средств защиты информации; разработку и принятие мер по предотвращению возможных опасных последствий таких нарушений, порядок обучения персонала практике работы с конфиденциальной информацией, предусмотренные эксплуатационной и технической документацией, порядок проверки электронного журнала обращений к АС, порядок контроля соблюдения условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией, правила обновления общесистемного и прикладного программного обеспечения, правила организации антивирусной защиты и парольной защиты, порядок охраны и допуска посторонних лиц в защищаемые помещения.
2. Термины и определения
В настоящем Положении применены следующие термины с соответствующими определениями:
Информационная безопасность - защита конфиденциальности, целостности и доступности информации.
Конфиденциальность - обеспечение доступа к информации только авторизованным пользователям.
Целостность - обеспечение достоверности и полноты информации и методов ее обработки.
Доступность - обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Администратор автоматизированной системы - лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.
Администратор защиты (безопасности) информации - лицо, ответственное за защиту АС от несанкционированного доступа к информации.
Безопасность информации - состояние защищенности информации, характеризуемое способностью гражданских служащих, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами.
Доступ к информации (доступ) - ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.
Автоматизированная система (АС) - система, состоящая из гражданских служащих и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций
Защита информации от несанкционированного доступа (защита от НСД) или воздействия - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию).
Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
Контролируемая зона (КЗ) - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание гражданских служащих и посетителей организации, а также транспортных, технических и иных материальных средств. Границей КЗ могут являться:
периметр охраняемой территории организации;
ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.
Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Несанкционированный доступ (НСД) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых СВТ или АС.
Техническая защита конфиденциальной информации (ТЗКИ) — защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования.
Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с основными техническими средствами и системами или в защищаемых помещениях.
Доступность информации - состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.
Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Локальная вычислительная сеть (ЛВС) - совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, в том числе с ЛВС, через определенные точки входа/выхода информации, которые являются границей ЛВС.
Межсетевой экран (МЭ) - это локальное (однокомпонентное) или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и (или) выходящей из АС.
Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации.
Система защиты информации от НСД (СЗИ НСД) - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в АС.
3. Организационные вопросы безопасности
3.1 Организационная инфраструктура информационной безопасности
3.1.1.Ответственным за разработку и реализацию политики информационной безопасности является начальник отдела информационных технологий и автоматизации министерства, который отвечает за ее реализацию и пересмотр в соответствии с установленной процедурой. Указанная процедура обеспечивает осуществление пересмотра политики информационной безопасности в соответствии с изменениями, влияющими на основу первоначальной оценки риска, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться ежегодно и включать:
проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;
определение стоимости мероприятий по управлению информационной безопасностью и их влияние на эффективность бизнеса;
оценку влияния изменений в технологиях.
3.1.2. Распределение обязанностей по обеспечению информационной безопасности.
Ответственность за организацию разработки и внедрения системы информационной безопасности, а также за оказание содействия в определении мероприятий по управлению информационной безопасностью возлагается на заместителя министра труда и занятости населения Оренбургской области.
Руководители структурных подразделений министерства несут ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в подразделениях министерства. В каждом структурном подразделении назначается ответственное лицо (администратор) для каждого информационного актива, в чьи повседневные обязанности входит обеспечение безопасности данного актива.
Приказом министра труда и занятости населения Оренбургской области (далее – министр) определяются:
информационные активы и процессы (процедуры) безопасности, связанные с каждой отдельной автоматизированной системой;
ответственные за эксплуатацию и обеспечение безопасности каждой автоматизированной системы;
уровни полномочий (авторизации) пользователей автоматизированных систем.
3.2. Учет информационных активов
Все основные информационные активы должны быть учтены и закреплены за ответственными лицами приказом министра. Приказ должен идентифицировать владельцев всех основных активов и определить их ответственность за поддержание соответствующих мероприятий по управлению информационной безопасностью. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива.
Информационными активами, связанными с информационными системами, являются:
информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;
активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;
физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;
услуги: вычислительные услуги и услуги связи, основные коммунальные услуги (отопление, освещение, электроэнергия, кондиционирование).
3.3. Классификация информации
С целью обеспечения защиты на надлежащем уровне информационных активов информацию следует классифицировать, чтобы определить ее приоритетность, необходимость и степень ее защиты. Конфиденциальная информация требует дополнительного уровня защиты или специальных методов обработки. Классификация информации позволяет определить, как эта информация должна быть обработана и защищена. Система классификации информации используется для определения соответствующего множества уровней защиты и потребности в специальных методах обработки.
Для проведения классификации автоматизированных систем министерства приказом министра создается комиссия. Результатом работы комиссии является Акт классификации автоматизированной системы.
При проведении классификации и категорирования автоматизированных систем комиссия пользуется руководящими документами:
руководящим документом ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
«Порядком классификации информационных систем персональных данных», утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008г. № 55/86/20;
«Специальными требованиями и рекомендациями по технической защите конфиденциальной информации по технической защите конфиденциальной информации (СТР-К)»;
другими действующими нормативными документами в области информационной безопасности
3.4. Учет вопросов безопасности в должностных регламентах гражданских служащих и при поступлении граждан на должности государственной гражданской службы в министерстве.
3.4.1. Доступ к конфиденциальной информации.
Система доступа представляет собой совокупность норм и правил, определяющих, кто из руководителей, кому из пользователей и с какими категориями документов может давать разрешение на ознакомление.
Система доступа должна отвечать следующим требованиям:
доступ к конфиденциальным документам может предоставляться гражданским служащим, письменно оформившим с представителем нанимателя отношения о неразглашении ставших им известными конфиденциальных сведений. Письменное оформление отношений о неразглашении конфиденциальной информации (соблюдения режима конфиденциальности) является обязательным условием для доступа исполнителей к документам;
доступ к конфиденциальным документам должен быть обоснованным, т.е. базироваться на служебной необходимости ознакомления с конкретным документом именно данного исполнителя;
система доступа должна давать возможность обеспечивать исполнителей всеми необходимыми им в силу служебных обязанностей документами, но только теми, которые действительно необходимы для выполнения конкретного вида работ;
доступ к документам должен быть санкционированным, т.е. осуществляться только по соответствующему разрешению уполномоченного на то должностного лица. При этом соответствующее должностное лицо может давать разрешение на ознакомление с документами только входящими в сферу его деятельности и только установленному кругу лиц;
доступ должен оформляться письменно по каждому конкретному конфиденциальному документу. При необходимости ознакомления исполнителя только с частью документа в разрешении на ознакомление должны быть указаны разделы (пункты или страницы), с которыми можно знакомить исполнителя.
Доступ гражданских служащих министерства к конфиденциальной информации осуществляется на добровольной основе. Эти отношения устанавливаются при поступлении гражданина на гражданскую службу или уже в ходе прохождения гражданской службы. При этом необходимо выполнить следующие условия:
ознакомить гражданского служащего под роспись с перечнем конфиденциальной информации;
ознакомить гражданского служащего под роспись с установленным в организации режимом по охране конфиденциальности и с мерами ответственности за его нарушение;
создать гражданскому служащему необходимые условия для соблюдения им установленного режима по охране конфиденциальности.
Права гражданских служащих на доступ к конфиденциальной информации и работу с ее носителями регулируются разрешениями полномочных должностных лиц, оформленными в письменном (документальном) виде.
Оформление таких разрешений осуществляется:
Министром в виде приказа о допуске к конфиденциальной информации;
Руководителями структурных подразделений министерства в отношении непосредственно подчиненных им гражданских служащих.
Именные (должностные) списки гражданских служащих, допускаемых к конфиденциальной информации, в обязательном порядке содержат должности и фамилии, а также категории сведений (документов), к которым они допускаются.
Разрешение может оформляться непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному гражданскому служащему; либо посредством указания (перечисления) в организационно-плановых и иных документах министерства гражданских служащих (их фамилий), которые при решении конкретных служебных и иных задач должны быть допущены к конфиденциальной информации.
Функции (роли) и ответственность в области информационной безопасности, должны быть документированы. В должностные регламенты включаются как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихся безопасности.
Руководители структурных подразделений обязаны:
ознакомить под расписку гражданского служащего, которому для выполнения его служебных обязанностей нужен доступ к информации, распространение которой в Российской Федерации ограничивается или запрещается, с перечнем информации, составляющей конфиденциальную информацию, обладателем которой является министерство;
ознакомить под расписку гражданского служащего с настоящим Положением и с мерами ответственности за его нарушение;
создать гражданскому служащему необходимые условия для соблюдения им установленного настоящим Положением порядка организации и проведения работ по защите конфиденциальной информации в министерстве.
3.4.2. Проверка граждан при поступлении на должности гражданской службы министерства и соответствующая политика.
Проверка достоверности представляемых гражданином персональных данных и иных сведений при поступлении на гражданскую службу осуществляется кадрово-правовым отделом министерства в соответствии с законодательством о прохождении гражданской службы Оренбургской области.
3.4.3. Соглашения о конфиденциальности.
Все гражданские служащие министерства и представители третьей стороны, использующие средства обработки информации министерства, должны подписывать соглашение о конфиденциальности (неразглашении).
Соглашения о конфиденциальности или соглашения о неразглашении используются для уведомления гражданских служащих о том, что информация является конфиденциальной. Гражданские служащие должны подписывать такое соглашение как неотъемлемую часть условий служебного контракта.
Условия соглашения должны определять ответственность служащего в отношении информационной безопасности. Эта ответственность должна сохраняться и в течение определенного срока (три года) после увольнения со службы. В соглашении указываются меры дисциплинарного воздействия, которые будут применимы в случае нарушения гражданским служащим требований безопасности.
3.4.4. Обучение пользователей.
С целью обеспечения уверенности в осведомленности пользователей об угрозах и проблемах, связанных с информационной безопасностью, и их оснащенности всем необходимым для соблюдения требований политики безопасности министерства при выполнении служебных обязанностей, пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности.
3.4.5. Обучение и подготовка в области информационной безопасности.
Все гражданские служащие минстерства должны пройти соответствующее обучение и получать на регулярной основе обновленные варианты политик и процедур информационной безопасности, принятых в министерстве. Обучение гражданских служащих должно обеспечить знание ими требований безопасности, ответственности в соответствии с законодательством, мероприятий по управлению информационной безопасностью, а также знание правильного использования средств обработки информации, например процедур регистрации в системах, использования пакетов программ, прежде чем им будет предоставлен доступ к информации или услугам.
3.4.6. Порядок работы гражданских служащих в части обеспечения безопасности данных при их обработке в АС.
При обработке данных в АС необходимо руководствоваться Положением по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях, утвержденным министром.
3.4.7. Реагирование на инциденты нарушения информационной безопасности и сбои.
Все гражданские служащие должны быть осведомлены о процедурах информирования о различных типах инцидентов нарушения информационной безопасности (нарушение безопасности, угроза, уязвимость системы или сбой), которые могли бы оказать негативное влияние на безопасность активов организации. Гражданские служащие должны немедленно сообщать о любых наблюдаемых или предполагаемых инцидентах своему непосредственному руководителю или администратору безопасности.
3.4.8. Порядок обучения гражданских служащих практике работы в АС в части обеспечения безопасности конфиденциальных данных.
3.4.8.1. Перед началом работы в АС пользователи должны ознакомиться с инструкциями по использованию программных и технических средств, по использованию средств защиты информации под роспись.
3.4.8.2. Пользователи должны продемонстрировать администратору безопасности и (или) ответственному за защиту информации наличие необходимых знаний и умений для выполнения требований настоящего Положения. Администратор безопасности должен вести журнал учета проверок знаний и навыков пользователей.
3.4.8.3. Пользователи, демонстрирующие недостаточные знания и умения для обеспечения безопасности конфиденциальных данных в соответствии с требованиями настоящего положения, к работе в АС не допускаются.
3.4.8.4. Ответственным за организацию обучения и оказание методической помощи в организации является администратор безопасности.
3.4.8.5. К работе в АС допускаются только гражданские служащие прошедшие первичный инструктаж ОБ в АС и показавшие твердые теоретические знания и практические навыки, о чём делается соответствующая запись в Журнале учёта допуска к работе в АС.
3.5. Требования по защите конфиденциальной информации, обрабатываемой в автоматизированных системах
3.5.1. Система (подсистема) защиты информации, обрабатываемой в АС различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических средств и мер по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.
3.5.2. Основными направлениями защиты информации являются:
обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД и специальных воздействий;
обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
3.5.3. В качестве основных мер защиты информации необходимо:
документально оформить перечень сведений конфиденциального характера;
система допуска пользователей к информации и связанным с ее использованием работам, документам должна осуществляться в соответствии с п. 3.4.1. настоящего Положения;
доступ гражданских служащих и посторонних лиц в ЗП и помещения, где размещены средства информатизации и коммуникационное оборудование должен быть ограничен;
действия пользователей АС, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц должен регистрироваться;
обеспечить учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение;
ответственным за эксплуатацию АС назначаются руководители структурных подразделений министерства;
из числа гражданских служащих назначается администратор безопасности АС;
автоматизированные системы обработки конфиденциальной информации должны быть аттестованы по требованиям безопасности информации.
3.6. Защита от вредоносного программного обеспечения
3.6.1. Общие положения
С целью обеспечения защиты целостности программного обеспечения и массивов информации должны быть приняты меры предотвращения и обнаружения внедрения вредоносного программного обеспечения.
Пользователи должны быть осведомлены об опасности использования неавторизованного или вредоносного программного обеспечения
С целью обнаружения и предотвращения проникновения вредоносного программного обеспечения автоматизированные системы должны быть оснащены средствами защиты от вредоносного программного обеспечения.
Устанавливаются следующие мероприятия по управлению информационной безопасностью:
в автоматизированных системах используется программное обеспечение на основе лицензионных соглашений, запрещается использование неавторизованного программного обеспечения;
запрещается получать файлы и программное обеспечение из внешних сетей, через внешние сети или из любой другой среды;
должно быть установлено и регулярно обновляться антивирусное программное обеспечение для обнаружения и сканирования компьютеров и носителей информации, запускаемое в случае необходимости в качестве превентивной меры или рутинной процедуры;
должна обеспечиваться проверка всех файлов на носителях информации сомнительного или неавторизованного происхождения или файлов, полученных из общедоступных сетей, на наличие вирусов перед работой с этими файлами;
должна обеспечиваться проверка любых вложений электронной почты и скачиваемой информации на наличие вредоносного программного обеспечения до их использования.
3.6.2. Правила антивирусной защиты.
При обеспечении антивирусной защиты необходимо руководствоваться п. 7 Положения по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях, утвержденным министром.
3.7. Резервирование информации
3.7.1. Общие положения
Резервное копирование важной служебной информации и программного обеспечения должно выполняться на регулярной основе. В каждом структурном подразделении назначается сотрудник, отвечающий за резервное копирование. Назначение оформляется приказом министра.
Должны выполняться следующие мероприятия по управлению информационной безопасностью:
минимально необходимый объем резервной информации, вместе с точными и полными регистрационными записями по содержанию резервных копий, а также документация по процедурам восстановления во избежание любого повреждения от стихийных бедствий должны храниться в отдельном месте;
резервная информация должна быть обеспечена гарантированным уровнем физической защиты и защиты от воздействий окружающей среды;
резервное оборудование должно регулярно подвергаться тестированию для обеспечения уверенности в том, что в случае возникновения чрезвычайных ситуаций на его работу можно положиться;
процедуры восстановления следует регулярно актуализировать и тестировать для обеспечения уверенности в их эффективности, а также в том, что для выполнения этих процедур потребуется не больше времени, чем определено операционными процедурами восстановления;
ответственным за организацию резервирования назначается руководитель структурного подразделения.
3.7.2. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации определен п.3 Положения по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях, утвержденным министром.
3.8. Безопасность носителей информации.
3.8.1. Общие положения
С целью предотвращения повреждений активов использование носителей информации должно контролироваться, а также должна обеспечиваться их физическая безопасность.
Должны выполняться следующие мероприятия по управлению информационной безопасностью:
если носители информации многократного использования больше не требуются и передаются за пределы организации, то их содержимое должно быть гарантированно уничтожено;
в отношении всех уничтожаемых носителей информации должно быть принято соответствующее решение, а также должна быть сделана запись в регистрационном журнале;
все носители информации следует хранить в надежном, безопасном месте в соответствии с требованиями изготовителей.
Носители информации по окончании использования следует надежно и безопасно утилизировать. Для этого необходимо предусматривать следующие мероприятия:
а) носители, содержащие важную информацию, следует хранить и утилизировать надежно и безопасно (посредством сжигания/измельчения). Если носители планируется использовать в пределах организации для других задач, то информация на них должна быть уничтожена;
б) перечень объектов, в отношении которых может потребоваться безопасная утилизация:
1) бумажные документы;
2) выводимые отчеты;
3) сменные диски;
4) оптические носители данных (все разновидности, в том числе носители, содержащие программное обеспечение, поставляемое производителями).
3.8.2. Порядок стирания защищаемой информации и уничтожения носителей защищаемой информации п.12 Положения по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах, утвержденным министром.
3.9. Безопасность электронной почты
Электронная почта используется для обмена служебной информацией. Правила использования электронной почты:
доступ к официальному адресу электронной почты должен быть ограничен согласно п.3.4.1. Допуск к конфиденциальной информации настоящего Положения;
должны выполняться мероприятия в части антивирусной защиты почтовых сообщений;
пароль доступа в электронной почте хранится у администратора безопасности, смена производится ежеквартально, а при смене сотрудника – немедленно.
3.10. Использование паролей.
3.10.1. Общие положения:
Пользователи обязаны соблюдать правила обеспечения безопасности при выборе и использовании паролей, должны быть осведомлены о необходимости:
а) сохранения конфиденциальности паролей;
б) запрещения записи паролей на бумаге, если только не обеспечено безопасное их хранение;
в) изменения паролей всякий раз, при наличии любого признака возможной компрометации системы или пароля;
г) выбора качественных паролей с минимальной длиной в девять знаков, которые: легко запомнить; не подвержены легкому угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля, например, имен, номеров телефонов, дат рождения и т.д.; не содержат последовательных идентичных символов и не состоят из полностью числовых или полностью буквенных групп;
д) изменения паролей через равные интервалы времени или после определенного числа доступов и исключения повторного или цикличного использования старых паролей;
е) изменения временных паролей при первой регистрации в системе;
ж) запрещения включения паролей в автоматизированный процесс регистрации, например, с использованием хранимых макрокоманд или функциональных клавиш;
з) исключения коллективного использования индивидуальных паролей.
3.10.2. Правила парольной защиты обеспечиваются согласно п.8 Положения по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях, утвержденным министром.
3.11. Ответственность за нарушение правил обращения с конфиденциальной информацией
3.11.1. Требования настоящего Положения обязательны для всех пользователей, обрабатывающих конфиденциальную информацию.
3.11.2. Нарушения, связанные с выполнением требований руководящих документов по информационной безопасности, применению средств защиты информации и разграничения доступа, использованию технического, информационного и программного обеспечения, по степени их опасности делятся на нарушения первой, второй и третьей категории.
3.11.3. К нарушениям первой категории относятся нарушения, повлекшие за собой разглашение (утечку) защищаемых сведений, утрату содержащих их машинных носителей информации и машинных документов, уничтожение (искажение) информационного и программного обеспечения, выведение из строя технических средств.
3.11.4. К нарушениям второй категории относятся нарушения, в результате которых возникают предпосылки к разглашению (утечке) защищаемых сведений или утрате содержащих их машинных носителей информации и машинных документов, уничтожению (искажению) информационного и программного обеспечения, выведению из строя технических средств.
3.11.5. Остальные нарушения относятся к нарушениям третьей категории.
3.11.6. Ответственность за разглашение конфиденциальной информации и утрату носителей информации.
Разглашение конфиденциальной информации — предание огласке этой информации гражданским служащим, допущенным к ней в связи с выполнением функциональных (должностных) обязанностей.
Под утратой носителей конфиденциальной информации (документов, материалов, изделий) понимается выход (в том числе на непродолжительное время) этих носителей из владения гражданского служащего, который в установленном порядке допущен к ним в связи с выполнением функциональных (должностных) обязанностей, в результате чего данные носители стали либо могли стать достоянием посторонних лиц.
За разглашение конфиденциальной информации, утрату носителей конфиденциальной информации и нанесение вследствие этих действий ущерба министерству виновные лица привлекаются к дисциплинарной, материальной, административной или уголовной ответственности.
Приложение № 5
к приказу министра труда и
занятости населения
Оренбургской области
от 27.02.2013 № 45
ПОЛОЖЕНИЕ
по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах (далее - АС) и
защищаемых помещениях министерства труда и занятости
населения Оренбургской области
Порядок работы персонала в части обеспечения безопасности данных при их обработке в АС
Настоящий порядок определяет действия гражданских служащих АС в части обеспечения безопасности данных при их обработке в АС.
1.1. Допуск пользователей для работы на компьютерах АС осуществляется на основании приказа министра труда и занятости Оренбургской области (далее - министр), и в соответствии со списком лиц допущенных к работе в АС. С целью обеспечения ответственности за ведение, нормальное функционирование и контроль работы средств защиты информации в АС министром назначается администратор безопасности; с целью контроля выполнения необходимых мероприятий по обеспечению безопасности ответственный за защиту информации.
1.1. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам АС. Полномочия пользователей к информационным ресурсам определяются в списке должностных лиц, которым необходим доступ к конфиденциальной информации, утверждаемом министром. При этом для хранения информации, содержащей конфиденциальные сведения, разрешается использовать только машинные носители информации, учтенные в Журнале учета машинных носителей.
1.3. Пользователь несет ответственность за правильность включения и выключения средств вычислительной техники (СВТ), входа в систему и все действия при работе в АС.
1.4. Вход пользователя в систему может осуществляться по выдаваемому ему электронному идентификатору или по персональному паролю.
1.5. Запись информации, содержащей конфиденциальные данные, может, осуществляется пользователем на съемные машинные носители информации, соответствующим образом учтенные в Журнале учета машинных носителей.
1.6. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах АС. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения.
1.7. Каждый гражданский служащий, участвующий в рамках своих функциональных обязанностей в процессах обработки конфиденциальных данных и имеющий доступ к аппаратным средствам, программному обеспечению и данным АС, несет персональную ответственность за свои действия и обязан:
строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;
знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах АС;
хранить в тайне свой пароль (пароли). В соответствии с п.п. 8.5., 8.6. данного Положения и с установленной периодичностью менять свой пароль (пароли);
хранить установленным порядком свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);
выполнять требования Положения по организации антивирусной защиты в полном объеме.
Немедленно известить ответственного за защиту информации и (или) администратора безопасности в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении:
нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на составляющих узлах и блоках СВТ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее - НСД) к данным защищаемым СВТ;
несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств АС;
отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию СВТ, выхода из строя или неустойчивого функционирования узлов СВТ или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения;
некорректного функционирования установленных на компьютеры технических средств защиты;
непредусмотренных отводов кабелей и подключенных устройств.
Пользователю категорически запрещается:
использовать компоненты программного и аппаратного обеспечения ПЭВМ в неслужебных целях;
самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств АС или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения;
осуществлять обработку конфиденциальных данных в присутствии посторонних (не допущенных к данной информации) лиц;
записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных машинных носителях информации (гибких магнитных дисках и т.п.);
оставлять включенным без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, машинные носители и бумажные документы, содержащие защищаемую информацию (сведения ограниченного распространения);
умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации;
размещать средства АС так, чтобы с них отсутствовала возможность визуального считывания информации.
1.8. Администратор безопасности (а при его отсутствии – ответственный за защиту информации) обязан:
знать состав основных и вспомогательных технических систем и средств (далее - ОТСС и ВТСС) установленных и смонтированных в АС, перечень используемого программного обеспечения (далее - ПО) в АС;
контролировать целостность печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных СВТ и других устройствах;
производить необходимые настройки подсистемы управления доступом установленных в АС СЗИ от НСД и сопровождать их в процессе эксплуатации, при этом:
реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.);
вводить описания пользователей АС в информационную базу СЗИ от НСД;
своевременно удалять описания пользователей из базы данных СЗИ при изменении списка допущенных к работе лиц;
контролировать доступ лиц в помещение в соответствии со списком гражданских служащих, допущенных к работе в АС;
проводить инструктаж гражданских служащих - пользователей компьютеров по правилам работы с используемыми техническими средствами и системами защиты информации;
контролировать своевременное (не реже чем один раз в течение 360 дней) проведение смены паролей для доступа пользователей к компьютерам и ресурсам АС;
обеспечивать постоянный контроль выполнения гражданскими служащими установленного комплекса мероприятий по обеспечению безопасности информации в АС;
осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных;
настраивать и сопровождать подсистемы регистрации и учета действий пользователей при работе в АС;
вводить в базу данных СЗИ от несанкционированного доступа описания событий, подлежащих регистрации в системном журнале;
проводить анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам не реже одного раза в 10 дней;
организовывать печать файлов пользователей на принтере и осуществлять контроль соблюдения установленных правил и параметров регистрации и учета бумажных носителей информации. Сопровождать подсистемы обеспечения целостности информации в АС;
периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;
восстанавливать программную среду, программные средства ии настройки СЗИ при сбоях;
вести две копии программных средств СЗИ от НСД и контролировать их работоспособность;
контролировать отсутствие на магнитных носителях остаточной информации по окончании работы пользователей;
периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядок и правила проведения антивирусного тестирования;
проводить работу по выявлению возможных каналов вмешательства в процесс функционирования АС и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники;
сопровождать подсистему защиты информации от утечки за счет побочных электромагнитных излучений и наводок, контролировать соблюдение требований по размещению и использованию технических средств АС;
контролировать соответствие документально утвержденного состава аппаратной и программной части АС реальным конфигурациям АС, вести учет изменений аппаратно-программной конфигурации;
обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания АС и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);
присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию АС;
вести «Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания СВТ, выполнения профилактических работ, установки и модификации аппаратных и программных средств СВТ»;
поддерживать установленный порядок проведения антивирусного контроля согласно требований настоящего Положения в случае отказа средств и систем защиты информации принимать меры по их восстановлению;
докладывать ответственному за защиту информации, ответственному за эксплуатацию АС о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;
вести документацию на АС в соответствии с требованиями нормативных документов.
1.9. Администратор безопасности и ответственный за защиту информации имеют право:
требовать от гражданских служащих - пользователей АС соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в АС;
инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов АС;
требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.
Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации
Настоящий порядок определяет организацию резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.
2.1. К использованию, для создания резервной копии АС, допускаются только зарегистрированные в журнале учета носители.
2.2. Администратор безопасности обязан осуществлять периодическое резервное копирование конфиденциальной информации.
2.3. Еженедельно, по окончанию работы c конфиденциальными документами (содержащими конфиденциальные данные) на компьютере, пользователь, при отсутствии администратора, обязан создавать резервную копию конфиденциальных документов на зарегистрированный носитель (ЖМД, ГМД, CD, DVD – диски, USB накопитель, другие), создавая тем самым резервный электронный архив конфиденциальных документов.
2.4. Носители информации (ЖМД, ГМД, CD-ROM, USB накопитель, другие), предназначенные для создания резервной копии и хранения конфиденциальной информации выдаются в установленном порядке, ответственным за защиту информации и (или) администратором. По окончании процедуры резервного копирования электронные носители конфиденциальной информации сдаются на хранение администратору безопасности или ответственному за защиту информации.
2.5. Перед резервным копированием пользователь или администратор безопасности обязан проверить электронный носитель (ЖМД, ГМД, CD-ROM, USB накопитель) на отсутствие вирусов.
2.6. Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль в соответствии с п. 7 настоящего Положения.
2.7. Запрещается запись посторонней информации на электронные носители (ЖМД, ГМД, CD-ROM, USB накопитель и другие) резервной копии.
2.8. Порядок создания резервной копии:
вставить в компьютер зарегистрированный электронный носитель (ЖМД, ГМД, CD-ROM, USB накопитель, другие) для резервного копирования;
выбрать необходимый каталог (файл) для создания резервного архива;
при использовании систем управления базами данных необходимо создать файл с резервной копией защищаемой информации с помощью встроенных средств системы;
выполнить процедуру создания резервной копии;
произвести копирование на отчуждаемый носитель;
произвести отключение отчуждаемого носителя и, создав необходимые записи в журналах, убрать носитель в хранилище.
2.9. Хранение отчуждаемого носителя с резервной копией защищаемой информации осуществляется в специальном металлическом хранилище совместно с ключевой и аутентифицирующей информацией.
2.10. При восстановлении работоспособности программного обеспечения сначала осуществляется резервное копирование защищаемой информации, затем производится полная деинсталляция некорректно работающего программного обеспечения.
2.11. Восстановление программного обеспечения производится путем его инсталляции с использованием эталонных дистрибутивов, хранение которых осуществляется администратором безопасности в специальном хранилище.
2.12. При необходимости ремонта технических средств, с них удаляются опечатывающие пломбы и по согласованию с администратором безопасности, ответственным за защиту информации и представителем организации, проводившей аттестацию, оборудование передается в сервисный центр производителя. Ремонт носителей защищаемой информации не допускается. Неисправные носители с защищаемой информацией подлежат уничтожению в соответствии с порядком уничтожения носителей защищаемой информации. Работа с использованием неисправных технических средств запрещается.
2.13. При работе на компьютерах АС рекомендуется использовать источники бесперебойного питания, с целью предотвращения повреждения технических средств и(или) защищаемой информации в результате сбоев в сети электропитания.
2.14. При восстановлении работоспособности средств защиты информации следует выполнить их настройку в соответствии с требованиями безопасности информации, изложенными в техническом задании на создание системы защиты. Настройку данных средств должен выполнять сотрудник организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
2.15. Восстановление средств защиты информации производится с использованием эталонных сертифицированных дистрибутивов, которые хранятся в хранилище. После успешной настройки средств защиты информации необходимо выполнить резервное копирование настроек данных средств с помощью встроенных в них функций на зарегистрированный носитель.
2.16. Ответственность за проведение резервного копирования в АС в соответствии с требованиями настоящего Положения возлагается на администратора безопасности.
2.17. Ответственность за проведение мероприятий по восстановлению работоспособности технических средств и программного обеспечения баз данных возлагается на администратора безопасности.
2.18. Ответственность за проведение мероприятий по восстановлению средств защиты информации (далее – СЗИ) возлагается администратора безопасности.
Порядок контроля защиты информации в АС. Порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей конфиденциальных данных, использования средств защиты информации и принятие мер по предотвращению возможных опасных последствий
3.1. Контроль защиты информации в АС - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения посторонними лицами охраняемых сведений, выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности систем информатизации.
3.2. Основными задачами контроля являются:
проверка организации выполнения мероприятий по защите информации в подразделениях министерства труда и занятости населения Оренбургской области (далее - министерство), учета требований по защите информации в разрабатываемых плановых и распорядительных документах;
выявление демаскирующих признаков объектов АС;
уточнение зон перехвата обрабатываемой на объектах информации, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;
проверка выполнения требований по защите АС от несанкционированного доступа;
проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;
проверка знаний гражданских служащих по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места;
оперативное принятие мер по пресечению нарушений требований (норм) защиты информации в АС;
разработка предложений по устранению (ослаблению) демаскирующих признаков и технических каналов утечки информации.
3.3. Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей в АС министерство и осуществляется по объектовому принципу, при котором на объекте одновременно проверяются все вопросы защиты информации. Перечень каналов утечки устанавливается в соответствии с моделью угроз.
3.4. В ходе контроля проверяются:
соответствие принятых мер по обеспечению безопасности данных (далее – ОБ);
своевременность и полнота выполнения требований настоящего Положения и других руководящих документов ОБ;
полнота выявления демаскирующих признаков охраняемых сведений об объектах защиты и возможных технических каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
эффективность применения организационных и технических мероприятий по защите информации;
устранение ранее выявленных недостатков.
Кроме того, могут проводиться необходимые измерения и расчеты, приглашенными для этих целей специалистами организации, имеющей соответствующие лицензии ФСТЭК России.
3.5. Основными видами технического контроля являются визуально-оптический контроль, контроль эффективности защиты информации от утечки по техническим каналам, контроль несанкционированного доступа к информации и программно-технических воздействий на информацию.
3.6. Полученные в ходе ведения контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. При обнаружении нарушений норм и требований по защите информации администратор безопасности докладывает министру для принятия им решения о прекращении обработки информации и проведения соответствующих организационных и технических мер по устранению нарушения. Результаты контроля защиты информации оформляются актами либо в соответствующих журналах учета результатов контроля.
3.7. Невыполнение предписанных мероприятий по защите конфиденциальных данных, считается предпосылкой к утечке информации (далее - предпосылка).
По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований по указанию министра или ответственного за защиту информации проводится расследование.
Для проведения расследования назначается комиссия с привлечением администратора безопасности. Комиссия обязана установить, имела ли место утечка сведений, и обстоятельства ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению. После окончания расследования министр принимает решение о наказании виновных лиц и необходимых мероприятиях по устранению недостатков.
3.8. Ведение контроля защиты информации осуществляется путем проведения периодических, плановых и внезапных проверок объектов защиты. Периодические, плановые и внезапные проверки объектов министерства проводятся, как правило, силами администратора безопасности и (или) ответственного за защиту информации, в соответствии с утвержденным планом или по согласованию с министром.
3.9. Одной из форм контроля защиты информации является обследование объектов АС. Оно проводится не реже одного раза в год рабочей группой в составе администратора безопасности, ответственного за защиту информации, ответственного за эксплуатацию объекта. Для обследования АС может привлекаться организация, имеющая лицензию ФСТЭК России на деятельность по технической защите информации.
3.10. Обследование АС проводится с целью определения соответствия помещений, технических и программных средств требованиям по защите информации, установленным требованиям по безопасности конфиденциальных данных.
3.11. В ходе обследования проверяется:
соответствие текущих условий функционирования обследуемого объекта АС условиям, сложившимся на момент проверки;
соблюдение организационно-технических требований помещений, в которых располагается АС;
сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;
соответствие выполняемых на объекте АС мероприятий по защите информации данным, изложенным в настоящем положении;
выполнение требований по защите информационных систем от несанкционированного доступа;
выполнение требований по антивирусной защите.
3.12. Для выявления радиоэлектронных устройств и проводов неизвестного назначения, преднамеренного нарушения защитных свойств оборудования, а также не предусмотренных правилами эксплуатации отводов от оборудования и соединительных линий, проложенных в выделенных и защищаемых помещениях, а также других нарушений и способов возникновения каналов утечки информации необходимо:
тщательно осмотреть мебель, сувениры (особенно иностранного производства), оборудование, установленное в этом помещении, осветительную аппаратуру, ниши отопительных батарей, шторы, оконные проемы и т.д.;
вскрыть и осмотреть розетки, выключатели осветительной сети, люки вентиляции и каналы скрытой проводки;
проверить качество установки стеклопакетов оконных приемов;
провести аппаратурную проверку помещения на отсутствие возможно внедренных электронных устройств перехвата информации (при наличии соответствующей аппаратуры), при необходимости для проведения данных видов работ могут привлекаться организации, имеющие соответствующие лицензии ФСБ России.
3.13. Государственный контроль состояния защиты информации осуществляется Федеральной службы по техническому и экспортному контролю России и Федеральной службой безопасности России в рамках их полномочий в соответствии с действующим законодательством Российской Федерации. Доступ представителей указанных федеральных органов исполнительной власти на объекты для проведения проверки, а также к работам и документам в объеме, необходимом для осуществления контроля, обеспечивается в установленном порядке по предъявлении служебного удостоверения сотрудника, а также документа установленной формы на право проведения проверки.
Порядок обучения персонала практике работы в АС в части обеспечения безопасности конфиденциальных данных
4.1. Перед началом работы в АС пользователи должны ознакомиться с инструкциями по использованию программных и технических средств, по использованию средств защиты информации под роспись.
4.2. Пользователи должны продемонстрировать администратору безопасности и(или) ответственному за защиту информации наличие необходимых знаний и умений для выполнения требований настоящего Положения. Администратор безопасности должен вести журнал учета проверок знаний и навыков пользователей.
4.3. Пользователи, демонстрирующие недостаточные знания и умения для обеспечения безопасности конфиденциальных данных в соответствии с требованиями настоящего положения, к работе в АС не допускаются.
4.4. Ответственным за организацию обучения и оказание методической помощи в организации является администратор безопасности.
4.5. Для проведения занятий, семинаров и совещаний могут привлекаться специалисты по программному и техническому обеспечению, а также специалисты органов по аттестации объектов АС, организаций-лицензиатов ФСТЭК России и ФСБ России.
4.6. К работе в АС допускаются только гражданские служащие прошедшие первичный инструктаж ОБ в АС и показавшие твердые теоретические знания и практические навыки, о чём делается соответствующая запись в Журнале учёта допуска к работе в АС.
5. Порядок проверки электронного журнала обращений к АС
5.1. Настоящий раздел Положения определяет порядок проверки электронных журналов обращений к ресурсам АС.
5.2. Проверка электронного журнала обращений проводится с целью выявления несанкционированного доступа к защищаемой информации в АС.
5.3. Право проверки электронного журнала обращений имеют:
администратор безопасности;
ответственный за защиту информации;
министр.
5.4. На технических средствах АС, на которых установлены специализированные средства защиты информации (далее – СЗИ) типа «Страж», «Secret Net» и другие, проверка электронного журнала производится в соответствии с прилагаемым к указанным СЗИ Руководством.
5.5. Если в ходе периодических, плановых или внезапных проверок АС выявлены случай НСД к информации конфиденциального характера то вступает в силу п.п. 3.7., 3.8. данного Положения.
5.6. Проверке подлежат все электронные журналы АС.
5.7. Проверка должна проводиться не реже чем один раз в полгода с целью своевременного выявления фактов нарушения требований настоящего Положения.
5.8. Факты проверок электронных журналов отражаются в специальном журнале проверок. После каждой проверки Администратор безопасности делает соответствующую отметку в журнале и ставит свою роспись.
6. Правила антивирусной защиты
6.1. Настоящие правила определяют требования к организации защиты объекта АС от разрушающего воздействия вредоносного программного обеспечения (ПО), компьютерных вирусов и устанавливает ответственность руководителя и сотрудников, эксплуатирующих и сопровождающих компьютеры в составе АС, за их выполнение. Настоящие правила распространяются на все объекты АС министерства труда и занятости населения Оренбургской области.
6.2. К использованию на компьютерах допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств.
6.3. Установка и начальная настройка средств антивирусного контроля на компьютерах осуществляется администратором безопасности.
6.4. Администратор безопасности осуществляет периодическое обновление антивирусных пакетов и контроль их работоспособности.
6.5. Ярлык (ссылка) для запуска антивирусной программы должен быть доступен всем пользователям информационной системы.
6.6. Еженедельно в начале работы, после загрузки компьютера в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов компьютеров.
Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
Настройки средств антивирусной защиты должны быть выполнены в соответствии с требованиями безопасности, определенного для данной АС класса. Настройку средств антивирусной защиты выполняет администратор безопасности.
6.7. Файлы, помещаемые в электронный архив на магнитных носителях, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
6.8. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера, администратором безопасности должна быть выполнена антивирусная проверка АС.
6.9. На компьютеры запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.
6.10. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь самостоятельно (или вместе с администратором безопасности) должен провести внеочередной антивирусный контроль компьютера.
В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь обязан:
приостановить обработку данных в АС;
немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора безопасности, а также смежные подразделения, использующие эти файлы в работе;
совместно с владельцем зараженных вирусом файлов провести анализ возможности, дальнейшего их использования;
провести лечение или уничтожение зараженных файлов.
6.11. Ответственность за организацию антивирусного контроля в АС в соответствии с требованиями настоящего Положения возлагается на ответственного за защиту информации.
6.12. Ответственность за проведение мероприятий антивирусной защиты в конкретной АС и соблюдение требований настоящего Положения возлагается на администратора безопасности и всех пользователей данной АС.
7. Правила парольной защиты
7.1. Данные правила регламентируют организационно-технические мероприятия по обеспечению процессов генерации, смены и прекращения действия паролей в АС, а также контроль действий пользователей при работе с паролями.
7.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль действий пользователей при работе с паролями возлагается на администратора безопасности.
7.3. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями ОВТ самостоятельно с учетом следующих требований:
пароль должен быть не менее 9 символов;
в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.);
символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа, должны вводиться в режиме латинской раскладки клавиатуры;
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
при смене пароля новое значение должно отличаться от предыдущих;
пользователь не имеет права сообщать личный пароль другим лицам.
Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
7.4. В случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п. технологической необходимости использования имен и паролей гражданских служащих (исполнителей) в их отсутствие, гражданские служащие обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение руководителю структурного подразделения. Запечатанные конверты (пеналы) с паролями исполнителей должны храниться в недоступном месте у руководителя структурного подразделения.
7.5. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в течение 360 дней.
7.6. Внеплановая смена личного пароля или удаление учетной записи пользователя АС в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) должна производиться администратором безопасности (либо новым постоянным пользователем) немедленно после окончания последнего сеанса работы данного пользователя с системой на основании указания начальника отдела.
7.7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) администратора безопасности.
7.8. В случае компрометации личного пароля пользователя АС должны быть немедленно предприняты меры по восстановлению парольной защиты.
7.9. Контроль действий пользователей при работе с паролями, соблюдение порядка их смены, хранения и использования возлагается на администратора безопасности.
8. Правила обновления общесистемного и прикладного
программного обеспечения, технического обслуживания АС
8.1. Настоящие правила регламентируют обеспечение безопасности информации при проведении обновлении, модификации общесистемного и прикладного программного обеспечения, технического обслуживания и при возникновении нештатных ситуаций в работе АС.
8.2. Все изменения конфигураций технических и программных средств АС должны производиться только на основании заявок ответственного за эксплуатацию конкретного АС.
8.3. Право внесения изменений в конфигурацию аппаратно-программных средств защищенных АС предоставляется:
в отношении системных и прикладных программных средств – администратору безопасности по согласованию с органом по аттестации, проводившим аттестацию данной АС;
в отношении аппаратных средств, а также в отношении программно-аппаратных средств защиты – администратору безопасности по согласованию с органом по аттестации, проводившим аттестацию данной АС.
8.4. Изменение конфигурации аппаратно-программных средств АС кем-либо, кроме вышеперечисленных уполномоченных должностных лиц, запрещено.
8.5. Процедура внесения изменений в конфигурацию системных и прикладных программных средств АС инициируется заявкой ответственного за эксплуатацию АС.
8.6. В заявке могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств АС:
установка (развертывание) на компьютер(ы) программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи в данной АС;
обновление (замена) на компьютере(ах) программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);
удаление с компьютера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данном компьютере).
8.7. Также в заявке указывается условное наименование АС. Наименования задач указываются в соответствии с перечнем задач архива дистрибутивов установленного программного обеспечения, которые можно решать с использованием указанного компьютера.
8.8. Заявку ответственного за эксплуатацию АС передается администратору безопасности для непосредственного исполнения работ по внесению изменений в конфигурацию компьютера указанного в заявке АС.
8.9. Подготовка обновления, модификации общесистемного и прикладного программного обеспечения АС тестирование, стендовые испытания (при необходимости) и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного программного обеспечения, внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на компьютерах, (обновление) и удаление системных и прикладных программных средств производится администратором безопасности по согласованию с органом по аттестации, проводившим аттестацию данной АС. Работы производятся в присутствии ответственного за эксплуатацию данной АС.
8.10. Установка или обновление подсистем АС должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
8.11. Установка и обновление ПО (системного, тестового и т.п.) на компьютерах производится только с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т.п.), полученных установленным порядком, прикладного ПО – с эталонных копий программных средств, полученных из архива дистрибутивов установленного программного обеспечения.
8.12. Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность, а также отсутствие опасных функций.
8.13. После установки (обновления) ПО, администратор безопасности должен произвести требуемые настройки средств управления доступом к компонентам компьютера и проверить работоспособность ПО и правильность их настройки и произвести соответствующую запись в «Журнале учета нештатных ситуаций в АС, выполнения профилактических работ, установки и модификации программных средств на компьютерах АС», делает отметку о выполнении (на обратной стороне заявки).
8.14. Формат записей «Журнала учета нештатных ситуаций АС, выполнения профилактических работ, установки и модификации программных средств на компьютерах АС» устанавливается приказом министра.
8.15. При возникновении ситуаций, требующих передачи технических средств в сервисный центр с целью ремонта, ответственный за ее эксплуатацию докладывает об этом ответственному за защиту информации, который в свою очередь связывается с сотрудниками органа по аттестации и в дальнейшем действует согласно их инструкций. В данном случае администратор безопасности обязан предпринять необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Оригиналы заявок (документов), на основании которых производились изменения в составе программных средств компьютеров с данными о внесении изменений в состав программных средств, должны храниться вместе с техническим паспортом на АС и «Журналом учета нештатных ситуаций АС, выполнения профилактических работ, установки и модификации программных средств на компьютерах АС» у ответственного за защиту информации.
8.16. Копии заявок могут храниться у администратора безопасности:
для восстановления конфигурации АС после аварий;
для контроля правомерности установки на АС средств для решения соответствующих задач при разборе конфликтных ситуаций;
для проверки правильности установки и настройки средств защиты АС.
8.17. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью администратора безопасности и гражданского служащего ответственного за эксплуатацию данной АС.
8.18. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе на компьютерах конкретной АС, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать на данном компьютере.
8.19. Использование несколькими гражданскими служащими при работе в АС одного и того же имени пользователя («группового имени») запрещено.
8.20. Процедура регистрации (создания учетной записи) пользователя и предоставления ему (или изменения его) прав доступа к ресурсам АС инициируется заявкой ответственного за эксплуатацию данной АС.
В заявке указывается:
содержание запрашиваемых изменений (регистрация нового пользователя АС, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам АС ранее зарегистрированного пользователя);
должность (с полным наименованием структурного подразделения), фамилия, имя и отчество сотрудника;
имя пользователя (учетной записи) данного гражданского служащего;
полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач в АС).
8.21. Заявку рассматривает заместитель министра,ответственный за защиту информации, визирует её, утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного гражданского служащего к необходимым для решения им указанных в заявке задач ресурсам АС. Затем подписывает задание администратору безопасности на внесение необходимых изменений в списки пользователей соответствующих подсистем АС.
8.22. На основании задания, в соответствии с документацией на средства защиты от несанкционированного доступа, администратор безопасности производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора), заявленных прав доступа к ресурсам АС и другие необходимые действия, указанные в задании. Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в течение 360 дней.
8.23. После внесения изменений в списки пользователей администратор безопасности должен обеспечить настройки средств защиты соответствующие требованиям безопасности указанной АС. По окончании внесения изменений в списки пользователей в заявке делается запись о выполнении задания за подписью исполнителя – администратор безопасности.
8.24. Гражданскому служащему, зарегистрированному в качестве нового пользователя АС, сообщается имя соответствующего ему пользователя и может выдаваться персональный идентификатор (для работы в режиме усиленной аутентификации) и начальное (-ые) значение (-ия) пароля (-ей), которое (-ые) он обязан сменить при первом же входе в систему.
8.25. Исполненные заявка и задание хранятся у администратора безопасности.
Они могут впоследствии использоваться:
для восстановления полномочий пользователей после аварий АС;
для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам АС при разборе конфликтных ситуаций;
для проверки сотрудниками контролирующих органов правильности настройки средств разграничения доступа к ресурсам АС.
9. Порядок контроля соблюдения условий использования средств защиты информации, в том числе криптографических
9.1. Данный раздел Положения определяет порядок контроля соблюдения условий использования средств защиты информации (далее - СЗИ).
9.2. Технические средства защиты информации являются важным компонентом ОБ.
9.3. Порядок работы с техническими СЗИ определен в соответствующих руководствах по настройке и использованию СЗИ обязательных для исполнения, как гражданскими служащими обрабатывающими конфиденциальную информацию, так и администратором безопасности АС.
9.4. Право проверки соблюдения условий использования средств защиты информации имеют:
министр;
ответственный за защиту информации;
администратор безопасности.
8.5. Пользователю АС категорически запрещается:
обрабатывать конфиденциальную информацию с отключенными СЗИ;
менять настройки СЗИ.
9.6. Администратору безопасности запрещается менять настройки программно-аппаратных СЗИ предустановленные специалистом организации, имеющей лицензию на деятельность по технической защите информации, без согласования с этой организацией.
9.7. Если в ходе периодических, плановых или внезапных проверок АС выявлено нарушение требования п. 8.5. то вступает в силу п.п. 3.7., 3.8. данного Положения.
9.8. Криптографические средства защиты информации должны использоваться в соответствии с технической и эксплуатационной документацией на них, а также в соответствии с правилами пользования ими.
10. Порядок охраны и допуска посторонних лиц в защищаемые помещения
10.1. Настоящее Положение устанавливает порядок охраны (сдачи под охрану) защищаемых помещений АС.
10.2. Вскрытие и закрытие помещений осуществляется гражданскими служащими, работающими в данных помещениях.
Список гражданских служащих, имеющих право вскрывать (сдавать под охрану) и опечатывать помещения утверждается приказом министра и передаётся на пост охраны.
10.3. При отсутствии сотрудников, ответственных за вскрытие (сдачу под охрану) помещений, данные помещения могут быть вскрыты комиссией, созданной на основании приказа, о чем составляется акт.
10.4. При закрытии помещений и сдачей их под охрану гражданские служащие, ответственные за помещения проверяют закрытие окон, выключают освещение, бытовые приборы, оргтехнику и проверяют противопожарное состояние помещения, а документы и носители информации на которых содержится конфиденциальная информация убираются для хранения в опечатываемый сейф (металлический шкаф).
10.5. Помещение сдается под охрану следующим образом:
сдается помещение и опечатанный пенал с ключами, под роспись с указанием даты и времени сдачи под охрану.
10.6. Гражданских служащий, имеющий право на вскрытие помещений:
получает на посту охраны пенал с ключами от помещения под роспись в Журнале с указанием даты и времени;
проверяет целостность оттиска печати на пенале;
вскрывает помещение.
10.7. При обнаружении нарушений целостности оттисков печатей, повреждения запоров или наличия других признаков, указывающих на возможное проникновение в помещение посторонних лиц, помещение не вскрывается, а составляется акт, в присутствии охранника. О происшествии немедленно сообщается министру и(или) ответственному за защиту информации. Одновременно принимаются меры по охране места происшествия и до прибытия должностных лиц в помещение никто не допускается.
10.8. Министр, ответственный за защиту информации и администратор безопасности организуют проверку АС на предмет несанкционированного доступа к конфиденциальной информации и наличие документов и машинных носителей информации.
10.9. Помещения вскрываются ответственным за помещение, или министром, или ответственным за защиту информации в присутствии сотрудника охраны с составлением акта.
Если обнаружено вторжение в защищаемое помещение, далее процедура происходит в соответствии с п. 9.8 настоящего Положения.
10.10. При передаче дежурства, если помещение в течение дня не вскрывалось, а также в выходные и праздничные дни принимающая дежурство смена поста охраны проверяет целостность печатей на дверях и пенале с ключами с отражением в «Журнале приема и сдачи дежурства».
10.11. В соответствии с требованиями данного Положения при обработке защищаемой информации в АС исключается не контролируемое пребывание посторонних лиц в пределах границ контролируемой зоны АС, определенных соответствующим приказом.
11. Порядок стирания защищаемой информации и уничтожения носителей защищаемой информации
11.1. В обязательном порядке уничтожению подлежат поврежденные, выводимые из эксплуатации носители, содержащие защищаемую информацию, использование которых не предполагается в дальнейшем. Стиранию подлежат носители, содержащие защищаемую информацию, которые выводятся из эксплуатации в составе АС. Не допускается стирание неисправных носителей и передача их в сервисный центр для ремонта. Такие носители должны уничтожаться в соответствии с настоящим порядком.
11.2. Стирание должно производиться по технологии, предусмотренной для данного типа носителя, с применением сертифицированных средств гарантированного уничтожения информации (допускается задействовать механизмы затирания встроенные в сертифицированные средства защиты информации).
11.3. Уничтожение носителей производится путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления информации (перед уничтожением, если носитель исправен, должно быть произведено гарантирование стирание информации на носителе). Непосредственные действия по уничтожению конкретного типа носителя должны быть достаточны для исключения возможности восстановления информации.
11.4. Бумажные и прочие сгораемые носители (конверты с неиспользуемыми более паролями) уничтожают путем сжигания или с помощью любых бумагорезательных машин.
11.5. По факту уничтожения или стирания носителей составляется акт, в журналах учета делаются соответствующие записи.
11.6. Процедуры стирания и уничтожения осуществляются комиссией, в которую входят: ответственный за эксплуатацию АС, ответственный за защиту информации, администратор безопасности.
12. Заключительные положения
12.1. Требования настоящего Положения обязательны для всех гражданских служащих обрабатывающих конфиденциальную информацию.
12.2. Нарушение требований настоящего Положения влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Приложение 1
к Положению
ТИПОВАЯ ФОРМА
журнала поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним
№ п/п
Наименование средства защиты информации, эксплуатационной и технической документации к ним, ключевых документов
Регистрационные номера СЗИ, эксплуатационной и технической документации к ним
О т м е т к а о получении
О т м е т к а о выдаче
От кого получены
Дата и номер сопроводи-тельного письма
Ф.И.О. пользователя
Дата и расписка в получении
1
1
3
4
5
6
7
О т м е т к а о подключении (установке) СЗИ
О т м е т к а об изъятии СЗИ из аппаратных средств
Примечание
Ф.И.О. пользователя, производившего подключение (установку)
Дата подключения (установки) и подписи лиц, произведших подключение (установку)
Номера аппаратных средств, в которые установлены или к кото-рым подклю-чены СЗИ
Дата изъятия (уничто-жения)
Ф.И.О. пользователя СЗИ, производившего изъятие (уничтожение)
Номер акта или расписка об уничтожении
8
9
10
11
11
13
14
1
Приложение 2
к Положению
ТИПОВАЯ ФОРМА
журнала учета машинных носителей информации
№ п/п
Регистрационный (учетный) номер носителя
Вид носителя
Тип носителя и его емкость
Дата поступления
1
1
3
4
5
Расписка в получении (ФИО, подпись, дата)
Расписка в обратном приеме (ФИО, подпись, дата)
Место хранения
Дата и номер акта об уничтожении
Примечание
6
7
8
9
10
1
Приложение 3
к Положению
ТИПОВАЯ ФОРМА
журнала учета хранилищ
№ п/п
Регистрационный (учетный) номер хранилища
Вид хранилища
Дата постановки на учет
Фамилия и подпись принявшего (ответственного), дата
1
1
3
4
5
Место расположения (номер помещения)
Дата и номер акта о выводе из эксплуатации
Примечание
6
7
8
Приложение № 6
к приказу министра труда и
занятости населения
Оренбургской области
от 27.02.2013 № 45
ИНСТРУКЦИЯ
пользователя автоматизированной системы
К работе на рабочей станции (РС) автоматизированной системы допускаются только гражданские служащие, перечень которых определен приказом министра труда и занятости населения Оренбургской области от 19.02.2013 №38 « О допуске сотрудников министерства труда и занятости населения Оренбургской области к обработке персональных данных» (далее «пользователи»).
Общие обязанности пользователей по обеспечению информационной безопасности при работе в АС
Каждый пользователь, участвующий в рамках своих функциональных обязанностей в процессе автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным (АС), несет персональную ответственность за свои действия и обязан:
- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;
- знать и строго выполнять правила работы со средствами защиты информации, установленными на объекте информатизации;
- выполнять требования «Инструкции по организации антивирусной защиты в автоматизированной системе» в части, касающейся действий пользователей АС;
- хранить в тайне свой пароль (пароли) и с установленной периодичностью менять его;
- хранить в соответствии с установленным порядком свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);
- немедленно вызывать Администратора безопасности АС и ставить в известность ответственного по защите информации в случаях обнаружения:
- нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах ПК или иных фактов совершения в отсутствие пользователя попыток несанкционированного доступа (НСД) к защищенной АС;
- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств РС;
- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АС, выхода из строя или неустойчивого функционирования узлов РС или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;
- некорректного функционирования установленных на ПК технических средств защиты;
- непредусмотренных отводов кабелей от ПК и подключенных к нему устройств.
Подготовка к работе с конфиденциальной информацией.
Перед началом работы с конфиденциальной информацией Пользователю необходимо:
- исключить несанкционированное пребывание в помещении объекта посторонних лиц;
- закрыть окна непрозрачными шторами или жалюзи;
- получить в установленном порядке необходимые учтенные документы и/или сменный носитель информации.
Работа с конфиденциальной информацией.
В процессе работы с конфиденциальной информацией Пользователю необходимо:
- обрабатывать информацию в соответствии с технологическим процессом обработки информации на объекте. При этом каждый Пользователь имеет права доступа к обрабатываемой в системе информации и настройкам системы в соответствии с правами доступа и настройками, установленными для него Администратором безопасности информации;
- результаты работы (готовые данные) записываются только на учтенный жесткий диск ПЭВМ в папку пользователя. При возникновении необходимости записи учтенной информации на сменный носитель обратиться к администратору безопасности АС.
- постановка на учет распечатанных конфиденциальных документов производится в установленном порядке.
Пользователям АС категорически запрещается:
- использовать компоненты программного и аппаратного обеспечения АС в неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства;
- осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;
- записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных носителях информации (жестких дисках, гибких магнитных дисках и т.п.);
- оставлять без присмотра включенную ПЭВМ;
- оставлять без личного присмотра на рабочем месте или где бы то ни было машинные носители, распечатки и другие носители, содержащие защищаемую информацию;
- проносить на территорию учреждения и в подразделения регистрирующую аппаратуру, множительную и вычислительную технику личного пользования;
- оставлять без присмотра документы, содержащие персональные данные;
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок – ставить в известность Администратора безопасности информации и ответственного по защите информации в АС.
Выдержки из статей Уголовного кодекса РФ
(в памятку пользователей АС)
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сетей, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.
Статья 293. Халатность
Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок от шести месяцев до одного года, либо арестом на срок до трех месяцев.
Приложение № 7
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ИНСТРУКЦИЯ
администратора безопасности автоматизированных систем
1. Общие положения
1.1. Настоящая инструкция является руководящим документом для администратора безопасности (уполномоченного по безопасности) автоматизированной системы объекта информатизации (далее Администратор). Требования настоящей инструкции должны выполняться во всех режимах функционирования автоматизированной системы (АС).
1.2. Нарушение установленных требований и норм по защите информации по степени важности делятся на три категории:
- первая – невыполнение требований и норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам или несанкционированного доступа к ней (НСД);
- вторая – невыполнение требований и норм по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам или НСД;
- третья – невыполнение других требований по защите информации.
При выявлении нарушения первой категории администратор обязан немедленно прекратить работы на АС и подать служебную записку руководству, в которой изложить факт нарушения, предпринятые и/или рекомендуемые им действия.
При выявлении нарушений второй и третьей категорий администратор обязан подать служебную записку руководству, в которой изложить факт нарушения, предпринятые и/или рекомендуемые им действия.
1.3. Помимо настоящей инструкции в своей повседневной деятельности администратор руководствуется другими документами, регламентирующими защиту конфиденциальной информации от утечки по техническим каналам и НСД, и эксплуатационной документацией на установленные на объекте информатизации системы защиты от несанкционированного доступа к информации (СЗИ НСД) и от утечки информации по техническим каналам.
2. Общие обязанности Администратора.
2.1. Администратор отвечает за:
- соблюдение требований по противодействию утечке информации по техническим каналам;
- обеспечение пользователей АС параметрами опознания;
- обеспечение установленных правил разграничения доступа пользователей к защищаемым информационным ресурсам АС;
- анализ работоспособности СЗИ НСД;
- контроль за соблюдением пользователями установленных правил работы с конфиденциальной информацией;
- обеспечение неизменности системного и прикладного программного обеспечения АС, в том числе и программного обеспечения СЗИ НСД.
2.2. Администратор обязан:
- знать требования документов, регламентирующих защиту конфиденциальной информации от утечки по техническим каналам и НСД, выявлять возможные каналы утечки информации и способы совершения НСД и готовить предложения по их устранению;
- не допускать использования, хранения и размножения на АРМ АС программных продуктов и носителей информации, непосредственно не связанных со служебной деятельностью на данном рабочем месте;
- разработать и утвердить в установленном порядке инструкцию по обеспечению безопасности информации в случаях возникновения чрезвычайных обстоятельств на объекте информатизации, предусматривающую систему мер и действий при стихийном бедствии, пожаре, аварии систем жизнеобеспечения объекта, заражении АРМ компьютерными вирусами, фактов НСД к информации, фактов компрометации параметров идентификации пользователя и т.п.;
- не допускать к работе на АРМ АС посторонних лиц;
- следить за сохранностью голографических наклеек на корпусах ПЭВМ, целостностью печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных ПЭВМ и других устройствах;
- организовывать и координировать работы по защите информации;
- участвовать в планировании эксплуатации АРМ при изменении условий его эксплуатации, контролируя выполнение требований Аттестата соответствия объекта информатизации;
- участвовать в разработке организационных мероприятий по обеспечению защиты информации в подразделении при обработке конфиденциальной информации;
- знать уровень конфиденциальности обрабатываемой информации, следить за тем, чтобы обработка информации производилась только с использованием учтенных съемных и несъемных носителей информации, причем уровень конфиденциальности последних должен быть не ниже уровня конфиденциальности обрабатываемой информации;
- контролировать соблюдение требований по учету, хранению и пересылке носителей конфиденциальной информации;
- вести документацию, предусмотренную документами, регламентирующими защиту конфиденциальной информации от утечки по техническим каналам и НСД;
- при выявлении нарушений действовать в соответствии с п.1.2 настоящей Инструкции;
- знать состав основных и вспомогательных технических систем и средств (далее - ОТСС и ВТСС), установленных и смонтированных в автоматизированной системе (далее - АС), перечень используемого программного обеспечения (далее - ПО) в АС;
- производить необходимые настройки подсистемы управления доступом установленных в АС средств защиты информации от несанкционированного доступа (далее – СЗИ от НСД) и сопровождать их в процессе эксплуатации, при этом:
реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.);
вводить описания пользователей АС в информационную базу СЗИ от НСД;
своевременно удалять описания пользователей из базы данных СЗИ от НСД при изменении списка допущенных к работе лиц;
- контролировать доступ лиц в помещение в соответствии со списком сотрудников, допущенных к работе в АС;
- проводить инструктаж гражданских служащих - пользователей ПЭВМ по правилам работы с используемыми техническими средствами и системами защиты информации;
- контролировать своевременное (не реже чем один раз в квартал) проведение смены паролей для доступа пользователей к ПЭВМ;
- обеспечивать постоянный контроль выполнения гражданскими служащими установленного комплекса мероприятий по обеспечению безопасности информации в АС;
- осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных;
- настраивать и сопровождать подсистемы регистрации и учета действий пользователей при работе на ПЭВМ;
- вводить в базу данных СЗИ от НСД описания событий, подлежащих регистрации в системном журнале;
- проводить анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам не реже одного раза в 10 дней;
- организовывать печать файлов пользователей на принтере и осуществлять контроль соблюдения установленных правил и параметров регистрации и учета бумажных носителей информации. Сопровождать подсистемы обеспечения целостности информации на ПЭВМ в АС;
- периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;
- восстанавливать программную среду, программные средства и настройки СЗИ от НСД при сбоях;
- вести две копии программных средств СЗИ от НСД и контролировать их работоспособность;
- контролировать отсутствие на магнитных носителях остаточной информации по окончании работы пользователей;
- периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядка и правил проведения антивирусного тестирования;
- проводить работу по выявлению возможных каналов вмешательства в процесс функционирования АС и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники;
- контролировать соответствие документально утвержденного состава аппаратной и программной части АС реальным конфигурациям АС, вести учет изменений аппаратно-программной конфигурации;
- обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания АС и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);
- присутствовать (участвовать) при работах по внесению изменений в аппаратно-программную конфигурацию АС;
- вести Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств ПЭВМ;
- поддерживать установленный порядок проведения антивирусного контроля согласно требований Инструкции по антивирусной защите, в случае отказа средств и систем защиты информации принимать меры по их восстановлению;
- докладывать специалисту по защите информации, начальнику отдела о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;
- вести документацию на АС в соответствии с требованиями нормативных документов.
- постоянно повышать свою квалификацию.
3. Обязанности Администратора по предотвращению утечки
информации по техническим каналам
3.1. Администратор обязан контролировать выполнение требований Аттестата соответствия объекта информатизации, соответствие состава и расположения ОТСС и ВТСС Техническому паспорту объекта информатизации и не допускать их нарушения. Сопровождать подсистему защиты информации от утечки за счет побочных электромагнитных излучений и наводок, контролировать соблюдение требований по размещению и использованию технических средств АС
3.2. Администратор обязан не допускать:
- внесение несанкционированных изменений в состав и размещение ОТСС и ВТСС, а также в схемы их соединений;
- изменение состава, размещения и изменения уровней излучения средств активной защиты информации, если они установлены в помещениях объекта;
- внесение несанкционированных изменений в системы электроснабжения, заземления и других проводных коммуникаций объекта;
- обработку конфиденциальной информации при открытых (снятых) кожухах (крышках) ОТСС, а также при выключенных средствах активной защиты информации.
3.3. Администратор обязан периодически (не реже одного раза в месяц) осуществляет контроль работоспособности системы активной защиты согласно эксплуатационной документации на систему.
4. Права Администратора безопасности
4.1. Администратор безопасности имеет право:
- требовать от гражданских служащих - пользователей АС соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в АС;
- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов АС;
- требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
- участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.
Приложение № 8
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ИНСТРУКЦИЯ
по парольной защите в автоматизированных системах
1. Общие положения
Настоящая инструкция является руководящим документом для пользователей автоматизированной системы объекта информатизации. Требования настоящей инструкции должны выполняться во всех режимах функционирования автоматизированной системы (АС).
Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей в автоматизированных системах.
1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль за действиями пользователей при работе с паролями возлагается на администратора безопасности информации.
2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:
- обеспечение конфиденциальности пароля;
- минимальная длина пароля должна быть не менее 9 символов;
- пароль не должен быть подвержен легкому угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля (имен, номеров телефонов, дат рождения и т.д.);
- пароль не должен содержать последовательных идентичных символов и состоять из полностью числовых или полностью буквенных групп;
- при смене пароля новое значение должно отличаться от предыдущего, должно быть исключено повторное или цикличное использование старых паролей.
3. В случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.при наличии технологической необходимости использования имен и паролей некоторых гражданских служащих (исполнителей) в их отсутствие, такие гражданские служащие обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение администратору безопасности информации или ответственному по защите информации в АС. Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе администратора безопасности.
4. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в год.
5. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться администратором безопасности информации немедленно после окончания последнего сеанса работы данного пользователя с системой на основании письменного указания руководителя организации.
6. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и другие обстоятельства) администратора безопасности информации. А также при наличии любого признака возможной компрометации системы или пароля.
7. В случае компрометации[1] личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п.5 или п.6 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
8. Хранение гражданским служащим (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе администратора безопасности информации или руководителя подразделения, эксплуатирующего АС.
9. Должно быть исключено коллективное использование индивидуальных паролей.
10. Запрещается включать пароли в автоматизированный процесс регистрации (например, с использованием хранимых макрокоманд или функциональных клавиш).
11. Контроль за действиями пользователей системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора безопасности информации.
2. Контроль в отношении паролей
Предоставление паролей должно контролироваться посредством формализованного процесса управления, который должен предусматривать:
- подписание пользователями документа о необходимости соблюдения полной конфиденциальности личных паролей, а в отношении групповых паролей – соблюдения конфиденциальности в пределах рабочей группы (это может быть включено в условия служебного контракта);
- в случаях, когда от пользователей требуется управление собственными паролями, необходимо обеспечивать предоставление безопасного первоначального временного пароля, который пользователя принуждают сменить при первой регистрации в системе. Временные пароли используются в тех случаях, когда пользователи забывают свой личный пароль, и должны выдаваться только после идентификации пользователя;
- обеспечение безопасного способа выдачи временных паролей пользователям. Следует избегать использования незащищенных (открытый текст) сообщений электронной почты или сообщений по электронной почте от третьей стороны. Пользователям необходимо подтверждать получение паролей.
Пароли никогда не следует хранить в компьютерной системе в незащищенной форме.
Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
Приложение № 9
к приказу министра труда и занятости населения Оренбургской области
от 27.02.2013 № 45
ИНСТРУКЦИЯ
по организации антивирусной защиты автоматизированной
системы объекта вычислительной техники
1. Общие требования
1.1. Настоящая инструкция определяет требования к организации защиты автоматизированной системы объекта информатизации (АС) от разрушающего воздействия компьютерных вирусов и устанавливает ответственность сотрудников, эксплуатирующих и сопровождающих АС, за их выполнение. К использованию в АС допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств.
1.2. Установка и настройка средств антивирусного контроля на компьютерах (серверах) АС осуществляется администратором безопасности АС или специально назначенным лицом в соответствии с руководствами по применению конкретных антивирусных средств.
1.3. Данные требования не распространяются на рабочие станции с установленными операционными системами, для которых отсутствуют какие-либо средства антивирусного контроля.
Применение средств антивирусного контроля
2.1. Ежедневно в начале работы при загрузке компьютера в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов рабочих станций.
Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях. Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема на компьютере. Возможно применение другого способа антивирусного контроля входящей информации, обеспечивающего аналогичный уровень эффективности контроля. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
2.2. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
2.3. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети), администратором безопасности АС должна быть выполнена антивирусная проверка на защищаемых серверах и рабочих станциях.
2.4. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) необходимо самостоятельно или вместе с администратором безопасности информации АС провести внеочередной антивирусный контроль своей рабочей станции.
В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователи обязаны:
- приостановить работу в АС;
- немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора безопасности и владельца зараженных файлов;
- совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
- провести лечение или уничтожение зараженных файлов;
2.5. Регулярно обновлять информационные базы антивирусных программ
Ответственность
3.1. Ответственность за организацию антивирусного контроля в соответствии с требованиями настоящей Инструкции возлагается на ответственного по защите информации министерства труда и занятости населения Оренбургской области.
3.2. Ответственность за проведение мероприятий антивирусного контроля и соблюдение требований настоящей Инструкции возлагается на администратора безопасности и всех сотрудников, являющихся пользователями АС.
3.3. Периодический контроль за состоянием антивирусной защиты в АС, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции осуществляется ответственным по защите информации министерства.
Приложение № 10
к приказу министра труда и занятости населения Оренбургской области
от 27.02.2013 № 45
ИНСТРУКЦИЯ
по организации и обеспечению функционирования шифровальных
(криптографических) средств, предназначенных для защиты конфиденциальной информации, при их обработке в информационных системах
персональных данных
Основные термины и определения
Блокирование конфиденциальной информации - временное прекращение сбора, систематизации, накопления, использования, распространения конфиденциальной информации, в том числе ее передачи.
Доступ к информации - возможность получения информации и ее использования.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система конфиденциальной информации - информационная система, представляющая собой совокупность конфиденциальной информации, содержащейся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку такой конфиденциальной информации с использованием средств автоматизации или без использования таких средств.
Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств.
Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
Конфиденциальность - обязательное для соблюдения оператором или иным получившим доступ к конфиденциальной информации лицом требование не допускать ее распространения без согласия субъекта конфиденциальной информации или наличия иного законного основания.
Криптосредство - шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель угроз - перечень возможных угроз.
Обработка конфиденциальной информации - действия (операции) с конфиденциальной информацией, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение конфиденциальной информации.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта конфиденциальной информации или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку конфиденциальной информации, а также определяющие цели и содержание обработки конфиденциальной информации.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту конфиденциальной информации), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Пользователь - лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.
Распространение конфиденциальной информации - действия, направленные на передачу конфиденциальной информации определенному кругу лиц (передача конфиденциальной информации) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование конфиденциальной информации в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к конфиденциальной информации каким-либо иным способом.
Режимные помещения - помещения, где установлены криптосредства.
Средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Шифровальные (криптографические) средства - криптосредства:
а) средства шифрования –аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
б) средства имитозащиты – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
в) средства электронной цифровой подписи – аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
г) средства кодирования – средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций.
1. Общие положения
1. Настоящая инструкция определяет порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФСБ России средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите конфиденциальной информации, доступ к которой ограничивается в соответствии с законодательством Российской Федерации или по решению обладателя конфиденциальной информации (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ).
2. Организация и обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации
2.1. Безопасность обработки конфиденциальной информации с использованием криптосредств организует и обеспечивает администратор безопасности, а также лица, которым на основании договора поручается оказание услуг по организации и обеспечению безопасности обработки в информационной системе конфиденциальной информации с использованием криптосредств.
Обеспечение безопасности конфиденциальной информации с использованием криптосредств должно осуществляться в соответствии с:
1) Приказом ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005);
2) Постановление Правительства РФ от 16 апреля 2012 г. № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»;
3) Методическими рекомендациями по обеспечению с помощью криптосредств безопасности конфиденциальной информации при их обработке в информационных системах конфиденциальной информации с использованием средств автоматизации (№ 149/54-144, 2008 г., ФСБ России),
4) Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности конфиденциальной информации при их обработке в информационных системах конфиденциальной информации (№ 149/6/6-622, 2008 г., ФСБ России).
2.2. Пользователи криптосредств допускаются к работе с ними по решению, утверждаемому оператором. При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, эксплуатационной и технической документации, а также за порученные участки работы.
2.3. Пользователи криптосредств обязаны:
- не разглашать информацию, к которой они допущены, в том числе сведения о криптосредствах и других мерах защиты;
- соблюдать Инструкцию по обеспечению безопасности конфиденциальной информации, требования к обеспечению безопасности криптосредств;
- сообщать руководителю подразделения о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах;
- немедленно уведомлять руководителя подразделения о фактах утраты или недостачи криптосредств, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемой конфиденциальной информации;
- сдать криптосредства, эксплуатационную и техническую документацию к ним в соответствии с порядком, установленным настоящей Инструкцией, при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств.
2.4. Ответственные пользователи криптосредств должны знать и выполнять соответствующие правила работы (Приложение 1).
2.5. При определении действий пользователя криптосредств необходимо учитывать, что безопасность обработки с использованием криптосредств конфиденциальной информации обеспечивается:
- соблюдением пользователями криптосредств конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых криптосредств;
- точным выполнением пользователями криптосредств требований к обеспечению безопасности конфиденциальной информации;
- надежным хранением эксплуатационной и технической документации к криптосредствам, носителей информации ограниченного распространения;
- обеспечением принятых в соответствии с требованиями к материальным носителям конфиденциальной информации и технологиям хранения таких данных вне информационных систем мер;
- своевременным выявлением попыток посторонних лиц получить сведения о защищаемой конфиденциальной информации, об используемых криптосредствах;
- немедленным принятием мер по предупреждению разглашения защищаемой конфиденциальной информации, а также возможной их утечки при выявлении фактов утраты или недостачи криптосредств, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п.
2.6. Лица, использующие при работе криптосредства, должны быть ознакомлены с настоящей инструкцией и другими документами, регламентирующими организацию и обеспечение безопасности конфиденциальной информации при их обработке в информационных системах, под расписку и несут ответственность за несоблюдение ими требований указанных документов в соответствии с законодательством Российской Федерации.
2.7. Текущий контроль за организацией и обеспечением функционирования криптосредств возлагается на ответственного пользователя криптосредств в пределах его служебных полномочий.
2.8. Контроль за организацией, обеспечением функционирования и безопасности криптосредств, предназначенных для защиты конфиденциальной информации при их обработке в информационных системах, осуществляется в соответствии с действующим законодательством Российской Федерации.
3. Порядок обращения с СКЗИ
3.1. При необходимости передачи по техническим средствам связи служебных сообщений ограниченного доступа, касающихся организации и обеспечения функционирования криптосредств, указанные сообщения необходимо передавать только с использованием криптосредств.
3.2. Криптосредства, используемые для обеспечения безопасности конфиденциальной информации при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров.
3.3. Используемые или хранимые криптосредства, эксплуатационная и техническая документация к ним подлежат поэкземплярному учету.
3.4. Все полученные экземпляры криптосредств, эксплуатационной и технической документации к ним должны быть выданы пользователям криптосредств, несущим персональную ответственность за их сохранность под расписку в соответствующем журнале поэкземплярного учета.
Ответственный пользователь криптосредств заводит и ведет на каждого пользователя криптосредств лицевой счет, в котором регистрирует числящиеся за ним криптосредства, эксплуатационную и техническую документацию к ним.
3.5. Передача криптосредств, эксплуатационной и технической документации к ним допускается только между пользователями криптосредств и (или) ответственным пользователем криптосредств под расписку в соответствующих журналах поэкземплярного учета. Такая передача между пользователями криптосредств должна быть санкционирована ответственным пользователем криптосредств.
3.6. Пользователи криптосредств хранят инсталлирующие криптосредства носители, эксплуатационную и техническую документацию к криптосредствам в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
3.7. Криптосредства доставляются ответственным пользователем криптосредств и сотрудниками при соблюдении мер, исключающих бесконтрольный доступ к криптосредствам и ключевым документам во время доставки.
Эксплуатационная и техническая документация к криптосредствам может пересылаться заказными или ценными почтовыми отправлениями.
3.8. Для пересылки криптосредств, эксплуатационной и технической документации к ним следует подготовить сопроводительное письмо, в котором необходимо указать: что посылается и в каком количестве, учетные номера изделий или документов, а также, при необходимости, назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок.
3.9. Полученные упаковки вскрывает только пользователь криптосредств, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю.
3.10. Получение криптосредств, эксплуатационной и технической документации к ним должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме. Отправитель обязан контролировать доставку своих отправлений адресатам. Если от адресата своевременно не поступило соответствующего подтверждения, то отправитель должен направить ему запрос и принять меры к уточнению местонахождения отправлений.
3.11. Эксплуатационная и техническая документация к криптосредствам уничтожается путем сжигания или с помощью любых бумагорезательных машин.
3.12. Криптосредства уничтожают (утилизируют) по решению оператора, владеющего криптосредствами.
3.13. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций криптосредств, а также совместно работающее с криптосредствами оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.), разрешается использовать после уничтожения криптосредств без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).
3.14. Уничтожение по акту производит комиссия в составе не менее двух человек из числа лиц, допущенных к пользованию криптосредств. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых криптосредств, инсталлирующих криптосредства носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в соответствующих журналах поэкземплярного учета.
3.15. В случае сдачи СКЗИ в ремонт вся находящаяся на них информация, программное обеспечение должны быть надежно удалены (стёрты).
4. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ
4.1. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства, должны обеспечивать сохранность конфиденциальной информации, криптосредств.
При оборудовании помещений должны выполняться требования к размещению, монтажу криптосредств, а также другого оборудования, функционирующего с криптосредствами.
Перечисленные в настоящем документе требования к помещениям могут не предъявляться, если это предусмотрено правилами пользования криптосредствами, согласованными с ФСБ России.
4.2. Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
4.3. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции.
4.4. Двери помещений должны быть постоянно закрыты и могут открываться только для санкционированного прохода гражданских служащих и посетителей.
4.5. Для предотвращения просмотра извне помещений их окна должны быть оборудованы шторами (жалюзи).
4.6. Помещения, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным по организации. Исправность сигнализации периодически необходимо проверять ответственному пользователю криптосредств совместно с представителем службы охраны или дежурным по министерству с отметкой в соответствующих журналах.
4.7. Для хранения эксплуатационной и технической документации, инсталлирующих криптосредства носителей должно быть предусмотрено необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин.
4.8. Размещение и монтаж криптосредств, а также другого оборудования, функционирующего с криптосредствами, в помещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам.
Приложение 1
ПРАВИЛА РАБОТЫ
ответственного пользователя криптографических средств
защиты информации
Настоящие Правила определяют порядок организации работы и обеспечения функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну (далее – криптосредство), ответственного пользователя СКЗИ в информационных системах конфиденциальной информации.
Обеспечение функционирования и безопасности криптосредств возлагается на ответственного пользователя криптосредств, имеющего необходимый уровень квалификации, назначаемого приказом оператора (далее – ответственный пользователь криптосредств).
Допускается возложение функций ответственного пользователя криптосредств на:
- одного из пользователей криптосредств;
- на структурное подразделение или должностное лицо (работника), ответственное за обеспечение безопасности персональных данных, назначаемое оператором;
- на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства.
1. При разработке и реализации мероприятий по организации и обеспечению безопасности конфиденциальной информации при ее обработке в информационной системе ответственный пользователь криптосредств осуществляет:
- разработку для каждой информационной системы модели угроз безопасности конфиденциальной информации при ее обработке;
- разработку на основе модели угроз системы безопасности конфиденциальной информации;
- определение необходимости использования криптосредств для обеспечения безопасности конфиденциальной информации и, в случае положительного решения, определение на основе модели угроз цели использования криптосредств для защиты конфиденциальной информации от неправомерного или случайного доступа к ней, уничтожения, изменения, блокирования, копирования, распространения конфиденциальной информации и (или) иных неправомерных действий при ее обработке;
- установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией к этим средствам;
- проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации;
- обучение лиц, использующих криптосредства, работе с ними;
- поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей конфиденциальной информации;
- учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности конфиденциальной информации в информационной системе (пользователи криптосредств);
- контроль за соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;
- разбирательство и составление заключений по фактам нарушения условий хранения носителей конфиденциальной информации, использования криптосредств, которые могут привести к нарушению конфиденциальности информации или другим нарушениям, приводящим к снижению уровня защищенности конфиденциальной информации, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- разработку организационных и технических мер, которые необходимо осуществлять при обеспечении безопасности конфиденциальной информации с использованием криптосредств при ее обработке в информационных системах.
2. При обращении с криптосредствами ответственный пользователь криптосредств:
- обеспечивает поэкземплярный учет криптосредств с использованием индексов или условных наименований и регистрационных номеров;
- выдает экземпляры криптосредств, эксплуатационной и технической документации к ним под расписку в соответствующем журнале поэкземплярного учета пользователям криптосредств, несущим персональную ответственность за их сохранность;
- санкционирует передачу криптосредств между пользователями;
- доставляет криптосредства при соблюдении мер, исключающих бесконтрольный доступ к криптосредствам во время доставки;
- подтверждает получение криптосредств, эксплуатационной и технической документации к ним отправителем, в соответствии с порядком, указанным в сопроводительном письме;
- обеспечивает соблюдение требований к размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены криптосредства.
Лица, использующие при работе криптосредства, должны быть ознакомлены с настоящими Правилами и другими документами, регламентирующими организацию и обеспечение безопасности конфиденциальной информации при ее обработке в информационных системах, под расписку и несут ответственность за несоблюдение ими требований указанных документов в соответствии с законодательством Российской Федерации.
Приложение № 11
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ПОРЯДОК ДОСТУПА
в помещения, в которых ведется обработка персональных данных
1. Физическая защита
1.1. Охраняемые зоны
С целью предотвращения неавторизованного доступа, повреждения и воздействия в отношении помещений и информации министерства труда и занятости населения Оренбургской области (далее - министерство) приказом министра труда и занятости населения определена контролируемая зона министерства.
Средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия.
1.2. Контроль доступа в охраняемые зоны.
Зоны информационной безопасности необходимо защищать с помощью соответствующих мер контроля входа для обеспечения уверенности в том, что доступ позволен только авторизованному персоналу, приказом министра утверждается список лиц, которым разрешен доступ в выделенные помещения.
Устанавливаются следующие меры контроля:
доступ к важной информации и средствам ее обработки должен контролироваться и предоставляться только авторизованным лицам;
права доступа гражданских служащих в зоны информационной безопасности следует регулярно анализировать и пересматривать;
уборка помещений осуществляется в присутствии гражданского служащего соответствующего подразделения.
1.3. Безопасность зданий и оборудования.
Зона информационной безопасности защищается путем закрытия на замок дверей входной группы и помещений внутри физического периметра безопасности, которые могут быть заперты и иметь запираемые сейфы.
Должны выполняться следующие меры:
основное оборудование должно быть расположено в местах с ограничением доступа посторонних лиц;
оборудование (в том числе копировальные устройства и факсы), должны быть расположены соответствующим образом в пределах зоны безопасности во избежание доступа, который мог бы скомпрометировать информацию;
двери и окна необходимо запирать, когда в помещениях нет гражданских служащих;
служебные помещения должны быть оборудованы техническими средствами сигнализации.
1.4. Выполнение работ в охраняемых зонах
Для повышения степени защиты зон информационной безопасности устанавливаются дополнительные меры по управлению информационной безопасностью. Они включают мероприятия в отношении гражданских служащих или представителей третьих сторон, работающих в зоне безопасности и состоять в следующем:
о существовании зоны информационной безопасности и проводимых в ней работах должны быть осведомлены только лица, которым это необходимо в силу служебной необходимости;
из соображений безопасности и предотвращения возможности злонамеренных действий в охраняемых зонах необходимо избегать случаев работы без надлежащего контроля со стороны уполномоченных должностных лиц;
пустующие зоны безопасности должны быть физически закрыты, и их состояние необходимо периодически проверять;
использование фото, видео, аудио или другого записывающего оборудования должно быть разрешено только при получении специального разрешения.
1.5. Расположение и защита оборудования
Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от воздействий окружающей среды и возможности неавторизованного доступа. Устанавливаются следующие мероприятия по управлению информационной безопасностью:
а) оборудование необходимо размещать таким образом, чтобы свести до минимума излишний доступ в места его расположения;
б) средства обработки и хранения конфиденциальной информации следует размещать так, чтобы уменьшить риск несанкционированного наблюдения за их функционированием;
в) отдельные элементы оборудования, требующие специальной защиты, необходимо изолировать, чтобы повысить общий уровень необходимой защиты;
г) меры по управлению информационной безопасностью должны свести к минимуму риск потенциальных угроз, включая: воровство; пожар; взрыв; задымление; затопление (или перебои в подаче воды); пыль; вибрацию; химические эффекты; помехи в электроснабжении; электромагнитное излучение.
2. Требования по защите информации, циркулирующей в защищаемых помещениях
2.1. В министерстве приказом министра должен быть определен перечень защищаемых помещений и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на защищаемые помещения.
2.2. Защищаемые помещения должны размещаться в пределах контролируемой зоны министерства. При этом рекомендуется размещать их на максимальном удалении от ее границ; ограждающие конструкции защищаемого помещения (стены, полы, потолки) не должны являться смежными с помещениями других организаций. Окна защищаемого помещения должны закрываться шторами (жалюзи).
2.3. Защищаемые помещения оснащаются сертифицированными по требованиям безопасности информации основными техническими средствами и системами (ОТСС) и вспомогательными техническими средствами и системами (ВТСС) или соответствующими средствами защиты. Эксплуатация ОТСС, ВТСС и средств защиты должна осуществляться в соответствии с эксплуатационной документацией на них.
2.4. Специальная проверка защищаемого помещения и установленного в нем оборудования с целью выявления, возможно, внедренных в них электронных устройств съема информации (закладочных устройств) проводится, при необходимости, по решению министра.
2.5. Во время проведения конфиденциальных мероприятий запрещается использование в защищаемых помещениях радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, не защищенных переносных магнитофонов и других средств аудио- и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также телефонных аппаратов с автоматическим определителем номера их следует отключать от сети на время проведения этих мероприятий или использовать соответствующие средства защиты.
2.6. При эксплуатации защищаемого помещения необходимо предусматривать организационные меры, направленные на исключение несанкционированного доступа в помещение:
двери защищаемого помещения в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
выдача ключей от защищаемого помещения должна производиться лицам, работающим в нем или ответственным за это помещение.
Приложение № 12
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Организация контроля за состоянием защиты конфиденциальной информации
1.1. Понятие и основные объекты контроля.
Контроль — целенаправленная деятельность руководства и должностных лиц министерства труда и занятости населения (далее - министерство) по проверке состояния защиты конфиденциальной информации в ходе его повседневной деятельности.
Контроль за состоянием защиты конфиденциальной информации в министерстве организуется и проводится в целях определения истинного состояния дел в области защиты информации, оценки эффективности принимаемых для исключения утечки информации мер, выявления возможных каналов утечки сведений, выработки предложений и рекомендаций руководству министерства по совершенствованию комплексной системы защиты информации.
Организация контроля возлагается на ответственного за организацию защиты персональных данных в министерстве.
Объекты контроля за состоянием защиты информации:
структурные подразделения министерства, привлекаемые к выполнению работ конфиденциального характера;
гражданские служащие, допущенные в установленном порядке к конфиденциальной информации, и ее носителям, и выполняющие работы с их использованием;
служебные помещения, в которых проводятся работы с носителями конфиденциальной информации (документами, материалами, изделиями);
места непосредственного хранения носителей конфиденциальной информации (хранилища, сейфы, шкафы);
непосредственно носители конфиденциальной информации (документы, материалы, изделия, магнитные носители).
Мероприятия по контролю проводятся на основании приказа министра труда и занятости населения Оренбургской области (далее - министерство).
2. Основные задачи контроля
Основные задачи контроля за состоянием защиты информации:
сбор, обобщение и анализ информации о состоянии системы защиты конфиденциальной информации предприятия;
анализ состояния дел в области защиты информации в структурных подразделениях;
проверка наличия носителей конфиденциальной информации;
проверка соблюдения всеми гражданскими служащими норм и правил, устанавливающих порядок обращения с носителями конфиденциальной информации;
выявление угроз защите конфиденциальной информации и выработка мер по их нейтрализации;
анализ полноты и качества выполнения спланированных мероприятий по защите информации в ходе деятельности министерства;
оказание практической помощи должностным лицам в устранении нарушений требований нормативно-методических документов;
применение мер административной и дисциплинарной ответственности к лицам, нарушающим требования по порядку обращения с носителями конфиденциальной информации;
проверка эффективности мер по защите конфиденциальной информации, принимаемых должностными лицами и руководителями структурных подразделений министерства.
Результаты проверки оформляются в виде акта или справки-доклада и доводятся до сведения руководителя проверенного структурного подразделения. В итоговом документе перечисляются выявленные недостатки, а также формулируются предложения по их устранению, повышению эффективности работы должностных лиц (гражданских служащих) в области защиты информации. Проверяющие лица устанавливают конкретные сроки устранения выявленных недостатков и реализации предложений (рекомендаций).
Контроль за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных организуется и проводится оператором (уполномоченным лицом) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Приложение № 13
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ПРАВИЛА
обработки персональных данных, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных в министерстве труда и занятости населения
Оренбургской области.
Общие положения
1.1. Правила обработки персональных данных, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных министерства труда и занятости населения Оренбургской области (далее – Правила) разработаны в соответствии с Конституцией РФ, Федеральными законами от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 21 марта 2012г. № 211, Положением «О порядке организации и проведения работ по защите конфиденциальной информации в министерстве труда и занятости населения Оренбургской области» в целях обеспечения безопасности персональных данных.
1.2. Правила определяют порядок обработки в министерстве труда и занятости населения Оренбургской области (далее - министерство) персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Термины и определения
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Порядок обработки персональных данных
3.1. Цели и задачи обработки персональных данных сотрудников
Обработка персональных данных ведется в соответствии с Федеральным законом от 30.12.2001 г. № 197-ФЗ «Трудовой кодекс РФ», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» ст.6 ч.1 п.2., Федеральным законом от 21.11.1996 г. № 129 «О бухгалтерском учете», Федеральным законом от 31.07.1998 г. № 146-ФЗ «Налоговый кодекс РФ» часть первая.
Обработка персональных данных гражданских служащих ведется с целью:
установления гарантий трудовых прав и свобод граждан, создание благоприятных условий труда, защиты прав и интересов сотрудников и работодателей;
Основными задачами обработки персональных данных являются создание необходимых правовых условий для достижения оптимального согласования интересов сторон трудовых отношений, интересов государства, а также правовое регулирование трудовых отношений и иных непосредственно связанных с ними отношений по:
организации труда и управлению трудом;
трудоустройству у данного работодателя;
профессиональной подготовке, переподготовке и повышению квалификации сотрудников министерства труда и занятости населения Оренбургской области;
участию сотрудников в установлении условий труда и применении трудового законодательства в предусмотренных законом случаях;
материальной ответственности работодателей и сотрудников;
разрешению трудовых споров;
регулирование отношений по установлению, введению и взиманию налогов и сборов;
обеспечению информацией об использовании материальных, трудовых и финансовых ресурсов в соответствии с утвержденными нормами, нормативами и сметами;
обязательному социальному страхованию в случаях, предусмотренных федеральными законами.
3.2. Условия обработки персональных данных сотрудников
Обработка персональных данных ведется на основании заключаемого с этим лицом служебного контракта (трудового договора) с обязательным соблюдением конфиденциальности полученных персональных данных. Обработка персональных данных гражданских служащих осуществляется в соответствии со ст. 6 ч.1 п.2 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Министерство получает персональные данные сотрудников у них самих. Персональные данные сотрудника могут быть получены министерством от лица, не являющегося субъектом персональных данных, при условии предоставления подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Сотрудник имеет право на получение информации, касающейся обработки его персональных данных, указанной в ст.14. часть 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» на основании запроса, составленному в соответствии со ст.14 часть 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, министерство обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
Если персональные данные получены не от субъекта персональных данных, министерство, за исключением случаев, предусмотренных ст.18 частью 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных обязано предоставить сотруднику следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.
Персональные данные хранятся:
в электронном виде (на серверах, персональных компьютерах, а также на сменных магнитных, оптических и других цифровых носителях);
на бумажных носителях, в том числе в личных делах сотрудников, специально оборудованных шкафах и сейфах, обеспечивающих защиту от несанкционированного доступа.
При передаче персональных данных сотрудника необходимо соблюдать следующие требования:
не сообщать персональные данные сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;
не сообщать персональные данные сотрудника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные сотрудника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные сотрудника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными сотрудников в порядке, установленном Трудовым кодексом и иными федеральными законами;
осуществлять передачу персональных данных сотрудника в пределах организации в соответствии с настоящим Положением, с которым сотрудник должен быть ознакомлен под роспись;
разрешать доступ к персональным данным сотрудников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные сотрудника, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья сотрудника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции;
передавать персональные данные сотрудника представителям сотрудника в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными сотрудника, которые необходимы для выполнения указанными представителями их функций.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.3. Права гражданских служащих министерства
Сотрудники имеют право на:
полную информацию об их персональных данных и обработке этих данных;
свободный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового Кодекса РФ или иного федерального закона;
дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения сотрудника;
требование об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведённых в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия при обработке и защите его персональных данных.
3.5. Обязанности по уточнению, блокированию и уничтожению персональных данных
3.5.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных необходимо осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения.
3.5.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных необходимо осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
3.5.3. В случае подтверждения факта неточности персональных данных необходимо на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
3.5.4. В случае достижения цели обработки персональных данных необходимо прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, является субъект персональных данных.
3.5.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных необходимо прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных.
3.6. Организация доступа к персональным данным
Система доступа представляет собой совокупность норм и правил, определяющих, кто из руководителей министерства труда и занятости населения Оренбургской области, кому из граждан и с какими категориями документов может давать разрешение на ознакомление.
Система доступа должна отвечать следующим требованиям:
доступ к конфиденциальным документам может предоставляться сотрудникам, письменно оформившим с организацией отношения о неразглашении ставших им известными конфиденциальных сведений. Письменное оформление отношений о неразглашении конфиденциальной информации (соблюдения режима конфиденциальности) является обязательным условием для доступа исполнителей к документам;
доступ к конфиденциальным документам должен быть обоснованным, т.е. базироваться на служебной необходимости ознакомления с конкретным документов именно данного исполнителя;
система доступа должна давать возможность обеспечивать исполнителей всеми необходимыми им в силу служебных обязанностей документами, но только теми, которые действительно необходимы для выполнения конкретного вида работ;
доступ к документам должен быть санкционированным, т.е. осуществляться только по соответствующему разрешению уполномоченного на то должностного лица. При этом соответствующее должностное лицо может давать разрешение на ознакомление с документами только входящими в сферу его деятельности и только установленному кругу лиц;
доступ должен оформляться письменно по каждому конкретному конфиденциальному документу. При необходимости ознакомления исполнителя только с частью документа в разрешении на ознакомление должны быть указаны разделы (пункты или страницы), с которыми можно знакомить исполнителя.
Доступ гражданских служащих министерства к конфиденциальной информации осуществляется на добровольной основе. Эти отношения устанавливаются при поступлении гражданина на гражданскую службу или уже в ходе прохождения службы. При этом необходимо выполнить следующие условия:
ознакомить сотрудника под роспись с перечнем конфиденциальной информации;
ознакомить сотрудника под роспись с установленным в министерстве режимом конфиденциальности и с мерами ответственности за его нарушение;
создать сотруднику необходимые условия для соблюдения им установленного режима конфиденциальности.
Доступ к персональным данным разрешается только лицам, определенным в порядке, установленным настоящим Положением. При этом указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций, и в целях, для которых они сообщены.
Со стороны гражданского служащего предполагается принятие следующих обязательств:
по соблюдению установленного в министерстве режима конфиденциальности;
о неразглашении конфиденциальной информации, ставшей ему известной в период прохождения службы, после прекращения служебного контракта в течение срока, предусмотренного в специальном соглашении или в течение трех лет, если такое соглашение на заключалось, и не использовании этой информации в личных целях;
о возмещении причиненного ущерба, если гражданский служащий виновен в разглашении конфиденциальной информации, ставшей ему известной в связи с выполнением им служебных обязанностей (в том числе после прекращения служебного контракта);
о возврате при прекращении или расторжении служебного контракта всех имеющихся у сотрудника материальных носителей конфиденциальной информации.
Министр (уполномоченный сотрудник):
несет ответственность за организацию обработки персональных данных в министерстве;
закрепляет за гражданскими служащими, допущенными к обработке персональных данных, конкретные массивы носителей с персональными данными, которые необходимы для выполнения возложенных на них функций;
осуществляет внутренний контроль за соблюдением гражданскими служащими законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
доводит до сведения гражданских служащих положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
С гражданским служащим, допущенным к персональным данным, заключается соглашение о допуске к конфиденциальной информации в установленном порядке. Соглашение от имени министерства подписывается представителем нанимателя.
Сведения о работающем (работавшем) гражданском служащем могут быть предоставлены другой организации только по письменному запросу на бланке организации с приложением копии согласия гражданского служащего на предоставление данных.
3.7. Обязанности лиц, допущенных к обработке персональных данных
Лица, допущенные к работе с персональными данными обязаны:
знать законодательство Российской Федерации, Оренбургской области и нормативные документы министерства труда и занятости населения Оренбургской области в части обеспечения безопасности персональных данных;
обеспечивать сохранность закрепленного массива носителей с персональными данными, исключать возможность ознакомления с ними других лиц;
докладывать своему непосредственному руководителю обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях;
ознакомиться под роспись с настоящим Положением, а также об их правах, обязанностях, ответственности в области защиты персональных данных.
3.8. Меры по обеспечению безопасности персональных данных в министерстве.
В министерстве должны быть приняты необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
3.8.1. Организационные и технические методы защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:
1) Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
2) Действующими нормативными документами ФСТЭК России:
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20;
Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
3) Действующими нормативными документами ФСБ России:
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации;
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;
Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
4) Настоящим Положением, Положением о порядке организации и проведения работ по защите конфиденциальной информации в министерстве труда и занятости населения Оренбургской области, другими локальными актами министерства.
3.8.2. Приказом министра определяется:
Ответственный за организацию обработки персональных данных;
Перечень автоматизированных систем, в которых обрабатываются персональных данные;
Перечень гражданских служащих (должностей гражданских служащих), допущенных к персональным данным, и объём персональных данных, к которым они допускаются;
Перечень персональных данных, обрабатываемый в информационной системе персональных данных;
- Должностные инструкции ответственного за организацию обработки персональных данных (Приложение 2).
3.8.3. С целью определения угроз безопасности персональных данных при обработке в информационной системе министерства должна быть проведена ее классификация.
3.8.4. Должна быть разработана модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных, которая утверждается приказом.
3.8.5. В соответствии с классом информационной системы и моделью угроз безопасности персональных данных должны быть приняты меры в части технической защиты конфиденциальной информации. Информационные системы до начала обработки персональных данных должны пройти процедуру оценки эффективности принятых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
3.8.6. В информационных системах персональных данных должны применяться прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.
3.6.7. В информационных системах персональных данных должны быть предусмотрены меры для предотвращения внедрения вредоносных программ (программ-вирусов) и программных закладок.
3.8.8. При взаимодействии информационных систем персональных данных с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования), должны применяться следующие методы и способы защиты информации от несанкционированного доступа:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации граждан;
использование средств антивирусной защиты.
3.8.9. До начала обработки (в процессе обработки при наличии изменений) персональных данных направить в уполномоченный орган по защите прав субъектов персональных данных:
уведомление о своем намерении осуществлять обработку персональных данных;
фамилию, имя, отчество физического лица, ответственного за организацию обработки персональных данных, и номера его контактных телефонов, почтовые адреса и адреса электронной почты;
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
3.9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут предусмотренную законодательством Российской Федерации ответственность (прилагается).
Ответственность
за нарушение норм, регулирующих обработку и защиту персональных данных
Уголовная ответственность (Уголовный Кодекс РФ (УК РФ)
Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
2. Те же деяния, совершенные лицом с использованием своего служебного положения,
-наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
Статья 140. Отказ в предоставлении гражданину информации
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.
Статья 1596 . Мошенничество в сфере компьютерной информации
1. Мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей, -
наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до четырех месяцев.
2. То же деяние, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину, -
наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до четырех лет с ограничением свободы на срок до одного года или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные лицом с использованием своего служебного положения, а равно в крупном размере, -
наказываются штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового и с ограничением свободы на срок до полутора лет либо без такового.
4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, совершенные организованной группой либо в особо крупном размере, -
наказываются лишением свободы на срок до десяти лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового и с ограничением свободы на срок до двух лет либо без такового.";
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом -
наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, -
наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок.
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, -
наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -
наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, -
наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот же срок.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, -
наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, -
наказываются лишением свободы на срок до семи лет.
Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллионрублей.
Статья 273. Создание, использование и распространение вредоносных программ
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, -
наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, -
наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, -
наказываются лишением свободы на срок до семи лет.
Статья 274. Нарушение правил эксплуатации хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, -
наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, -
наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.
Статья 292. Служебный подлог
1. Служебный подлог, то есть внесение должностным лицом, а также государственным служащим или служащим органа местного самоуправления, не являющимся должностным лицом, в официальные документы заведомо ложных сведений, а равно внесение в указанные документы исправлений, искажающих их действительное содержание, если эти деяния совершены из корыстной или иной личной заинтересованности (при отсутствии признаков преступления, предусмотренного частью первой статьи 292.1 настоящего Кодекса), -
наказываются штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до двух лет.
2. Те же деяния, повлекшие существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, -
наказываются штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Статья 292¹. Незаконная выдача паспорта гражданина Российской Федерации, а равно внесение заведомо ложных сведений в документы, повлекшее незаконное приобретение гражданства Российской Федерации
1. Незаконная выдача должностным лицом или государственным служащим паспорта гражданина Российской Федерации иностранному гражданину или лицу без гражданства, а равно внесение должностным лицом, а также государственным служащим или служащим органа местного самоуправления, не являющимся должностным лицом, заведомо ложных сведений в документы, повлекшее незаконное приобретение гражданства Российской Федерации, -
наказываются штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
2. Неисполнение или ненадлежащее исполнение должностным лицом или государственным служащим своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло незаконную выдачу паспорта гражданина Российской Федерации иностранному гражданину или лицу без гражданства либо незаконное приобретение гражданства Российской Федерации, -
наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 293. Халатность
1. Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, -
наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до трех месяцев.
2. То же деяние, повлекшее по неосторожности причинение тяжкого вреда здоровью или смерть человека, -
наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяние, предусмотренное частью первой настоящей статьи, повлекшее по неосторожности смерть двух или более лиц, -
наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Примечание. Крупным ущербом в настоящей статье признается ущерб, сумма которого превышает один миллион пятьсот тысяч рублей.
Административная ответственность
(Кодекс об Административных Правонарушениях РФ (КоАП РФ)
Статья 5.39. Отказ в предоставлении гражданину информации
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации, за исключением случаев, предусмотренных статьей 7.23.1 настоящего Кодекса, -
влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до трех тысяч рублей.
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
Статья 13.12. Нарушение правил защиты информации
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, -
влечет наложение административного штрафа на должностных лиц в размере от двух тысяч до трех тысяч рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, -
влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
Примечание. Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.
Статья 13.14. Разглашение информации с ограниченным доступом
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.
2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа -
влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от двухсот тысяч до пятисот тысяч рублей.
2.1. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении ограничивающих конкуренцию соглашений и (или) согласованных действий и совершении действий, направленных на обеспечение конкуренции, или выданного при осуществлении контроля за использованием государственной или муниципальной преференции законного решения, предписания федерального антимонопольного органа, его территориального органа о совершении предусмотренных антимонопольным законодательством Российской Федерации действий -
влечет наложение административного штрафа на должностных лиц в размере от восемнадцати тысяч до двадцати тысяч рублей либо дисквалификацию на срок до трех лет; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.
2.2. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении злоупотребления хозяйствующим субъектом доминирующим положением на товарном рынке и совершении предусмотренных антимонопольным законодательством Российской Федерации действий, направленных на обеспечение конкуренции, -
влечет наложение административного штрафа на должностных лиц в размере от шестнадцати тысяч до двадцати тысяч рублей либо дисквалификацию на срок до трех лет; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.
2.3. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении нарушения правил недискриминационного доступа к товарам (работам, услугам) или выданного при осуществлении государственного контроля за экономической концентрацией законного решения, предписания федерального антимонопольного органа, его территориального органа о совершении предусмотренных антимонопольным законодательством Российской Федерации действий, направленных на обеспечение конкуренции, -
влечет наложение административного штрафа на должностных лиц в размере от двенадцати тысяч до двадцати тысяч рублей либо дисквалификацию на срок до трех лет; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.
2.4. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении нарушения законодательства Российской Федерации о рекламе или законного решения, предписания федерального антимонопольного органа, его территориального органа об отмене либо изменении противоречащего законодательству Российской Федерации о рекламе акта федерального органа исполнительной власти, акта органа исполнительной власти субъекта Российской Федерации или акта органа местного самоуправления -
влечет наложение административного штрафа на должностных лиц в размере от двенадцати тысяч до двадцати тысяч рублей; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.
2.5. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении недобросовестной конкуренции -
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.
2.6. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении нарушения антимонопольного законодательства Российской Федерации, законодательства Российской Федерации о естественных монополиях, законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении либо недопущении ограничивающих конкуренцию действий или законного решения, предписания федерального антимонопольного органа, его территориального органа о совершении предусмотренных законодательством Российской Федерации действий, за исключением случаев, предусмотренных частями 2.1-2.5 настоящей статьи, -
влечет наложение административного штрафа на должностных лиц в размере от восьми тысяч до двенадцати тысяч рублей либо дисквалификацию на срок до трех лет; на юридических лиц - от ста тысяч до пятисот тысяч рублей.
2.7. Невыполнение в установленный срок предписания федерального антимонопольного органа, его территориального органа об отмене либо изменении противоречащего законодательству об основах государственного регулирования торговой деятельности в Российской Федерации акта и (или) о прекращении действий (бездействия) органа исполнительной власти субъекта Российской Федерации, органа местного самоуправления, иного осуществляющего функции указанных органов органа или организации, которые приводят или могут привести к установлению на товарном рынке правил осуществления торговой деятельности, нарушающих требования, установленные законодательством об основах государственного регулирования торговой деятельности в Российской Федерации, -
влечет наложение административного штрафа на должностных лиц в размере пятидесяти тысяч рублей либо дисквалификацию на срок от одного года до трех лет.
3. Невыполнение в установленный срок законного предписания, решения органа регулирования естественных монополий, его территориального органа -
влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от двухсот тысяч до пятисот тысяч рублей.
4. Невыполнение в установленный срок законного предписания органа, осуществляющего контроль и надзор в области долевого строительства многоквартирных домов и (или) иных объектов недвижимости, -
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от ста тысяч до двухсот тысяч рублей.
5. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области государственного регулирования тарифов, -
влечет наложение административного штрафа на должностных лиц в размере пятидесяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от ста тысяч до ста пятидесяти тысяч рублей.
6. Невыполнение в установленный срок законного предписания уполномоченных на осуществление государственного строительного надзора федерального органа исполнительной власти, органов исполнительной власти субъектов Российской Федерации -
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от пяти тысяч до десяти тысяч рублей или административное приостановление их деятельности на срок до девяноста суток; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей или административное приостановление их деятельности на срок до девяноста суток.
7. Невыполнение в установленный срок законного предписания, требования органа исполнительной власти, уполномоченного на осуществление контроля в сфере размещения заказов на поставки товаров, выполнение работ, оказание услуг для нужд заказчиков, его территориального органа -
влечет наложение административного штрафа на должностных лиц в размере пятидесяти тысяч рублей; на юридических лиц - в размере пятисот тысяч рублей.
8. Невыполнение в установленный срок законных требований лиц, уполномоченных на осуществление государственного ветеринарного надзора, о проведении противоэпизоотических и других мероприятий, совершенное в период осуществления на соответствующей территории ограничительных мероприятий (карантина), -
влечет наложение административного штрафа на граждан в размере от одной тысячи до одной тысячи пятисот рублей; на должностных лиц - от пяти тысяч до семи тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от пяти тысяч до семи тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от девяноста тысяч до ста тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
9. Невыполнение в установленный срок законного предписания федерального органа исполнительной власти в области финансовых рынков или его территориального органа -
влечет наложение административного штрафа на должностных лиц в размере от двадцати тысяч до тридцати тысяч рублей; на юридических лиц - от пятисот тысяч до семисот тысяч рублей.
10. Невыполнение в установленный срок законного предписания, требования органа исполнительной власти, уполномоченного на осуществление контроля (надзора) в сфере обеспечения транспортной безопасности, -
влечет наложение административного штрафа на граждан в размере пяти тысяч рублей; на должностных лиц - от двадцати тысяч до тридцати тысяч рублей; на юридических лиц - от двадцати тысяч до пятидесяти тысяч рублей.
11. Невыполнение в установленный срок или ненадлежащее выполнение законного предписания федерального органа исполнительной власти, осуществляющего государственный контроль и надзор в сфере безопасного ведения работ, связанных с пользованием недрами, промышленной безопасности и безопасности гидротехнических сооружений, -влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей или дисквалификацию на срок от одного года до трех лет; на юридических лиц - от четырехсот тысяч до семисот тысяч рублей.
12. Невыполнение в установленный срок законного предписания органа, осуществляющего государственный пожарный надзор, -
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей; на должностных лиц - от трех тысяч до четырех тысяч рублей; на юридических лиц - от семидесяти тысяч до восьмидесяти тысяч рублей.
13. Невыполнение в установленный срок законного предписания органа, осуществляющего государственный пожарный надзор, на объектах защиты, на которых осуществляется деятельность в сфере здравоохранения, образования и социального обслуживания, -
влечет наложение административного штрафа на граждан в размере от двух тысяч до трех тысяч рублей; на должностных лиц - от пяти тысяч до шести тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от девяноста тысяч до ста тысяч рублей.
14. Повторное совершение административного правонарушения, предусмотренного частью 12 или 13 настоящей статьи, -
влечет наложение административного штрафа на граждан в размере от четырех тысяч до пяти тысяч рублей; на должностных лиц - от пятнадцати тысяч до двадцати тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от ста пятидесяти тысяч до двухсот тысяч рублей.
15. Невыполнение изготовителем (исполнителем, продавцом, лицом, выполняющим функции иностранного изготовителя), органом по сертификации или испытательной лабораторией (центром) в установленный срок законного решения, предписания федерального органа исполнительной власти, уполномоченного на осуществление государственного контроля (надзора) за соблюдением требований технических регламентов к продукции, в том числе к зданиям и сооружениям, либо к продукции (впервые выпускаемой в обращение продукции) и связанным с требованиями к продукциипроцессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации или утилизации, -
влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.
16. Невыполнение в установленный срок предписания федерального органа исполнительной власти, осуществляющего государственный надзор и контроль за соблюдением законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию, -
влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от тридцати тысяч до пятидесяти тысяч рублей и (или) административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей и (или) административное приостановление деятельности на срок до девяноста суток.
17. Невыполнение в установленный срок законного предписания федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере безопасности при использовании атомной энергии, -
влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей или дисквалификацию на срок от одного года до трех лет; на юридических лиц - от четырехсот тысяч до семисот тысяч рублей.
Примечание. За административные правонарушения, предусмотренные частью 11 настоящей статьи, лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.
Статья 19.7. Непредставление сведений (информации)
Статья 19.7. Непредставление сведений (информации)
Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьей 6.16, частью 4 статьи 14.28, статьями 19.7.1, 19.7.2, 19.7.3, 19.7.4, 19.7.5, 19.7.5-1, 19.8 настоящего Кодекса, -
влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.
Дисциплинарная ответственность
(Трудовой кодекс РФ)
Статья 81. Расторжение трудового договора по инициативе работодателя
Трудовой договор может быть расторгнут работодателем в случаях:
6) однократного грубого нарушения работником трудовых обязанностей:
в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника;
Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Статья 237. Возмещение морального вреда, причиненного работнику
Моральный вред, причиненный работнику неправомерными действиями или бездействием работодателя, возмещается работнику в денежной форме в размерах, определяемых соглашением сторон трудового договора. В случае возникновения спора факт причинения работнику морального вреда и размеры его возмещения определяются судом независимо от подлежащего возмещению имущественного ущерба.
Приложение 2
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ответственного за организацию обработки персональных данных
Лицо, ответственное за организацию обработки персональных данных назначается приказом министра, получает указания непосредственно от министра, подотчетно ему.
Лицо, ответственное за организацию обработки персональных данных обязано направлять уведомление (дополнения или изменения к нему) об обработке персональных данных в уполномоченный федеральный орган, в соответствии с частью 3 статьи 22 ФЗ № 152 «О персональных данных».
Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
осуществлять внутренний контроль за соблюдением оператором и его сотрудников законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
доводить до сведения сотрудников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Приложение № 14
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или их представителей
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные законодательством.
2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер служебного контракта, дата заключения контракта, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью.
3.Все документы, поступающие от субъектов персональных данных, подлежат регистрации по журналу учета обращений субъектов персональных данных о выполнении их законных прав. (Приложение 1)
На самом документе в правом нижнем углу первого листа документа проставляется отметка о поступлении, которая содержит входящий номер, присвоенный документу, дату поступления, количество листов.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
5. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
6. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
7. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
8. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
Приложение 1
ЖУРНАЛ
учета обращений субъектов персональных данных
о выполнении их законных прав
_______________________________
Начат:
«____»____________ 20___г.
Окончен:
«____»____________ 20___г.
На ____ листах
№ п/п
Дата обращения
Фамилия, имя, отчество
Цель получения информации
Отметка о предоставлении
Дата передачи (отказа)
Подпись запрашиваемого лица
Подпись ответственного лица
1
2
3
4
5
6
7
8
[1] Под компрометацией понимается утеря, передача другому лицу пароля.
1
Утратил силу приказом министерства труда и занятости Оренбургской области от 28.11.2019 № 281
МИНИСТЕРСТВО ТРУДА И ЗАНЯТОСТИ НАСЕЛЕНИЯ ОРЕНБУРГСКОЙ ОБЛАСТИ
ПРИКАЗ
от 27.02.2013 № 45
Об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
В целях распределения ответственности при обеспечении безопасности персональных данных при обработке в информационной системе и защищаемых помещениях, в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» п. 22.1, Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 01.11.2012 г. № 1119, руководящих документов ФСТЭК России по технической защите информации, внутренних документов по организации защиты персональных данных п р и к а з ы в а ю:
1. Назначить ответственным за организацию обработки персональных данных в министерстве труда и занятости населения Оренбургской области Исхакову Наилю Бисингалеевну, заместителя министра с возложением следующих обязанностей:
- организация работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
- проведение разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
- приостановка предоставления персональных данных пользователям информационной системы при обнаружении нарушений порядка предоставления персональных данных.
2. Определить в качестве администратора безопасности, ответственного за выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в министерстве труда и занятости населения Оренбургской области начальника отдела информационных технологий и автоматизации Новичкова Игоря Анатольевича. В рамках проведения данных работ возложить на Новичкова И.А. исполнение следующих функций:
- администрирование информационных систем персональных данных;
- администрирование средств антивирусной защиты информационных систем персональных данных;
- администрирование средств защиты персональных данных в информационных системах персональных данных.
3. Назначить ответственного за эксплуатацию информационных систем персональных данных:
- «Катарсис» Новичкова И. А., начальника отдела ИТ и автоматизации;
- «Бухгалтерия» Белову Е. В., заместителя начальника отдела финансово-бухгалтерского учета;
- «Ветеран» Гришину Г.Н., начальника отдела трудоустройства и специальных программ;
- «Учет граждан, обратившихся в рамках антикризисной программы» Гришину Г.Н., начальника отдела трудоустройства и специальных программ.
4. Назначить ответственных за резервное копирование в автоматизированных системах:
- начальника отдела информационных технологий и автоматизации Новичкова Игоря Анатольевича;
- главного специалиста отдела информационных технологий и автоматизации Светлейшую Наталью Михайловну.
5. Администратору безопасности Новичкову И.А. организовать учет носителей персональных данных в соответствии с правилами ведения делопроизводства.
6. С целью проведения классификации информационных систем персональных данных создать комиссию в составе согласно приложению № 1.
7. Утвердить и ввести в действие:
7.1. Перечень персональных данных, обрабатываемых в информационных системах министерства труда и занятости населения Оренбургской области (Приложение № 2);
7.2. Соглашение о допуске к конфиденциальной информации (Приложение № 3);
7.3. Положение о порядке организации и проведения работ по защите конфиденциальной информации в министерстве труда и занятости населения Оренбургской области (Приложение №4).
7.4. Положение по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях министерства труда и занятости населения Оренбургской области (Приложение № 5).
7.5. Инструкция пользователю автоматизированной системы (Приложение № 6);
7.6. Инструкция администратора безопасности автоматизированных систем (Приложение № 7);
7.7. Инструкция по парольной защите в автоматизированных системах (Приложение № 8);
7.8. Инструкция по антивирусной защите автоматизированной системы объекта вычислительной техники (Приложение № 9);
7.9. Инструкцию по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты конфиденциальной информации, при их обработке в информационных системах персональных данных в министерстве труда и занятости населения Оренбургской области (Приложение №10).
7.10. Порядок доступа в помещения, в которых ведется обработка персональных данных (Приложение №11).
7.11. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (Приложение № 12).
7.12. Правила обработки персональных данных, направленные на выявление и предо твращение нарушений законодательства РФ в сфере ПДн в министерстве труда и занятости населения Оренбургской области (Приложение № 13).
7.13. Правила рассмотрения запросов субъектов персональных данных или их представителей (Приложение № 14).
8. Признать утратившими силу приказы министра труда и занятости населения Оренбургской области:
- от 30.12.2010 № 155 «Об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- от 02.08.2012 № 146 «О внесении изменений в приказ министерства труда и занятости населения Оренбургской области от 30.12.2010 № 155».
9. Контроль за исполнением настоящего приказа оставляю за собой.
Министр В.П.Кузьмин
Приложение № 1
к приказу министра труда и
занятости населения
Оренбургской области
от 27.02.2013 № 45
Состав комиссии для проведения классификации
информационных систем персональных данных
Исхакова Наиля Бисингалеевна, заместитель министра – председатель Комиссии;
Члены Комиссии:
Новичков Игорь Анатольевич - начальник отдела информационных технологий и автоматизации;
Семина Ольга Юрьевна - начальник кадрово-правового отдела;
Светлейшая Наталья Михайловна - главный специалист отдела информационных технологий и автоматизации.
и
о
Перечень
персональных данных, обрабатываемых в информационных системах
министерства труда и занятости населения Оренбургской области
№ п/п
Основание для обработки
Содержание сведений
Срок хранения, условия прекращения обработки
1.
- Глава 14 Трудового кодекса РФ;
- Федеральный закон «О внесении изменений в трудовой кодекс Российской Федерации, признании недействующими на территории Российской Федерации некоторых нормативных правовых актов СССР и утратившими силу некоторых законодательных актов (положений Законодательных актов) Российской Федерации» от 30 июня 2006 года № 90-ФЗ
- Федеральный закон № 173-ФЗ от 17.12.2001 г. «О трудовых пенсиях в Российской Федерации»
- фамилия, имя, отчество;
- пол;
- дата и место рождения, возраст;
- гражданство;
- семейное положение;
- адрес места жительства (пребывания);
- номер контактного телефона;
- сведения о документах, удостоверяющих личность работника;
- данные документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания;
- данные трудовой книжки (назначения, перемещения, должность);
- данные служебного контракта, а также дополнительные соглашения, к нему;
- данные документов воинского учета (категория годности к военной службе, личный номер, военный билет, воинское звание, военно-учебная специальность, удостоверение, команда, название военкомата по месту жительства);
- данные страхового свидетельства обязательного пенсионного страхования;
- данные свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;
- данные страхового медицинского полиса обязательного медицинского страхования граждан;
- данные о зарплате (сумма за месяц, год)
75 лет ЭПК
Приказ Министерства культуры РФ от 25 августа 2010 г. № 558
«Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»
2.
- Закон РФ от 19 апреля 1991 г. № 1032-1 «О занятости населения в Российской Федерации»;
- приказы Министерства здравоохранения и социального развития РФ
от 3 июля 2006 г. № 513;
от 30 ноября 2006г. № 819;
от 18 января 2007 г. № 18н;
от 7 июня 2007 г. № 400;
от 7 июня 2007 г. № 401;
от 13 июня 2007 г. № 415;
от 28 июня 2007 г. № 449;
от 1 ноября 2007 г. № 680;
от 27 ноября 2007 г. № 726;
от 7 марта 2008 г. № 125н;
от 16 июня 2008 г. № 281н;
- Федеральный закон № 173-ФЗ от 17.12.2001 г. «О трудовых пенсиях в Российской Федерации».
- фамилия, имя, отчество;
- пол;
- дата рождения;
- гражданство;
- адрес места жительства;
- номер контактного телефона;
- семейное положение;
- серия и номер паспорта или удостоверения личности, дата выдачи указанных документов, наименование выдавшего их органа;
- данные трудовой книжки (последнее место работы, назначения, перемещения, должность);
- данные документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания;
- наименование учебного заведения, год окончания;
- дополнительные навыки (знание иностранных языков, знание и умение пользоваться ПЭВМ и др.);
- данные о зарплате (сумма за месяц, 3 месяца, год);
- индивидуальная программа реабилитации инвалида, справка МСЭ и КЭК;
- категория, к которой относится гражданин и документы, подтверждающие данную категорию.
75 лет –"В"
Приказ Министерства культуры РФ от 25 августа 2010 г. N 558
«Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»
Приложение № 3
к приказу министра труда и
занятости населения
Оренбургской области
от 27.02.2013 № 45
Приложение №______
к служебному контракту
СОГЛАШЕНИЕ
о допуске к конфиденциальной информации
Министерство труда и занятости населения Оренбургской области в лице министра Кузьмина Вячеслава Петровича, действующего на основании Положения (далее – Работодатель), и работник Ф.И.О. ___________________________________________________________________ служебный контракт «__» __________ 20___ г. № ____ (далее – Работник), (при совместном упоминании – Стороны), договорились о нижеследующем:
1. Предмет соглашения и основные понятия
1.1. Работодатель предоставляет Работнику для исполнения последним его трудовых обязанностей доступ к конфиденциальной информации, обладателями которой являются Работодатель или его контрагенты, а Работник обязуется соблюдать в соответствии со служебным контрактом режим защиты конфиденциальной информации, установленный Работодателем в отношении данной информации.
1.2. Для целей настоящего Соглашения используются следующие основные понятия:
1.2.1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.2.2. Конфиденциальная информация – информация, которая имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим защиты конфиденциальной информации.
1.2.3. Режим защиты конфиденциальной информации – правовые, организационные, технические и иные принимаемые обладателем конфиденциальной информации, меры по охране ее конфиденциальности.
1.2.4. Обладатель конфиденциальной информации – лицо, которое владеет конфиденциальной информацией и на законном основании ограничило доступ к этой информации и установило в отношении нее режим коммерческой тайны (Работодатель и его контрагенты).
1.2.5. Доступ к конфиденциальной информации – ознакомление Работника с конфиденциальной информацией с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.
1.2.6. Разглашение конфиденциальной информации – действие или бездействие, в результате которых конфиденциальная информация в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки служебному котракту.
2. Права и обязанности сторон
2.1. В целях охраны конфиденциальности информации Работодатель обязан:
2.1.1. Ознакомить под роспись Работника, доступ которого к конфиденциальной информации необходим для выполнения им своих трудовых обязанностей, с Перечнем конфиденциальной информации.
2.1.3. Создать Работнику необходимые условия для соблюдения им установленного Работодателем режима защиты конфиденциальной информации.
2.2. В целях охраны конфиденциальности информации Работник обязан:
2.2.1. Выполнять установленный Работодателем режим защиты конфиденциальной информации.
2.2.2. Не разглашать конфиденциальную информацию, обладателями которой являются Работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях и для занятий любой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации.
2.2.3. Не разглашать конфиденциальную информацию, обладателями которой являются Работодатель и его контрагенты, после прекращения служебного контракта в течение 3 (трех) лет.
2.2.4. В случае попытки посторонних лиц получить конфиденциальную информацию, обладателями которой являются Работодатель и его контрагенты, немедленно сообщать Работодателю.
2.2.5. Об утрате или недостаче материальных носителей информации, содержащих конфиденциальную информацию (рукописи, черновики, чертежи, диски, дискеты, распечатки на принтерах и др.), удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению конфиденциальной информации, обладателями которой являются Работодатель и его контрагенты, а также о причинах и условиях возможной утечки соответствующей информации немедленно сообщать Работодателю.
2.2.6. Передать Работодателю при прекращении или расторжении служебного контракта имеющиеся в пользовании Работника материальные носители информации, содержащие конфиденциальную информацию (рукописи, черновики, чертежи, диски, дискеты, распечатки на принтерах, материалы, изделия и др.), обладателями которой являются Работодатель и его контрагенты.
2.2.7. Возместить причиненный Работодателю ущерб, если Работник виновен в разглашении конфиденциальной информации, обладателями которой являются Работодатель и его контрагенты, ставшей ему известной в связи с исполнением им служебных обязанностей.
2.3. Работодатель вправе потребовать возмещения причиненных убытков Работником либо лицом, прекратившим с Работодателем трудовые отношения, в случае, если они виновны в разглашении конфиденциальной информации, обладателями которой являются Работодатель и его контрагенты, доступ к которой они получили в связи с исполнением ими служебных обязанностей.
2.4. Работодатель вправе в случае невыполнения Работником любого из пунктов 2.2.1- 2.2.5 настоящего соглашения привлечь Работника к ответственности в соответствии с действующим законодательством.
3. Ответственность сторон
3.1. За нарушение настоящего Соглашения Стороны несут ответственность в соответствии с действующим законодательством Российской Федерации.
4. Прочие положения
4.1. Настоящее Соглашение вступает в силу со дня подписания его Сторонами и может быть расторгнуто только по инициативе Работодателя посредством письменного уведомления Работника (лица, прекратившего с Работодателем трудовые отношения).
4.2. По вопросам, которые не нашли отражение в настоящем Соглашении, стороны руководствуются действующим законодательством Российской Федерации.
4.3. Соглашение составлено в двух имеющих одинаковую юридическую силу экземплярах, по одному для каждой из сторон.
5. Реквизиты сторон
Работодатель
Работник
Министерство труда и занятости населения Оренбургской области
Юридический и фактический адрес: 460000, г.Оренбург, ул.Пушкинская,
д.14, ИНН 5610112265
КПП 561001001
р/сч.40201810300000100005
в ГРКЦ ГУ Банка России по Оренбургской области г. Оренбурга
паспорт: серия_____ № __________, выдан ________________________
_____________________________, зарегистрированный по адресу:
_____________________________________________________________________________________________
Министр ______________В.П. Кузьмин
М.П.
_________________ ___________
(инициалы, фамилия) (подпись)
Приложение № 4
к приказу министра труда и
занятости населения
Оренбургской области
от 27.02.2013 № 45
ПОЛОЖЕНИЕ
о порядке организации и проведения работ по защите
конфиденциальной информации
в министерстве труда и занятости населения Оренбургской области
1. Общие положения
1.1. Данное «Положение о порядке организации и проведении работ по защите конфиденциальной информации в Министерстве труда и занятости населения Оренбургской области» (далее – Положение) разработано в соответствии с национальным стандартом РФ ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью, с учетом «Специальных требований и рекомендаций по технической защите конфиденциальной информации», утвержденных приказом Гостехкомиссии России от 30.08.2002 г. № 282, методическими рекомендациями ФСТЭК России, ФСБ России в целях обеспечения безопасности конфиденциальной информации.
1.2. Положение определяет порядок работы гражданских служащих министерства труда и занятости населения Оренбургской области (далее - министерство) в части обеспечения безопасности конфиденциальной информации при ее обработке, хранении и передаче в автоматизированных системах; использования средств защиты информации; разработку и принятие мер по предотвращению возможных опасных последствий таких нарушений, порядок обучения персонала практике работы с конфиденциальной информацией, предусмотренные эксплуатационной и технической документацией, порядок проверки электронного журнала обращений к АС, порядок контроля соблюдения условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией, правила обновления общесистемного и прикладного программного обеспечения, правила организации антивирусной защиты и парольной защиты, порядок охраны и допуска посторонних лиц в защищаемые помещения.
2. Термины и определения
В настоящем Положении применены следующие термины с соответствующими определениями:
Информационная безопасность - защита конфиденциальности, целостности и доступности информации.
Конфиденциальность - обеспечение доступа к информации только авторизованным пользователям.
Целостность - обеспечение достоверности и полноты информации и методов ее обработки.
Доступность - обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Администратор автоматизированной системы - лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.
Администратор защиты (безопасности) информации - лицо, ответственное за защиту АС от несанкционированного доступа к информации.
Безопасность информации - состояние защищенности информации, характеризуемое способностью гражданских служащих, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами.
Доступ к информации (доступ) - ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.
Автоматизированная система (АС) - система, состоящая из гражданских служащих и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций
Защита информации от несанкционированного доступа (защита от НСД) или воздействия - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию).
Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
Контролируемая зона (КЗ) - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание гражданских служащих и посетителей организации, а также транспортных, технических и иных материальных средств. Границей КЗ могут являться:
периметр охраняемой территории организации;
ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.
Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Несанкционированный доступ (НСД) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых СВТ или АС.
Техническая защита конфиденциальной информации (ТЗКИ) — защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования.
Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с основными техническими средствами и системами или в защищаемых помещениях.
Доступность информации - состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.
Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Локальная вычислительная сеть (ЛВС) - совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, в том числе с ЛВС, через определенные точки входа/выхода информации, которые являются границей ЛВС.
Межсетевой экран (МЭ) - это локальное (однокомпонентное) или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и (или) выходящей из АС.
Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации.
Система защиты информации от НСД (СЗИ НСД) - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в АС.
3. Организационные вопросы безопасности
3.1 Организационная инфраструктура информационной безопасности
3.1.1.Ответственным за разработку и реализацию политики информационной безопасности является начальник отдела информационных технологий и автоматизации министерства, который отвечает за ее реализацию и пересмотр в соответствии с установленной процедурой. Указанная процедура обеспечивает осуществление пересмотра политики информационной безопасности в соответствии с изменениями, влияющими на основу первоначальной оценки риска, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться ежегодно и включать:
проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;
определение стоимости мероприятий по управлению информационной безопасностью и их влияние на эффективность бизнеса;
оценку влияния изменений в технологиях.
3.1.2. Распределение обязанностей по обеспечению информационной безопасности.
Ответственность за организацию разработки и внедрения системы информационной безопасности, а также за оказание содействия в определении мероприятий по управлению информационной безопасностью возлагается на заместителя министра труда и занятости населения Оренбургской области.
Руководители структурных подразделений министерства несут ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в подразделениях министерства. В каждом структурном подразделении назначается ответственное лицо (администратор) для каждого информационного актива, в чьи повседневные обязанности входит обеспечение безопасности данного актива.
Приказом министра труда и занятости населения Оренбургской области (далее – министр) определяются:
информационные активы и процессы (процедуры) безопасности, связанные с каждой отдельной автоматизированной системой;
ответственные за эксплуатацию и обеспечение безопасности каждой автоматизированной системы;
уровни полномочий (авторизации) пользователей автоматизированных систем.
3.2. Учет информационных активов
Все основные информационные активы должны быть учтены и закреплены за ответственными лицами приказом министра. Приказ должен идентифицировать владельцев всех основных активов и определить их ответственность за поддержание соответствующих мероприятий по управлению информационной безопасностью. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива.
Информационными активами, связанными с информационными системами, являются:
информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;
активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;
физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;
услуги: вычислительные услуги и услуги связи, основные коммунальные услуги (отопление, освещение, электроэнергия, кондиционирование).
3.3. Классификация информации
С целью обеспечения защиты на надлежащем уровне информационных активов информацию следует классифицировать, чтобы определить ее приоритетность, необходимость и степень ее защиты. Конфиденциальная информация требует дополнительного уровня защиты или специальных методов обработки. Классификация информации позволяет определить, как эта информация должна быть обработана и защищена. Система классификации информации используется для определения соответствующего множества уровней защиты и потребности в специальных методах обработки.
Для проведения классификации автоматизированных систем министерства приказом министра создается комиссия. Результатом работы комиссии является Акт классификации автоматизированной системы.
При проведении классификации и категорирования автоматизированных систем комиссия пользуется руководящими документами:
руководящим документом ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
«Порядком классификации информационных систем персональных данных», утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008г. № 55/86/20;
«Специальными требованиями и рекомендациями по технической защите конфиденциальной информации по технической защите конфиденциальной информации (СТР-К)»;
другими действующими нормативными документами в области информационной безопасности
3.4. Учет вопросов безопасности в должностных регламентах гражданских служащих и при поступлении граждан на должности государственной гражданской службы в министерстве.
3.4.1. Доступ к конфиденциальной информации.
Система доступа представляет собой совокупность норм и правил, определяющих, кто из руководителей, кому из пользователей и с какими категориями документов может давать разрешение на ознакомление.
Система доступа должна отвечать следующим требованиям:
доступ к конфиденциальным документам может предоставляться гражданским служащим, письменно оформившим с представителем нанимателя отношения о неразглашении ставших им известными конфиденциальных сведений. Письменное оформление отношений о неразглашении конфиденциальной информации (соблюдения режима конфиденциальности) является обязательным условием для доступа исполнителей к документам;
доступ к конфиденциальным документам должен быть обоснованным, т.е. базироваться на служебной необходимости ознакомления с конкретным документом именно данного исполнителя;
система доступа должна давать возможность обеспечивать исполнителей всеми необходимыми им в силу служебных обязанностей документами, но только теми, которые действительно необходимы для выполнения конкретного вида работ;
доступ к документам должен быть санкционированным, т.е. осуществляться только по соответствующему разрешению уполномоченного на то должностного лица. При этом соответствующее должностное лицо может давать разрешение на ознакомление с документами только входящими в сферу его деятельности и только установленному кругу лиц;
доступ должен оформляться письменно по каждому конкретному конфиденциальному документу. При необходимости ознакомления исполнителя только с частью документа в разрешении на ознакомление должны быть указаны разделы (пункты или страницы), с которыми можно знакомить исполнителя.
Доступ гражданских служащих министерства к конфиденциальной информации осуществляется на добровольной основе. Эти отношения устанавливаются при поступлении гражданина на гражданскую службу или уже в ходе прохождения гражданской службы. При этом необходимо выполнить следующие условия:
ознакомить гражданского служащего под роспись с перечнем конфиденциальной информации;
ознакомить гражданского служащего под роспись с установленным в организации режимом по охране конфиденциальности и с мерами ответственности за его нарушение;
создать гражданскому служащему необходимые условия для соблюдения им установленного режима по охране конфиденциальности.
Права гражданских служащих на доступ к конфиденциальной информации и работу с ее носителями регулируются разрешениями полномочных должностных лиц, оформленными в письменном (документальном) виде.
Оформление таких разрешений осуществляется:
Министром в виде приказа о допуске к конфиденциальной информации;
Руководителями структурных подразделений министерства в отношении непосредственно подчиненных им гражданских служащих.
Именные (должностные) списки гражданских служащих, допускаемых к конфиденциальной информации, в обязательном порядке содержат должности и фамилии, а также категории сведений (документов), к которым они допускаются.
Разрешение может оформляться непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному гражданскому служащему; либо посредством указания (перечисления) в организационно-плановых и иных документах министерства гражданских служащих (их фамилий), которые при решении конкретных служебных и иных задач должны быть допущены к конфиденциальной информации.
Функции (роли) и ответственность в области информационной безопасности, должны быть документированы. В должностные регламенты включаются как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихся безопасности.
Руководители структурных подразделений обязаны:
ознакомить под расписку гражданского служащего, которому для выполнения его служебных обязанностей нужен доступ к информации, распространение которой в Российской Федерации ограничивается или запрещается, с перечнем информации, составляющей конфиденциальную информацию, обладателем которой является министерство;
ознакомить под расписку гражданского служащего с настоящим Положением и с мерами ответственности за его нарушение;
создать гражданскому служащему необходимые условия для соблюдения им установленного настоящим Положением порядка организации и проведения работ по защите конфиденциальной информации в министерстве.
3.4.2. Проверка граждан при поступлении на должности гражданской службы министерства и соответствующая политика.
Проверка достоверности представляемых гражданином персональных данных и иных сведений при поступлении на гражданскую службу осуществляется кадрово-правовым отделом министерства в соответствии с законодательством о прохождении гражданской службы Оренбургской области.
3.4.3. Соглашения о конфиденциальности.
Все гражданские служащие министерства и представители третьей стороны, использующие средства обработки информации министерства, должны подписывать соглашение о конфиденциальности (неразглашении).
Соглашения о конфиденциальности или соглашения о неразглашении используются для уведомления гражданских служащих о том, что информация является конфиденциальной. Гражданские служащие должны подписывать такое соглашение как неотъемлемую часть условий служебного контракта.
Условия соглашения должны определять ответственность служащего в отношении информационной безопасности. Эта ответственность должна сохраняться и в течение определенного срока (три года) после увольнения со службы. В соглашении указываются меры дисциплинарного воздействия, которые будут применимы в случае нарушения гражданским служащим требований безопасности.
3.4.4. Обучение пользователей.
С целью обеспечения уверенности в осведомленности пользователей об угрозах и проблемах, связанных с информационной безопасностью, и их оснащенности всем необходимым для соблюдения требований политики безопасности министерства при выполнении служебных обязанностей, пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности.
3.4.5. Обучение и подготовка в области информационной безопасности.
Все гражданские служащие минстерства должны пройти соответствующее обучение и получать на регулярной основе обновленные варианты политик и процедур информационной безопасности, принятых в министерстве. Обучение гражданских служащих должно обеспечить знание ими требований безопасности, ответственности в соответствии с законодательством, мероприятий по управлению информационной безопасностью, а также знание правильного использования средств обработки информации, например процедур регистрации в системах, использования пакетов программ, прежде чем им будет предоставлен доступ к информации или услугам.
3.4.6. Порядок работы гражданских служащих в части обеспечения безопасности данных при их обработке в АС.
При обработке данных в АС необходимо руководствоваться Положением по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях, утвержденным министром.
3.4.7. Реагирование на инциденты нарушения информационной безопасности и сбои.
Все гражданские служащие должны быть осведомлены о процедурах информирования о различных типах инцидентов нарушения информационной безопасности (нарушение безопасности, угроза, уязвимость системы или сбой), которые могли бы оказать негативное влияние на безопасность активов организации. Гражданские служащие должны немедленно сообщать о любых наблюдаемых или предполагаемых инцидентах своему непосредственному руководителю или администратору безопасности.
3.4.8. Порядок обучения гражданских служащих практике работы в АС в части обеспечения безопасности конфиденциальных данных.
3.4.8.1. Перед началом работы в АС пользователи должны ознакомиться с инструкциями по использованию программных и технических средств, по использованию средств защиты информации под роспись.
3.4.8.2. Пользователи должны продемонстрировать администратору безопасности и (или) ответственному за защиту информации наличие необходимых знаний и умений для выполнения требований настоящего Положения. Администратор безопасности должен вести журнал учета проверок знаний и навыков пользователей.
3.4.8.3. Пользователи, демонстрирующие недостаточные знания и умения для обеспечения безопасности конфиденциальных данных в соответствии с требованиями настоящего положения, к работе в АС не допускаются.
3.4.8.4. Ответственным за организацию обучения и оказание методической помощи в организации является администратор безопасности.
3.4.8.5. К работе в АС допускаются только гражданские служащие прошедшие первичный инструктаж ОБ в АС и показавшие твердые теоретические знания и практические навыки, о чём делается соответствующая запись в Журнале учёта допуска к работе в АС.
3.5. Требования по защите конфиденциальной информации, обрабатываемой в автоматизированных системах
3.5.1. Система (подсистема) защиты информации, обрабатываемой в АС различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических средств и мер по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.
3.5.2. Основными направлениями защиты информации являются:
обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД и специальных воздействий;
обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
3.5.3. В качестве основных мер защиты информации необходимо:
документально оформить перечень сведений конфиденциального характера;
система допуска пользователей к информации и связанным с ее использованием работам, документам должна осуществляться в соответствии с п. 3.4.1. настоящего Положения;
доступ гражданских служащих и посторонних лиц в ЗП и помещения, где размещены средства информатизации и коммуникационное оборудование должен быть ограничен;
действия пользователей АС, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц должен регистрироваться;
обеспечить учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение;
ответственным за эксплуатацию АС назначаются руководители структурных подразделений министерства;
из числа гражданских служащих назначается администратор безопасности АС;
автоматизированные системы обработки конфиденциальной информации должны быть аттестованы по требованиям безопасности информации.
3.6. Защита от вредоносного программного обеспечения
3.6.1. Общие положения
С целью обеспечения защиты целостности программного обеспечения и массивов информации должны быть приняты меры предотвращения и обнаружения внедрения вредоносного программного обеспечения.
Пользователи должны быть осведомлены об опасности использования неавторизованного или вредоносного программного обеспечения
С целью обнаружения и предотвращения проникновения вредоносного программного обеспечения автоматизированные системы должны быть оснащены средствами защиты от вредоносного программного обеспечения.
Устанавливаются следующие мероприятия по управлению информационной безопасностью:
в автоматизированных системах используется программное обеспечение на основе лицензионных соглашений, запрещается использование неавторизованного программного обеспечения;
запрещается получать файлы и программное обеспечение из внешних сетей, через внешние сети или из любой другой среды;
должно быть установлено и регулярно обновляться антивирусное программное обеспечение для обнаружения и сканирования компьютеров и носителей информации, запускаемое в случае необходимости в качестве превентивной меры или рутинной процедуры;
должна обеспечиваться проверка всех файлов на носителях информации сомнительного или неавторизованного происхождения или файлов, полученных из общедоступных сетей, на наличие вирусов перед работой с этими файлами;
должна обеспечиваться проверка любых вложений электронной почты и скачиваемой информации на наличие вредоносного программного обеспечения до их использования.
3.6.2. Правила антивирусной защиты.
При обеспечении антивирусной защиты необходимо руководствоваться п. 7 Положения по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях, утвержденным министром.
3.7. Резервирование информации
3.7.1. Общие положения
Резервное копирование важной служебной информации и программного обеспечения должно выполняться на регулярной основе. В каждом структурном подразделении назначается сотрудник, отвечающий за резервное копирование. Назначение оформляется приказом министра.
Должны выполняться следующие мероприятия по управлению информационной безопасностью:
минимально необходимый объем резервной информации, вместе с точными и полными регистрационными записями по содержанию резервных копий, а также документация по процедурам восстановления во избежание любого повреждения от стихийных бедствий должны храниться в отдельном месте;
резервная информация должна быть обеспечена гарантированным уровнем физической защиты и защиты от воздействий окружающей среды;
резервное оборудование должно регулярно подвергаться тестированию для обеспечения уверенности в том, что в случае возникновения чрезвычайных ситуаций на его работу можно положиться;
процедуры восстановления следует регулярно актуализировать и тестировать для обеспечения уверенности в их эффективности, а также в том, что для выполнения этих процедур потребуется не больше времени, чем определено операционными процедурами восстановления;
ответственным за организацию резервирования назначается руководитель структурного подразделения.
3.7.2. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации определен п.3 Положения по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях, утвержденным министром.
3.8. Безопасность носителей информации.
3.8.1. Общие положения
С целью предотвращения повреждений активов использование носителей информации должно контролироваться, а также должна обеспечиваться их физическая безопасность.
Должны выполняться следующие мероприятия по управлению информационной безопасностью:
если носители информации многократного использования больше не требуются и передаются за пределы организации, то их содержимое должно быть гарантированно уничтожено;
в отношении всех уничтожаемых носителей информации должно быть принято соответствующее решение, а также должна быть сделана запись в регистрационном журнале;
все носители информации следует хранить в надежном, безопасном месте в соответствии с требованиями изготовителей.
Носители информации по окончании использования следует надежно и безопасно утилизировать. Для этого необходимо предусматривать следующие мероприятия:
а) носители, содержащие важную информацию, следует хранить и утилизировать надежно и безопасно (посредством сжигания/измельчения). Если носители планируется использовать в пределах организации для других задач, то информация на них должна быть уничтожена;
б) перечень объектов, в отношении которых может потребоваться безопасная утилизация:
1) бумажные документы;
2) выводимые отчеты;
3) сменные диски;
4) оптические носители данных (все разновидности, в том числе носители, содержащие программное обеспечение, поставляемое производителями).
3.8.2. Порядок стирания защищаемой информации и уничтожения носителей защищаемой информации п.12 Положения по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах, утвержденным министром.
3.9. Безопасность электронной почты
Электронная почта используется для обмена служебной информацией. Правила использования электронной почты:
доступ к официальному адресу электронной почты должен быть ограничен согласно п.3.4.1. Допуск к конфиденциальной информации настоящего Положения;
должны выполняться мероприятия в части антивирусной защиты почтовых сообщений;
пароль доступа в электронной почте хранится у администратора безопасности, смена производится ежеквартально, а при смене сотрудника – немедленно.
3.10. Использование паролей.
3.10.1. Общие положения:
Пользователи обязаны соблюдать правила обеспечения безопасности при выборе и использовании паролей, должны быть осведомлены о необходимости:
а) сохранения конфиденциальности паролей;
б) запрещения записи паролей на бумаге, если только не обеспечено безопасное их хранение;
в) изменения паролей всякий раз, при наличии любого признака возможной компрометации системы или пароля;
г) выбора качественных паролей с минимальной длиной в девять знаков, которые: легко запомнить; не подвержены легкому угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля, например, имен, номеров телефонов, дат рождения и т.д.; не содержат последовательных идентичных символов и не состоят из полностью числовых или полностью буквенных групп;
д) изменения паролей через равные интервалы времени или после определенного числа доступов и исключения повторного или цикличного использования старых паролей;
е) изменения временных паролей при первой регистрации в системе;
ж) запрещения включения паролей в автоматизированный процесс регистрации, например, с использованием хранимых макрокоманд или функциональных клавиш;
з) исключения коллективного использования индивидуальных паролей.
3.10.2. Правила парольной защиты обеспечиваются согласно п.8 Положения по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах и защищаемых помещениях, утвержденным министром.
3.11. Ответственность за нарушение правил обращения с конфиденциальной информацией
3.11.1. Требования настоящего Положения обязательны для всех пользователей, обрабатывающих конфиденциальную информацию.
3.11.2. Нарушения, связанные с выполнением требований руководящих документов по информационной безопасности, применению средств защиты информации и разграничения доступа, использованию технического, информационного и программного обеспечения, по степени их опасности делятся на нарушения первой, второй и третьей категории.
3.11.3. К нарушениям первой категории относятся нарушения, повлекшие за собой разглашение (утечку) защищаемых сведений, утрату содержащих их машинных носителей информации и машинных документов, уничтожение (искажение) информационного и программного обеспечения, выведение из строя технических средств.
3.11.4. К нарушениям второй категории относятся нарушения, в результате которых возникают предпосылки к разглашению (утечке) защищаемых сведений или утрате содержащих их машинных носителей информации и машинных документов, уничтожению (искажению) информационного и программного обеспечения, выведению из строя технических средств.
3.11.5. Остальные нарушения относятся к нарушениям третьей категории.
3.11.6. Ответственность за разглашение конфиденциальной информации и утрату носителей информации.
Разглашение конфиденциальной информации — предание огласке этой информации гражданским служащим, допущенным к ней в связи с выполнением функциональных (должностных) обязанностей.
Под утратой носителей конфиденциальной информации (документов, материалов, изделий) понимается выход (в том числе на непродолжительное время) этих носителей из владения гражданского служащего, который в установленном порядке допущен к ним в связи с выполнением функциональных (должностных) обязанностей, в результате чего данные носители стали либо могли стать достоянием посторонних лиц.
За разглашение конфиденциальной информации, утрату носителей конфиденциальной информации и нанесение вследствие этих действий ущерба министерству виновные лица привлекаются к дисциплинарной, материальной, административной или уголовной ответственности.
Приложение № 5
к приказу министра труда и
занятости населения
Оренбургской области
от 27.02.2013 № 45
ПОЛОЖЕНИЕ
по обеспечению безопасности конфиденциальной информации при ее обработке в автоматизированных системах (далее - АС) и
защищаемых помещениях министерства труда и занятости
населения Оренбургской области
Порядок работы персонала в части обеспечения безопасности данных при их обработке в АС
Настоящий порядок определяет действия гражданских служащих АС в части обеспечения безопасности данных при их обработке в АС.
1.1. Допуск пользователей для работы на компьютерах АС осуществляется на основании приказа министра труда и занятости Оренбургской области (далее - министр), и в соответствии со списком лиц допущенных к работе в АС. С целью обеспечения ответственности за ведение, нормальное функционирование и контроль работы средств защиты информации в АС министром назначается администратор безопасности; с целью контроля выполнения необходимых мероприятий по обеспечению безопасности ответственный за защиту информации.
1.1. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам АС. Полномочия пользователей к информационным ресурсам определяются в списке должностных лиц, которым необходим доступ к конфиденциальной информации, утверждаемом министром. При этом для хранения информации, содержащей конфиденциальные сведения, разрешается использовать только машинные носители информации, учтенные в Журнале учета машинных носителей.
1.3. Пользователь несет ответственность за правильность включения и выключения средств вычислительной техники (СВТ), входа в систему и все действия при работе в АС.
1.4. Вход пользователя в систему может осуществляться по выдаваемому ему электронному идентификатору или по персональному паролю.
1.5. Запись информации, содержащей конфиденциальные данные, может, осуществляется пользователем на съемные машинные носители информации, соответствующим образом учтенные в Журнале учета машинных носителей.
1.6. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах АС. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения.
1.7. Каждый гражданский служащий, участвующий в рамках своих функциональных обязанностей в процессах обработки конфиденциальных данных и имеющий доступ к аппаратным средствам, программному обеспечению и данным АС, несет персональную ответственность за свои действия и обязан:
строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;
знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах АС;
хранить в тайне свой пароль (пароли). В соответствии с п.п. 8.5., 8.6. данного Положения и с установленной периодичностью менять свой пароль (пароли);
хранить установленным порядком свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);
выполнять требования Положения по организации антивирусной защиты в полном объеме.
Немедленно известить ответственного за защиту информации и (или) администратора безопасности в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении:
нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на составляющих узлах и блоках СВТ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее - НСД) к данным защищаемым СВТ;
несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств АС;
отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию СВТ, выхода из строя или неустойчивого функционирования узлов СВТ или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения;
некорректного функционирования установленных на компьютеры технических средств защиты;
непредусмотренных отводов кабелей и подключенных устройств.
Пользователю категорически запрещается:
использовать компоненты программного и аппаратного обеспечения ПЭВМ в неслужебных целях;
самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств АС или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения;
осуществлять обработку конфиденциальных данных в присутствии посторонних (не допущенных к данной информации) лиц;
записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных машинных носителях информации (гибких магнитных дисках и т.п.);
оставлять включенным без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, машинные носители и бумажные документы, содержащие защищаемую информацию (сведения ограниченного распространения);
умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации;
размещать средства АС так, чтобы с них отсутствовала возможность визуального считывания информации.
1.8. Администратор безопасности (а при его отсутствии – ответственный за защиту информации) обязан:
знать состав основных и вспомогательных технических систем и средств (далее - ОТСС и ВТСС) установленных и смонтированных в АС, перечень используемого программного обеспечения (далее - ПО) в АС;
контролировать целостность печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных СВТ и других устройствах;
производить необходимые настройки подсистемы управления доступом установленных в АС СЗИ от НСД и сопровождать их в процессе эксплуатации, при этом:
реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.);
вводить описания пользователей АС в информационную базу СЗИ от НСД;
своевременно удалять описания пользователей из базы данных СЗИ при изменении списка допущенных к работе лиц;
контролировать доступ лиц в помещение в соответствии со списком гражданских служащих, допущенных к работе в АС;
проводить инструктаж гражданских служащих - пользователей компьютеров по правилам работы с используемыми техническими средствами и системами защиты информации;
контролировать своевременное (не реже чем один раз в течение 360 дней) проведение смены паролей для доступа пользователей к компьютерам и ресурсам АС;
обеспечивать постоянный контроль выполнения гражданскими служащими установленного комплекса мероприятий по обеспечению безопасности информации в АС;
осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных;
настраивать и сопровождать подсистемы регистрации и учета действий пользователей при работе в АС;
вводить в базу данных СЗИ от несанкционированного доступа описания событий, подлежащих регистрации в системном журнале;
проводить анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам не реже одного раза в 10 дней;
организовывать печать файлов пользователей на принтере и осуществлять контроль соблюдения установленных правил и параметров регистрации и учета бумажных носителей информации. Сопровождать подсистемы обеспечения целостности информации в АС;
периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;
восстанавливать программную среду, программные средства ии настройки СЗИ при сбоях;
вести две копии программных средств СЗИ от НСД и контролировать их работоспособность;
контролировать отсутствие на магнитных носителях остаточной информации по окончании работы пользователей;
периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядок и правила проведения антивирусного тестирования;
проводить работу по выявлению возможных каналов вмешательства в процесс функционирования АС и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники;
сопровождать подсистему защиты информации от утечки за счет побочных электромагнитных излучений и наводок, контролировать соблюдение требований по размещению и использованию технических средств АС;
контролировать соответствие документально утвержденного состава аппаратной и программной части АС реальным конфигурациям АС, вести учет изменений аппаратно-программной конфигурации;
обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания АС и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);
присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию АС;
вести «Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания СВТ, выполнения профилактических работ, установки и модификации аппаратных и программных средств СВТ»;
поддерживать установленный порядок проведения антивирусного контроля согласно требований настоящего Положения в случае отказа средств и систем защиты информации принимать меры по их восстановлению;
докладывать ответственному за защиту информации, ответственному за эксплуатацию АС о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;
вести документацию на АС в соответствии с требованиями нормативных документов.
1.9. Администратор безопасности и ответственный за защиту информации имеют право:
требовать от гражданских служащих - пользователей АС соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в АС;
инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов АС;
требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.
Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации
Настоящий порядок определяет организацию резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.
2.1. К использованию, для создания резервной копии АС, допускаются только зарегистрированные в журнале учета носители.
2.2. Администратор безопасности обязан осуществлять периодическое резервное копирование конфиденциальной информации.
2.3. Еженедельно, по окончанию работы c конфиденциальными документами (содержащими конфиденциальные данные) на компьютере, пользователь, при отсутствии администратора, обязан создавать резервную копию конфиденциальных документов на зарегистрированный носитель (ЖМД, ГМД, CD, DVD – диски, USB накопитель, другие), создавая тем самым резервный электронный архив конфиденциальных документов.
2.4. Носители информации (ЖМД, ГМД, CD-ROM, USB накопитель, другие), предназначенные для создания резервной копии и хранения конфиденциальной информации выдаются в установленном порядке, ответственным за защиту информации и (или) администратором. По окончании процедуры резервного копирования электронные носители конфиденциальной информации сдаются на хранение администратору безопасности или ответственному за защиту информации.
2.5. Перед резервным копированием пользователь или администратор безопасности обязан проверить электронный носитель (ЖМД, ГМД, CD-ROM, USB накопитель) на отсутствие вирусов.
2.6. Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль в соответствии с п. 7 настоящего Положения.
2.7. Запрещается запись посторонней информации на электронные носители (ЖМД, ГМД, CD-ROM, USB накопитель и другие) резервной копии.
2.8. Порядок создания резервной копии:
вставить в компьютер зарегистрированный электронный носитель (ЖМД, ГМД, CD-ROM, USB накопитель, другие) для резервного копирования;
выбрать необходимый каталог (файл) для создания резервного архива;
при использовании систем управления базами данных необходимо создать файл с резервной копией защищаемой информации с помощью встроенных средств системы;
выполнить процедуру создания резервной копии;
произвести копирование на отчуждаемый носитель;
произвести отключение отчуждаемого носителя и, создав необходимые записи в журналах, убрать носитель в хранилище.
2.9. Хранение отчуждаемого носителя с резервной копией защищаемой информации осуществляется в специальном металлическом хранилище совместно с ключевой и аутентифицирующей информацией.
2.10. При восстановлении работоспособности программного обеспечения сначала осуществляется резервное копирование защищаемой информации, затем производится полная деинсталляция некорректно работающего программного обеспечения.
2.11. Восстановление программного обеспечения производится путем его инсталляции с использованием эталонных дистрибутивов, хранение которых осуществляется администратором безопасности в специальном хранилище.
2.12. При необходимости ремонта технических средств, с них удаляются опечатывающие пломбы и по согласованию с администратором безопасности, ответственным за защиту информации и представителем организации, проводившей аттестацию, оборудование передается в сервисный центр производителя. Ремонт носителей защищаемой информации не допускается. Неисправные носители с защищаемой информацией подлежат уничтожению в соответствии с порядком уничтожения носителей защищаемой информации. Работа с использованием неисправных технических средств запрещается.
2.13. При работе на компьютерах АС рекомендуется использовать источники бесперебойного питания, с целью предотвращения повреждения технических средств и(или) защищаемой информации в результате сбоев в сети электропитания.
2.14. При восстановлении работоспособности средств защиты информации следует выполнить их настройку в соответствии с требованиями безопасности информации, изложенными в техническом задании на создание системы защиты. Настройку данных средств должен выполнять сотрудник организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
2.15. Восстановление средств защиты информации производится с использованием эталонных сертифицированных дистрибутивов, которые хранятся в хранилище. После успешной настройки средств защиты информации необходимо выполнить резервное копирование настроек данных средств с помощью встроенных в них функций на зарегистрированный носитель.
2.16. Ответственность за проведение резервного копирования в АС в соответствии с требованиями настоящего Положения возлагается на администратора безопасности.
2.17. Ответственность за проведение мероприятий по восстановлению работоспособности технических средств и программного обеспечения баз данных возлагается на администратора безопасности.
2.18. Ответственность за проведение мероприятий по восстановлению средств защиты информации (далее – СЗИ) возлагается администратора безопасности.
Порядок контроля защиты информации в АС. Порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей конфиденциальных данных, использования средств защиты информации и принятие мер по предотвращению возможных опасных последствий
3.1. Контроль защиты информации в АС - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения посторонними лицами охраняемых сведений, выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности систем информатизации.
3.2. Основными задачами контроля являются:
проверка организации выполнения мероприятий по защите информации в подразделениях министерства труда и занятости населения Оренбургской области (далее - министерство), учета требований по защите информации в разрабатываемых плановых и распорядительных документах;
выявление демаскирующих признаков объектов АС;
уточнение зон перехвата обрабатываемой на объектах информации, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;
проверка выполнения требований по защите АС от несанкционированного доступа;
проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;
проверка знаний гражданских служащих по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места;
оперативное принятие мер по пресечению нарушений требований (норм) защиты информации в АС;
разработка предложений по устранению (ослаблению) демаскирующих признаков и технических каналов утечки информации.
3.3. Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей в АС министерство и осуществляется по объектовому принципу, при котором на объекте одновременно проверяются все вопросы защиты информации. Перечень каналов утечки устанавливается в соответствии с моделью угроз.
3.4. В ходе контроля проверяются:
соответствие принятых мер по обеспечению безопасности данных (далее – ОБ);
своевременность и полнота выполнения требований настоящего Положения и других руководящих документов ОБ;
полнота выявления демаскирующих признаков охраняемых сведений об объектах защиты и возможных технических каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
эффективность применения организационных и технических мероприятий по защите информации;
устранение ранее выявленных недостатков.
Кроме того, могут проводиться необходимые измерения и расчеты, приглашенными для этих целей специалистами организации, имеющей соответствующие лицензии ФСТЭК России.
3.5. Основными видами технического контроля являются визуально-оптический контроль, контроль эффективности защиты информации от утечки по техническим каналам, контроль несанкционированного доступа к информации и программно-технических воздействий на информацию.
3.6. Полученные в ходе ведения контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. При обнаружении нарушений норм и требований по защите информации администратор безопасности докладывает министру для принятия им решения о прекращении обработки информации и проведения соответствующих организационных и технических мер по устранению нарушения. Результаты контроля защиты информации оформляются актами либо в соответствующих журналах учета результатов контроля.
3.7. Невыполнение предписанных мероприятий по защите конфиденциальных данных, считается предпосылкой к утечке информации (далее - предпосылка).
По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований по указанию министра или ответственного за защиту информации проводится расследование.
Для проведения расследования назначается комиссия с привлечением администратора безопасности. Комиссия обязана установить, имела ли место утечка сведений, и обстоятельства ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению. После окончания расследования министр принимает решение о наказании виновных лиц и необходимых мероприятиях по устранению недостатков.
3.8. Ведение контроля защиты информации осуществляется путем проведения периодических, плановых и внезапных проверок объектов защиты. Периодические, плановые и внезапные проверки объектов министерства проводятся, как правило, силами администратора безопасности и (или) ответственного за защиту информации, в соответствии с утвержденным планом или по согласованию с министром.
3.9. Одной из форм контроля защиты информации является обследование объектов АС. Оно проводится не реже одного раза в год рабочей группой в составе администратора безопасности, ответственного за защиту информации, ответственного за эксплуатацию объекта. Для обследования АС может привлекаться организация, имеющая лицензию ФСТЭК России на деятельность по технической защите информации.
3.10. Обследование АС проводится с целью определения соответствия помещений, технических и программных средств требованиям по защите информации, установленным требованиям по безопасности конфиденциальных данных.
3.11. В ходе обследования проверяется:
соответствие текущих условий функционирования обследуемого объекта АС условиям, сложившимся на момент проверки;
соблюдение организационно-технических требований помещений, в которых располагается АС;
сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;
соответствие выполняемых на объекте АС мероприятий по защите информации данным, изложенным в настоящем положении;
выполнение требований по защите информационных систем от несанкционированного доступа;
выполнение требований по антивирусной защите.
3.12. Для выявления радиоэлектронных устройств и проводов неизвестного назначения, преднамеренного нарушения защитных свойств оборудования, а также не предусмотренных правилами эксплуатации отводов от оборудования и соединительных линий, проложенных в выделенных и защищаемых помещениях, а также других нарушений и способов возникновения каналов утечки информации необходимо:
тщательно осмотреть мебель, сувениры (особенно иностранного производства), оборудование, установленное в этом помещении, осветительную аппаратуру, ниши отопительных батарей, шторы, оконные проемы и т.д.;
вскрыть и осмотреть розетки, выключатели осветительной сети, люки вентиляции и каналы скрытой проводки;
проверить качество установки стеклопакетов оконных приемов;
провести аппаратурную проверку помещения на отсутствие возможно внедренных электронных устройств перехвата информации (при наличии соответствующей аппаратуры), при необходимости для проведения данных видов работ могут привлекаться организации, имеющие соответствующие лицензии ФСБ России.
3.13. Государственный контроль состояния защиты информации осуществляется Федеральной службы по техническому и экспортному контролю России и Федеральной службой безопасности России в рамках их полномочий в соответствии с действующим законодательством Российской Федерации. Доступ представителей указанных федеральных органов исполнительной власти на объекты для проведения проверки, а также к работам и документам в объеме, необходимом для осуществления контроля, обеспечивается в установленном порядке по предъявлении служебного удостоверения сотрудника, а также документа установленной формы на право проведения проверки.
Порядок обучения персонала практике работы в АС в части обеспечения безопасности конфиденциальных данных
4.1. Перед началом работы в АС пользователи должны ознакомиться с инструкциями по использованию программных и технических средств, по использованию средств защиты информации под роспись.
4.2. Пользователи должны продемонстрировать администратору безопасности и(или) ответственному за защиту информации наличие необходимых знаний и умений для выполнения требований настоящего Положения. Администратор безопасности должен вести журнал учета проверок знаний и навыков пользователей.
4.3. Пользователи, демонстрирующие недостаточные знания и умения для обеспечения безопасности конфиденциальных данных в соответствии с требованиями настоящего положения, к работе в АС не допускаются.
4.4. Ответственным за организацию обучения и оказание методической помощи в организации является администратор безопасности.
4.5. Для проведения занятий, семинаров и совещаний могут привлекаться специалисты по программному и техническому обеспечению, а также специалисты органов по аттестации объектов АС, организаций-лицензиатов ФСТЭК России и ФСБ России.
4.6. К работе в АС допускаются только гражданские служащие прошедшие первичный инструктаж ОБ в АС и показавшие твердые теоретические знания и практические навыки, о чём делается соответствующая запись в Журнале учёта допуска к работе в АС.
5. Порядок проверки электронного журнала обращений к АС
5.1. Настоящий раздел Положения определяет порядок проверки электронных журналов обращений к ресурсам АС.
5.2. Проверка электронного журнала обращений проводится с целью выявления несанкционированного доступа к защищаемой информации в АС.
5.3. Право проверки электронного журнала обращений имеют:
администратор безопасности;
ответственный за защиту информации;
министр.
5.4. На технических средствах АС, на которых установлены специализированные средства защиты информации (далее – СЗИ) типа «Страж», «Secret Net» и другие, проверка электронного журнала производится в соответствии с прилагаемым к указанным СЗИ Руководством.
5.5. Если в ходе периодических, плановых или внезапных проверок АС выявлены случай НСД к информации конфиденциального характера то вступает в силу п.п. 3.7., 3.8. данного Положения.
5.6. Проверке подлежат все электронные журналы АС.
5.7. Проверка должна проводиться не реже чем один раз в полгода с целью своевременного выявления фактов нарушения требований настоящего Положения.
5.8. Факты проверок электронных журналов отражаются в специальном журнале проверок. После каждой проверки Администратор безопасности делает соответствующую отметку в журнале и ставит свою роспись.
6. Правила антивирусной защиты
6.1. Настоящие правила определяют требования к организации защиты объекта АС от разрушающего воздействия вредоносного программного обеспечения (ПО), компьютерных вирусов и устанавливает ответственность руководителя и сотрудников, эксплуатирующих и сопровождающих компьютеры в составе АС, за их выполнение. Настоящие правила распространяются на все объекты АС министерства труда и занятости населения Оренбургской области.
6.2. К использованию на компьютерах допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств.
6.3. Установка и начальная настройка средств антивирусного контроля на компьютерах осуществляется администратором безопасности.
6.4. Администратор безопасности осуществляет периодическое обновление антивирусных пакетов и контроль их работоспособности.
6.5. Ярлык (ссылка) для запуска антивирусной программы должен быть доступен всем пользователям информационной системы.
6.6. Еженедельно в начале работы, после загрузки компьютера в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов компьютеров.
Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
Настройки средств антивирусной защиты должны быть выполнены в соответствии с требованиями безопасности, определенного для данной АС класса. Настройку средств антивирусной защиты выполняет администратор безопасности.
6.7. Файлы, помещаемые в электронный архив на магнитных носителях, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
6.8. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера, администратором безопасности должна быть выполнена антивирусная проверка АС.
6.9. На компьютеры запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.
6.10. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь самостоятельно (или вместе с администратором безопасности) должен провести внеочередной антивирусный контроль компьютера.
В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь обязан:
приостановить обработку данных в АС;
немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора безопасности, а также смежные подразделения, использующие эти файлы в работе;
совместно с владельцем зараженных вирусом файлов провести анализ возможности, дальнейшего их использования;
провести лечение или уничтожение зараженных файлов.
6.11. Ответственность за организацию антивирусного контроля в АС в соответствии с требованиями настоящего Положения возлагается на ответственного за защиту информации.
6.12. Ответственность за проведение мероприятий антивирусной защиты в конкретной АС и соблюдение требований настоящего Положения возлагается на администратора безопасности и всех пользователей данной АС.
7. Правила парольной защиты
7.1. Данные правила регламентируют организационно-технические мероприятия по обеспечению процессов генерации, смены и прекращения действия паролей в АС, а также контроль действий пользователей при работе с паролями.
7.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль действий пользователей при работе с паролями возлагается на администратора безопасности.
7.3. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями ОВТ самостоятельно с учетом следующих требований:
пароль должен быть не менее 9 символов;
в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.);
символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа, должны вводиться в режиме латинской раскладки клавиатуры;
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
при смене пароля новое значение должно отличаться от предыдущих;
пользователь не имеет права сообщать личный пароль другим лицам.
Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
7.4. В случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п. технологической необходимости использования имен и паролей гражданских служащих (исполнителей) в их отсутствие, гражданские служащие обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение руководителю структурного подразделения. Запечатанные конверты (пеналы) с паролями исполнителей должны храниться в недоступном месте у руководителя структурного подразделения.
7.5. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в течение 360 дней.
7.6. Внеплановая смена личного пароля или удаление учетной записи пользователя АС в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) должна производиться администратором безопасности (либо новым постоянным пользователем) немедленно после окончания последнего сеанса работы данного пользователя с системой на основании указания начальника отдела.
7.7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) администратора безопасности.
7.8. В случае компрометации личного пароля пользователя АС должны быть немедленно предприняты меры по восстановлению парольной защиты.
7.9. Контроль действий пользователей при работе с паролями, соблюдение порядка их смены, хранения и использования возлагается на администратора безопасности.
8. Правила обновления общесистемного и прикладного
программного обеспечения, технического обслуживания АС
8.1. Настоящие правила регламентируют обеспечение безопасности информации при проведении обновлении, модификации общесистемного и прикладного программного обеспечения, технического обслуживания и при возникновении нештатных ситуаций в работе АС.
8.2. Все изменения конфигураций технических и программных средств АС должны производиться только на основании заявок ответственного за эксплуатацию конкретного АС.
8.3. Право внесения изменений в конфигурацию аппаратно-программных средств защищенных АС предоставляется:
в отношении системных и прикладных программных средств – администратору безопасности по согласованию с органом по аттестации, проводившим аттестацию данной АС;
в отношении аппаратных средств, а также в отношении программно-аппаратных средств защиты – администратору безопасности по согласованию с органом по аттестации, проводившим аттестацию данной АС.
8.4. Изменение конфигурации аппаратно-программных средств АС кем-либо, кроме вышеперечисленных уполномоченных должностных лиц, запрещено.
8.5. Процедура внесения изменений в конфигурацию системных и прикладных программных средств АС инициируется заявкой ответственного за эксплуатацию АС.
8.6. В заявке могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств АС:
установка (развертывание) на компьютер(ы) программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи в данной АС;
обновление (замена) на компьютере(ах) программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);
удаление с компьютера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данном компьютере).
8.7. Также в заявке указывается условное наименование АС. Наименования задач указываются в соответствии с перечнем задач архива дистрибутивов установленного программного обеспечения, которые можно решать с использованием указанного компьютера.
8.8. Заявку ответственного за эксплуатацию АС передается администратору безопасности для непосредственного исполнения работ по внесению изменений в конфигурацию компьютера указанного в заявке АС.
8.9. Подготовка обновления, модификации общесистемного и прикладного программного обеспечения АС тестирование, стендовые испытания (при необходимости) и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного программного обеспечения, внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на компьютерах, (обновление) и удаление системных и прикладных программных средств производится администратором безопасности по согласованию с органом по аттестации, проводившим аттестацию данной АС. Работы производятся в присутствии ответственного за эксплуатацию данной АС.
8.10. Установка или обновление подсистем АС должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
8.11. Установка и обновление ПО (системного, тестового и т.п.) на компьютерах производится только с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т.п.), полученных установленным порядком, прикладного ПО – с эталонных копий программных средств, полученных из архива дистрибутивов установленного программного обеспечения.
8.12. Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность, а также отсутствие опасных функций.
8.13. После установки (обновления) ПО, администратор безопасности должен произвести требуемые настройки средств управления доступом к компонентам компьютера и проверить работоспособность ПО и правильность их настройки и произвести соответствующую запись в «Журнале учета нештатных ситуаций в АС, выполнения профилактических работ, установки и модификации программных средств на компьютерах АС», делает отметку о выполнении (на обратной стороне заявки).
8.14. Формат записей «Журнала учета нештатных ситуаций АС, выполнения профилактических работ, установки и модификации программных средств на компьютерах АС» устанавливается приказом министра.
8.15. При возникновении ситуаций, требующих передачи технических средств в сервисный центр с целью ремонта, ответственный за ее эксплуатацию докладывает об этом ответственному за защиту информации, который в свою очередь связывается с сотрудниками органа по аттестации и в дальнейшем действует согласно их инструкций. В данном случае администратор безопасности обязан предпринять необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Оригиналы заявок (документов), на основании которых производились изменения в составе программных средств компьютеров с данными о внесении изменений в состав программных средств, должны храниться вместе с техническим паспортом на АС и «Журналом учета нештатных ситуаций АС, выполнения профилактических работ, установки и модификации программных средств на компьютерах АС» у ответственного за защиту информации.
8.16. Копии заявок могут храниться у администратора безопасности:
для восстановления конфигурации АС после аварий;
для контроля правомерности установки на АС средств для решения соответствующих задач при разборе конфликтных ситуаций;
для проверки правильности установки и настройки средств защиты АС.
8.17. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью администратора безопасности и гражданского служащего ответственного за эксплуатацию данной АС.
8.18. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе на компьютерах конкретной АС, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать на данном компьютере.
8.19. Использование несколькими гражданскими служащими при работе в АС одного и того же имени пользователя («группового имени») запрещено.
8.20. Процедура регистрации (создания учетной записи) пользователя и предоставления ему (или изменения его) прав доступа к ресурсам АС инициируется заявкой ответственного за эксплуатацию данной АС.
В заявке указывается:
содержание запрашиваемых изменений (регистрация нового пользователя АС, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам АС ранее зарегистрированного пользователя);
должность (с полным наименованием структурного подразделения), фамилия, имя и отчество сотрудника;
имя пользователя (учетной записи) данного гражданского служащего;
полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач в АС).
8.21. Заявку рассматривает заместитель министра,ответственный за защиту информации, визирует её, утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного гражданского служащего к необходимым для решения им указанных в заявке задач ресурсам АС. Затем подписывает задание администратору безопасности на внесение необходимых изменений в списки пользователей соответствующих подсистем АС.
8.22. На основании задания, в соответствии с документацией на средства защиты от несанкционированного доступа, администратор безопасности производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора), заявленных прав доступа к ресурсам АС и другие необходимые действия, указанные в задании. Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в течение 360 дней.
8.23. После внесения изменений в списки пользователей администратор безопасности должен обеспечить настройки средств защиты соответствующие требованиям безопасности указанной АС. По окончании внесения изменений в списки пользователей в заявке делается запись о выполнении задания за подписью исполнителя – администратор безопасности.
8.24. Гражданскому служащему, зарегистрированному в качестве нового пользователя АС, сообщается имя соответствующего ему пользователя и может выдаваться персональный идентификатор (для работы в режиме усиленной аутентификации) и начальное (-ые) значение (-ия) пароля (-ей), которое (-ые) он обязан сменить при первом же входе в систему.
8.25. Исполненные заявка и задание хранятся у администратора безопасности.
Они могут впоследствии использоваться:
для восстановления полномочий пользователей после аварий АС;
для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам АС при разборе конфликтных ситуаций;
для проверки сотрудниками контролирующих органов правильности настройки средств разграничения доступа к ресурсам АС.
9. Порядок контроля соблюдения условий использования средств защиты информации, в том числе криптографических
9.1. Данный раздел Положения определяет порядок контроля соблюдения условий использования средств защиты информации (далее - СЗИ).
9.2. Технические средства защиты информации являются важным компонентом ОБ.
9.3. Порядок работы с техническими СЗИ определен в соответствующих руководствах по настройке и использованию СЗИ обязательных для исполнения, как гражданскими служащими обрабатывающими конфиденциальную информацию, так и администратором безопасности АС.
9.4. Право проверки соблюдения условий использования средств защиты информации имеют:
министр;
ответственный за защиту информации;
администратор безопасности.
8.5. Пользователю АС категорически запрещается:
обрабатывать конфиденциальную информацию с отключенными СЗИ;
менять настройки СЗИ.
9.6. Администратору безопасности запрещается менять настройки программно-аппаратных СЗИ предустановленные специалистом организации, имеющей лицензию на деятельность по технической защите информации, без согласования с этой организацией.
9.7. Если в ходе периодических, плановых или внезапных проверок АС выявлено нарушение требования п. 8.5. то вступает в силу п.п. 3.7., 3.8. данного Положения.
9.8. Криптографические средства защиты информации должны использоваться в соответствии с технической и эксплуатационной документацией на них, а также в соответствии с правилами пользования ими.
10. Порядок охраны и допуска посторонних лиц в защищаемые помещения
10.1. Настоящее Положение устанавливает порядок охраны (сдачи под охрану) защищаемых помещений АС.
10.2. Вскрытие и закрытие помещений осуществляется гражданскими служащими, работающими в данных помещениях.
Список гражданских служащих, имеющих право вскрывать (сдавать под охрану) и опечатывать помещения утверждается приказом министра и передаётся на пост охраны.
10.3. При отсутствии сотрудников, ответственных за вскрытие (сдачу под охрану) помещений, данные помещения могут быть вскрыты комиссией, созданной на основании приказа, о чем составляется акт.
10.4. При закрытии помещений и сдачей их под охрану гражданские служащие, ответственные за помещения проверяют закрытие окон, выключают освещение, бытовые приборы, оргтехнику и проверяют противопожарное состояние помещения, а документы и носители информации на которых содержится конфиденциальная информация убираются для хранения в опечатываемый сейф (металлический шкаф).
10.5. Помещение сдается под охрану следующим образом:
сдается помещение и опечатанный пенал с ключами, под роспись с указанием даты и времени сдачи под охрану.
10.6. Гражданских служащий, имеющий право на вскрытие помещений:
получает на посту охраны пенал с ключами от помещения под роспись в Журнале с указанием даты и времени;
проверяет целостность оттиска печати на пенале;
вскрывает помещение.
10.7. При обнаружении нарушений целостности оттисков печатей, повреждения запоров или наличия других признаков, указывающих на возможное проникновение в помещение посторонних лиц, помещение не вскрывается, а составляется акт, в присутствии охранника. О происшествии немедленно сообщается министру и(или) ответственному за защиту информации. Одновременно принимаются меры по охране места происшествия и до прибытия должностных лиц в помещение никто не допускается.
10.8. Министр, ответственный за защиту информации и администратор безопасности организуют проверку АС на предмет несанкционированного доступа к конфиденциальной информации и наличие документов и машинных носителей информации.
10.9. Помещения вскрываются ответственным за помещение, или министром, или ответственным за защиту информации в присутствии сотрудника охраны с составлением акта.
Если обнаружено вторжение в защищаемое помещение, далее процедура происходит в соответствии с п. 9.8 настоящего Положения.
10.10. При передаче дежурства, если помещение в течение дня не вскрывалось, а также в выходные и праздничные дни принимающая дежурство смена поста охраны проверяет целостность печатей на дверях и пенале с ключами с отражением в «Журнале приема и сдачи дежурства».
10.11. В соответствии с требованиями данного Положения при обработке защищаемой информации в АС исключается не контролируемое пребывание посторонних лиц в пределах границ контролируемой зоны АС, определенных соответствующим приказом.
11. Порядок стирания защищаемой информации и уничтожения носителей защищаемой информации
11.1. В обязательном порядке уничтожению подлежат поврежденные, выводимые из эксплуатации носители, содержащие защищаемую информацию, использование которых не предполагается в дальнейшем. Стиранию подлежат носители, содержащие защищаемую информацию, которые выводятся из эксплуатации в составе АС. Не допускается стирание неисправных носителей и передача их в сервисный центр для ремонта. Такие носители должны уничтожаться в соответствии с настоящим порядком.
11.2. Стирание должно производиться по технологии, предусмотренной для данного типа носителя, с применением сертифицированных средств гарантированного уничтожения информации (допускается задействовать механизмы затирания встроенные в сертифицированные средства защиты информации).
11.3. Уничтожение носителей производится путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления информации (перед уничтожением, если носитель исправен, должно быть произведено гарантирование стирание информации на носителе). Непосредственные действия по уничтожению конкретного типа носителя должны быть достаточны для исключения возможности восстановления информации.
11.4. Бумажные и прочие сгораемые носители (конверты с неиспользуемыми более паролями) уничтожают путем сжигания или с помощью любых бумагорезательных машин.
11.5. По факту уничтожения или стирания носителей составляется акт, в журналах учета делаются соответствующие записи.
11.6. Процедуры стирания и уничтожения осуществляются комиссией, в которую входят: ответственный за эксплуатацию АС, ответственный за защиту информации, администратор безопасности.
12. Заключительные положения
12.1. Требования настоящего Положения обязательны для всех гражданских служащих обрабатывающих конфиденциальную информацию.
12.2. Нарушение требований настоящего Положения влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Приложение 1
к Положению
ТИПОВАЯ ФОРМА
журнала поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним
№ п/п
Наименование средства защиты информации, эксплуатационной и технической документации к ним, ключевых документов
Регистрационные номера СЗИ, эксплуатационной и технической документации к ним
О т м е т к а о получении
О т м е т к а о выдаче
От кого получены
Дата и номер сопроводи-тельного письма
Ф.И.О. пользователя
Дата и расписка в получении
1
1
3
4
5
6
7
О т м е т к а о подключении (установке) СЗИ
О т м е т к а об изъятии СЗИ из аппаратных средств
Примечание
Ф.И.О. пользователя, производившего подключение (установку)
Дата подключения (установки) и подписи лиц, произведших подключение (установку)
Номера аппаратных средств, в которые установлены или к кото-рым подклю-чены СЗИ
Дата изъятия (уничто-жения)
Ф.И.О. пользователя СЗИ, производившего изъятие (уничтожение)
Номер акта или расписка об уничтожении
8
9
10
11
11
13
14
1
Приложение 2
к Положению
ТИПОВАЯ ФОРМА
журнала учета машинных носителей информации
№ п/п
Регистрационный (учетный) номер носителя
Вид носителя
Тип носителя и его емкость
Дата поступления
1
1
3
4
5
Расписка в получении (ФИО, подпись, дата)
Расписка в обратном приеме (ФИО, подпись, дата)
Место хранения
Дата и номер акта об уничтожении
Примечание
6
7
8
9
10
1
Приложение 3
к Положению
ТИПОВАЯ ФОРМА
журнала учета хранилищ
№ п/п
Регистрационный (учетный) номер хранилища
Вид хранилища
Дата постановки на учет
Фамилия и подпись принявшего (ответственного), дата
1
1
3
4
5
Место расположения (номер помещения)
Дата и номер акта о выводе из эксплуатации
Примечание
6
7
8
Приложение № 6
к приказу министра труда и
занятости населения
Оренбургской области
от 27.02.2013 № 45
ИНСТРУКЦИЯ
пользователя автоматизированной системы
К работе на рабочей станции (РС) автоматизированной системы допускаются только гражданские служащие, перечень которых определен приказом министра труда и занятости населения Оренбургской области от 19.02.2013 №38 « О допуске сотрудников министерства труда и занятости населения Оренбургской области к обработке персональных данных» (далее «пользователи»).
Общие обязанности пользователей по обеспечению информационной безопасности при работе в АС
Каждый пользователь, участвующий в рамках своих функциональных обязанностей в процессе автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным (АС), несет персональную ответственность за свои действия и обязан:
- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;
- знать и строго выполнять правила работы со средствами защиты информации, установленными на объекте информатизации;
- выполнять требования «Инструкции по организации антивирусной защиты в автоматизированной системе» в части, касающейся действий пользователей АС;
- хранить в тайне свой пароль (пароли) и с установленной периодичностью менять его;
- хранить в соответствии с установленным порядком свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);
- немедленно вызывать Администратора безопасности АС и ставить в известность ответственного по защите информации в случаях обнаружения:
- нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах ПК или иных фактов совершения в отсутствие пользователя попыток несанкционированного доступа (НСД) к защищенной АС;
- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств РС;
- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АС, выхода из строя или неустойчивого функционирования узлов РС или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;
- некорректного функционирования установленных на ПК технических средств защиты;
- непредусмотренных отводов кабелей от ПК и подключенных к нему устройств.
Подготовка к работе с конфиденциальной информацией.
Перед началом работы с конфиденциальной информацией Пользователю необходимо:
- исключить несанкционированное пребывание в помещении объекта посторонних лиц;
- закрыть окна непрозрачными шторами или жалюзи;
- получить в установленном порядке необходимые учтенные документы и/или сменный носитель информации.
Работа с конфиденциальной информацией.
В процессе работы с конфиденциальной информацией Пользователю необходимо:
- обрабатывать информацию в соответствии с технологическим процессом обработки информации на объекте. При этом каждый Пользователь имеет права доступа к обрабатываемой в системе информации и настройкам системы в соответствии с правами доступа и настройками, установленными для него Администратором безопасности информации;
- результаты работы (готовые данные) записываются только на учтенный жесткий диск ПЭВМ в папку пользователя. При возникновении необходимости записи учтенной информации на сменный носитель обратиться к администратору безопасности АС.
- постановка на учет распечатанных конфиденциальных документов производится в установленном порядке.
Пользователям АС категорически запрещается:
- использовать компоненты программного и аппаратного обеспечения АС в неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства;
- осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;
- записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных носителях информации (жестких дисках, гибких магнитных дисках и т.п.);
- оставлять без присмотра включенную ПЭВМ;
- оставлять без личного присмотра на рабочем месте или где бы то ни было машинные носители, распечатки и другие носители, содержащие защищаемую информацию;
- проносить на территорию учреждения и в подразделения регистрирующую аппаратуру, множительную и вычислительную технику личного пользования;
- оставлять без присмотра документы, содержащие персональные данные;
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок – ставить в известность Администратора безопасности информации и ответственного по защите информации в АС.
Выдержки из статей Уголовного кодекса РФ
(в памятку пользователей АС)
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сетей, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.
Статья 293. Халатность
Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок от шести месяцев до одного года, либо арестом на срок до трех месяцев.
Приложение № 7
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ИНСТРУКЦИЯ
администратора безопасности автоматизированных систем
1. Общие положения
1.1. Настоящая инструкция является руководящим документом для администратора безопасности (уполномоченного по безопасности) автоматизированной системы объекта информатизации (далее Администратор). Требования настоящей инструкции должны выполняться во всех режимах функционирования автоматизированной системы (АС).
1.2. Нарушение установленных требований и норм по защите информации по степени важности делятся на три категории:
- первая – невыполнение требований и норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам или несанкционированного доступа к ней (НСД);
- вторая – невыполнение требований и норм по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам или НСД;
- третья – невыполнение других требований по защите информации.
При выявлении нарушения первой категории администратор обязан немедленно прекратить работы на АС и подать служебную записку руководству, в которой изложить факт нарушения, предпринятые и/или рекомендуемые им действия.
При выявлении нарушений второй и третьей категорий администратор обязан подать служебную записку руководству, в которой изложить факт нарушения, предпринятые и/или рекомендуемые им действия.
1.3. Помимо настоящей инструкции в своей повседневной деятельности администратор руководствуется другими документами, регламентирующими защиту конфиденциальной информации от утечки по техническим каналам и НСД, и эксплуатационной документацией на установленные на объекте информатизации системы защиты от несанкционированного доступа к информации (СЗИ НСД) и от утечки информации по техническим каналам.
2. Общие обязанности Администратора.
2.1. Администратор отвечает за:
- соблюдение требований по противодействию утечке информации по техническим каналам;
- обеспечение пользователей АС параметрами опознания;
- обеспечение установленных правил разграничения доступа пользователей к защищаемым информационным ресурсам АС;
- анализ работоспособности СЗИ НСД;
- контроль за соблюдением пользователями установленных правил работы с конфиденциальной информацией;
- обеспечение неизменности системного и прикладного программного обеспечения АС, в том числе и программного обеспечения СЗИ НСД.
2.2. Администратор обязан:
- знать требования документов, регламентирующих защиту конфиденциальной информации от утечки по техническим каналам и НСД, выявлять возможные каналы утечки информации и способы совершения НСД и готовить предложения по их устранению;
- не допускать использования, хранения и размножения на АРМ АС программных продуктов и носителей информации, непосредственно не связанных со служебной деятельностью на данном рабочем месте;
- разработать и утвердить в установленном порядке инструкцию по обеспечению безопасности информации в случаях возникновения чрезвычайных обстоятельств на объекте информатизации, предусматривающую систему мер и действий при стихийном бедствии, пожаре, аварии систем жизнеобеспечения объекта, заражении АРМ компьютерными вирусами, фактов НСД к информации, фактов компрометации параметров идентификации пользователя и т.п.;
- не допускать к работе на АРМ АС посторонних лиц;
- следить за сохранностью голографических наклеек на корпусах ПЭВМ, целостностью печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных ПЭВМ и других устройствах;
- организовывать и координировать работы по защите информации;
- участвовать в планировании эксплуатации АРМ при изменении условий его эксплуатации, контролируя выполнение требований Аттестата соответствия объекта информатизации;
- участвовать в разработке организационных мероприятий по обеспечению защиты информации в подразделении при обработке конфиденциальной информации;
- знать уровень конфиденциальности обрабатываемой информации, следить за тем, чтобы обработка информации производилась только с использованием учтенных съемных и несъемных носителей информации, причем уровень конфиденциальности последних должен быть не ниже уровня конфиденциальности обрабатываемой информации;
- контролировать соблюдение требований по учету, хранению и пересылке носителей конфиденциальной информации;
- вести документацию, предусмотренную документами, регламентирующими защиту конфиденциальной информации от утечки по техническим каналам и НСД;
- при выявлении нарушений действовать в соответствии с п.1.2 настоящей Инструкции;
- знать состав основных и вспомогательных технических систем и средств (далее - ОТСС и ВТСС), установленных и смонтированных в автоматизированной системе (далее - АС), перечень используемого программного обеспечения (далее - ПО) в АС;
- производить необходимые настройки подсистемы управления доступом установленных в АС средств защиты информации от несанкционированного доступа (далее – СЗИ от НСД) и сопровождать их в процессе эксплуатации, при этом:
реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.);
вводить описания пользователей АС в информационную базу СЗИ от НСД;
своевременно удалять описания пользователей из базы данных СЗИ от НСД при изменении списка допущенных к работе лиц;
- контролировать доступ лиц в помещение в соответствии со списком сотрудников, допущенных к работе в АС;
- проводить инструктаж гражданских служащих - пользователей ПЭВМ по правилам работы с используемыми техническими средствами и системами защиты информации;
- контролировать своевременное (не реже чем один раз в квартал) проведение смены паролей для доступа пользователей к ПЭВМ;
- обеспечивать постоянный контроль выполнения гражданскими служащими установленного комплекса мероприятий по обеспечению безопасности информации в АС;
- осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных;
- настраивать и сопровождать подсистемы регистрации и учета действий пользователей при работе на ПЭВМ;
- вводить в базу данных СЗИ от НСД описания событий, подлежащих регистрации в системном журнале;
- проводить анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам не реже одного раза в 10 дней;
- организовывать печать файлов пользователей на принтере и осуществлять контроль соблюдения установленных правил и параметров регистрации и учета бумажных носителей информации. Сопровождать подсистемы обеспечения целостности информации на ПЭВМ в АС;
- периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;
- восстанавливать программную среду, программные средства и настройки СЗИ от НСД при сбоях;
- вести две копии программных средств СЗИ от НСД и контролировать их работоспособность;
- контролировать отсутствие на магнитных носителях остаточной информации по окончании работы пользователей;
- периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядка и правил проведения антивирусного тестирования;
- проводить работу по выявлению возможных каналов вмешательства в процесс функционирования АС и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники;
- контролировать соответствие документально утвержденного состава аппаратной и программной части АС реальным конфигурациям АС, вести учет изменений аппаратно-программной конфигурации;
- обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания АС и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);
- присутствовать (участвовать) при работах по внесению изменений в аппаратно-программную конфигурацию АС;
- вести Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств ПЭВМ;
- поддерживать установленный порядок проведения антивирусного контроля согласно требований Инструкции по антивирусной защите, в случае отказа средств и систем защиты информации принимать меры по их восстановлению;
- докладывать специалисту по защите информации, начальнику отдела о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;
- вести документацию на АС в соответствии с требованиями нормативных документов.
- постоянно повышать свою квалификацию.
3. Обязанности Администратора по предотвращению утечки
информации по техническим каналам
3.1. Администратор обязан контролировать выполнение требований Аттестата соответствия объекта информатизации, соответствие состава и расположения ОТСС и ВТСС Техническому паспорту объекта информатизации и не допускать их нарушения. Сопровождать подсистему защиты информации от утечки за счет побочных электромагнитных излучений и наводок, контролировать соблюдение требований по размещению и использованию технических средств АС
3.2. Администратор обязан не допускать:
- внесение несанкционированных изменений в состав и размещение ОТСС и ВТСС, а также в схемы их соединений;
- изменение состава, размещения и изменения уровней излучения средств активной защиты информации, если они установлены в помещениях объекта;
- внесение несанкционированных изменений в системы электроснабжения, заземления и других проводных коммуникаций объекта;
- обработку конфиденциальной информации при открытых (снятых) кожухах (крышках) ОТСС, а также при выключенных средствах активной защиты информации.
3.3. Администратор обязан периодически (не реже одного раза в месяц) осуществляет контроль работоспособности системы активной защиты согласно эксплуатационной документации на систему.
4. Права Администратора безопасности
4.1. Администратор безопасности имеет право:
- требовать от гражданских служащих - пользователей АС соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в АС;
- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов АС;
- требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
- участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.
Приложение № 8
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ИНСТРУКЦИЯ
по парольной защите в автоматизированных системах
1. Общие положения
Настоящая инструкция является руководящим документом для пользователей автоматизированной системы объекта информатизации. Требования настоящей инструкции должны выполняться во всех режимах функционирования автоматизированной системы (АС).
Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей в автоматизированных системах.
1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль за действиями пользователей при работе с паролями возлагается на администратора безопасности информации.
2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:
- обеспечение конфиденциальности пароля;
- минимальная длина пароля должна быть не менее 9 символов;
- пароль не должен быть подвержен легкому угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля (имен, номеров телефонов, дат рождения и т.д.);
- пароль не должен содержать последовательных идентичных символов и состоять из полностью числовых или полностью буквенных групп;
- при смене пароля новое значение должно отличаться от предыдущего, должно быть исключено повторное или цикличное использование старых паролей.
3. В случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.при наличии технологической необходимости использования имен и паролей некоторых гражданских служащих (исполнителей) в их отсутствие, такие гражданские служащие обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение администратору безопасности информации или ответственному по защите информации в АС. Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе администратора безопасности.
4. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в год.
5. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться администратором безопасности информации немедленно после окончания последнего сеанса работы данного пользователя с системой на основании письменного указания руководителя организации.
6. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и другие обстоятельства) администратора безопасности информации. А также при наличии любого признака возможной компрометации системы или пароля.
7. В случае компрометации[1] личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п.5 или п.6 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
8. Хранение гражданским служащим (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе администратора безопасности информации или руководителя подразделения, эксплуатирующего АС.
9. Должно быть исключено коллективное использование индивидуальных паролей.
10. Запрещается включать пароли в автоматизированный процесс регистрации (например, с использованием хранимых макрокоманд или функциональных клавиш).
11. Контроль за действиями пользователей системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора безопасности информации.
2. Контроль в отношении паролей
Предоставление паролей должно контролироваться посредством формализованного процесса управления, который должен предусматривать:
- подписание пользователями документа о необходимости соблюдения полной конфиденциальности личных паролей, а в отношении групповых паролей – соблюдения конфиденциальности в пределах рабочей группы (это может быть включено в условия служебного контракта);
- в случаях, когда от пользователей требуется управление собственными паролями, необходимо обеспечивать предоставление безопасного первоначального временного пароля, который пользователя принуждают сменить при первой регистрации в системе. Временные пароли используются в тех случаях, когда пользователи забывают свой личный пароль, и должны выдаваться только после идентификации пользователя;
- обеспечение безопасного способа выдачи временных паролей пользователям. Следует избегать использования незащищенных (открытый текст) сообщений электронной почты или сообщений по электронной почте от третьей стороны. Пользователям необходимо подтверждать получение паролей.
Пароли никогда не следует хранить в компьютерной системе в незащищенной форме.
Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
Приложение № 9
к приказу министра труда и занятости населения Оренбургской области
от 27.02.2013 № 45
ИНСТРУКЦИЯ
по организации антивирусной защиты автоматизированной
системы объекта вычислительной техники
1. Общие требования
1.1. Настоящая инструкция определяет требования к организации защиты автоматизированной системы объекта информатизации (АС) от разрушающего воздействия компьютерных вирусов и устанавливает ответственность сотрудников, эксплуатирующих и сопровождающих АС, за их выполнение. К использованию в АС допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств.
1.2. Установка и настройка средств антивирусного контроля на компьютерах (серверах) АС осуществляется администратором безопасности АС или специально назначенным лицом в соответствии с руководствами по применению конкретных антивирусных средств.
1.3. Данные требования не распространяются на рабочие станции с установленными операционными системами, для которых отсутствуют какие-либо средства антивирусного контроля.
Применение средств антивирусного контроля
2.1. Ежедневно в начале работы при загрузке компьютера в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов рабочих станций.
Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях. Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема на компьютере. Возможно применение другого способа антивирусного контроля входящей информации, обеспечивающего аналогичный уровень эффективности контроля. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
2.2. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
2.3. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети), администратором безопасности АС должна быть выполнена антивирусная проверка на защищаемых серверах и рабочих станциях.
2.4. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) необходимо самостоятельно или вместе с администратором безопасности информации АС провести внеочередной антивирусный контроль своей рабочей станции.
В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователи обязаны:
- приостановить работу в АС;
- немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора безопасности и владельца зараженных файлов;
- совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
- провести лечение или уничтожение зараженных файлов;
2.5. Регулярно обновлять информационные базы антивирусных программ
Ответственность
3.1. Ответственность за организацию антивирусного контроля в соответствии с требованиями настоящей Инструкции возлагается на ответственного по защите информации министерства труда и занятости населения Оренбургской области.
3.2. Ответственность за проведение мероприятий антивирусного контроля и соблюдение требований настоящей Инструкции возлагается на администратора безопасности и всех сотрудников, являющихся пользователями АС.
3.3. Периодический контроль за состоянием антивирусной защиты в АС, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции осуществляется ответственным по защите информации министерства.
Приложение № 10
к приказу министра труда и занятости населения Оренбургской области
от 27.02.2013 № 45
ИНСТРУКЦИЯ
по организации и обеспечению функционирования шифровальных
(криптографических) средств, предназначенных для защиты конфиденциальной информации, при их обработке в информационных системах
персональных данных
Основные термины и определения
Блокирование конфиденциальной информации - временное прекращение сбора, систематизации, накопления, использования, распространения конфиденциальной информации, в том числе ее передачи.
Доступ к информации - возможность получения информации и ее использования.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система конфиденциальной информации - информационная система, представляющая собой совокупность конфиденциальной информации, содержащейся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку такой конфиденциальной информации с использованием средств автоматизации или без использования таких средств.
Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств.
Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
Конфиденциальность - обязательное для соблюдения оператором или иным получившим доступ к конфиденциальной информации лицом требование не допускать ее распространения без согласия субъекта конфиденциальной информации или наличия иного законного основания.
Криптосредство - шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель угроз - перечень возможных угроз.
Обработка конфиденциальной информации - действия (операции) с конфиденциальной информацией, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение конфиденциальной информации.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта конфиденциальной информации или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку конфиденциальной информации, а также определяющие цели и содержание обработки конфиденциальной информации.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту конфиденциальной информации), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Пользователь - лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.
Распространение конфиденциальной информации - действия, направленные на передачу конфиденциальной информации определенному кругу лиц (передача конфиденциальной информации) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование конфиденциальной информации в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к конфиденциальной информации каким-либо иным способом.
Режимные помещения - помещения, где установлены криптосредства.
Средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Шифровальные (криптографические) средства - криптосредства:
а) средства шифрования –аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
б) средства имитозащиты – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
в) средства электронной цифровой подписи – аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
г) средства кодирования – средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций.
1. Общие положения
1. Настоящая инструкция определяет порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФСБ России средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите конфиденциальной информации, доступ к которой ограничивается в соответствии с законодательством Российской Федерации или по решению обладателя конфиденциальной информации (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ).
2. Организация и обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации
2.1. Безопасность обработки конфиденциальной информации с использованием криптосредств организует и обеспечивает администратор безопасности, а также лица, которым на основании договора поручается оказание услуг по организации и обеспечению безопасности обработки в информационной системе конфиденциальной информации с использованием криптосредств.
Обеспечение безопасности конфиденциальной информации с использованием криптосредств должно осуществляться в соответствии с:
1) Приказом ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005);
2) Постановление Правительства РФ от 16 апреля 2012 г. № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»;
3) Методическими рекомендациями по обеспечению с помощью криптосредств безопасности конфиденциальной информации при их обработке в информационных системах конфиденциальной информации с использованием средств автоматизации (№ 149/54-144, 2008 г., ФСБ России),
4) Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности конфиденциальной информации при их обработке в информационных системах конфиденциальной информации (№ 149/6/6-622, 2008 г., ФСБ России).
2.2. Пользователи криптосредств допускаются к работе с ними по решению, утверждаемому оператором. При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, эксплуатационной и технической документации, а также за порученные участки работы.
2.3. Пользователи криптосредств обязаны:
- не разглашать информацию, к которой они допущены, в том числе сведения о криптосредствах и других мерах защиты;
- соблюдать Инструкцию по обеспечению безопасности конфиденциальной информации, требования к обеспечению безопасности криптосредств;
- сообщать руководителю подразделения о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах;
- немедленно уведомлять руководителя подразделения о фактах утраты или недостачи криптосредств, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемой конфиденциальной информации;
- сдать криптосредства, эксплуатационную и техническую документацию к ним в соответствии с порядком, установленным настоящей Инструкцией, при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств.
2.4. Ответственные пользователи криптосредств должны знать и выполнять соответствующие правила работы (Приложение 1).
2.5. При определении действий пользователя криптосредств необходимо учитывать, что безопасность обработки с использованием криптосредств конфиденциальной информации обеспечивается:
- соблюдением пользователями криптосредств конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых криптосредств;
- точным выполнением пользователями криптосредств требований к обеспечению безопасности конфиденциальной информации;
- надежным хранением эксплуатационной и технической документации к криптосредствам, носителей информации ограниченного распространения;
- обеспечением принятых в соответствии с требованиями к материальным носителям конфиденциальной информации и технологиям хранения таких данных вне информационных систем мер;
- своевременным выявлением попыток посторонних лиц получить сведения о защищаемой конфиденциальной информации, об используемых криптосредствах;
- немедленным принятием мер по предупреждению разглашения защищаемой конфиденциальной информации, а также возможной их утечки при выявлении фактов утраты или недостачи криптосредств, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п.
2.6. Лица, использующие при работе криптосредства, должны быть ознакомлены с настоящей инструкцией и другими документами, регламентирующими организацию и обеспечение безопасности конфиденциальной информации при их обработке в информационных системах, под расписку и несут ответственность за несоблюдение ими требований указанных документов в соответствии с законодательством Российской Федерации.
2.7. Текущий контроль за организацией и обеспечением функционирования криптосредств возлагается на ответственного пользователя криптосредств в пределах его служебных полномочий.
2.8. Контроль за организацией, обеспечением функционирования и безопасности криптосредств, предназначенных для защиты конфиденциальной информации при их обработке в информационных системах, осуществляется в соответствии с действующим законодательством Российской Федерации.
3. Порядок обращения с СКЗИ
3.1. При необходимости передачи по техническим средствам связи служебных сообщений ограниченного доступа, касающихся организации и обеспечения функционирования криптосредств, указанные сообщения необходимо передавать только с использованием криптосредств.
3.2. Криптосредства, используемые для обеспечения безопасности конфиденциальной информации при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров.
3.3. Используемые или хранимые криптосредства, эксплуатационная и техническая документация к ним подлежат поэкземплярному учету.
3.4. Все полученные экземпляры криптосредств, эксплуатационной и технической документации к ним должны быть выданы пользователям криптосредств, несущим персональную ответственность за их сохранность под расписку в соответствующем журнале поэкземплярного учета.
Ответственный пользователь криптосредств заводит и ведет на каждого пользователя криптосредств лицевой счет, в котором регистрирует числящиеся за ним криптосредства, эксплуатационную и техническую документацию к ним.
3.5. Передача криптосредств, эксплуатационной и технической документации к ним допускается только между пользователями криптосредств и (или) ответственным пользователем криптосредств под расписку в соответствующих журналах поэкземплярного учета. Такая передача между пользователями криптосредств должна быть санкционирована ответственным пользователем криптосредств.
3.6. Пользователи криптосредств хранят инсталлирующие криптосредства носители, эксплуатационную и техническую документацию к криптосредствам в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
3.7. Криптосредства доставляются ответственным пользователем криптосредств и сотрудниками при соблюдении мер, исключающих бесконтрольный доступ к криптосредствам и ключевым документам во время доставки.
Эксплуатационная и техническая документация к криптосредствам может пересылаться заказными или ценными почтовыми отправлениями.
3.8. Для пересылки криптосредств, эксплуатационной и технической документации к ним следует подготовить сопроводительное письмо, в котором необходимо указать: что посылается и в каком количестве, учетные номера изделий или документов, а также, при необходимости, назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок.
3.9. Полученные упаковки вскрывает только пользователь криптосредств, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю.
3.10. Получение криптосредств, эксплуатационной и технической документации к ним должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме. Отправитель обязан контролировать доставку своих отправлений адресатам. Если от адресата своевременно не поступило соответствующего подтверждения, то отправитель должен направить ему запрос и принять меры к уточнению местонахождения отправлений.
3.11. Эксплуатационная и техническая документация к криптосредствам уничтожается путем сжигания или с помощью любых бумагорезательных машин.
3.12. Криптосредства уничтожают (утилизируют) по решению оператора, владеющего криптосредствами.
3.13. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций криптосредств, а также совместно работающее с криптосредствами оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.), разрешается использовать после уничтожения криптосредств без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).
3.14. Уничтожение по акту производит комиссия в составе не менее двух человек из числа лиц, допущенных к пользованию криптосредств. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых криптосредств, инсталлирующих криптосредства носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в соответствующих журналах поэкземплярного учета.
3.15. В случае сдачи СКЗИ в ремонт вся находящаяся на них информация, программное обеспечение должны быть надежно удалены (стёрты).
4. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ
4.1. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства, должны обеспечивать сохранность конфиденциальной информации, криптосредств.
При оборудовании помещений должны выполняться требования к размещению, монтажу криптосредств, а также другого оборудования, функционирующего с криптосредствами.
Перечисленные в настоящем документе требования к помещениям могут не предъявляться, если это предусмотрено правилами пользования криптосредствами, согласованными с ФСБ России.
4.2. Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
4.3. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции.
4.4. Двери помещений должны быть постоянно закрыты и могут открываться только для санкционированного прохода гражданских служащих и посетителей.
4.5. Для предотвращения просмотра извне помещений их окна должны быть оборудованы шторами (жалюзи).
4.6. Помещения, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным по организации. Исправность сигнализации периодически необходимо проверять ответственному пользователю криптосредств совместно с представителем службы охраны или дежурным по министерству с отметкой в соответствующих журналах.
4.7. Для хранения эксплуатационной и технической документации, инсталлирующих криптосредства носителей должно быть предусмотрено необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин.
4.8. Размещение и монтаж криптосредств, а также другого оборудования, функционирующего с криптосредствами, в помещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам.
Приложение 1
ПРАВИЛА РАБОТЫ
ответственного пользователя криптографических средств
защиты информации
Настоящие Правила определяют порядок организации работы и обеспечения функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну (далее – криптосредство), ответственного пользователя СКЗИ в информационных системах конфиденциальной информации.
Обеспечение функционирования и безопасности криптосредств возлагается на ответственного пользователя криптосредств, имеющего необходимый уровень квалификации, назначаемого приказом оператора (далее – ответственный пользователь криптосредств).
Допускается возложение функций ответственного пользователя криптосредств на:
- одного из пользователей криптосредств;
- на структурное подразделение или должностное лицо (работника), ответственное за обеспечение безопасности персональных данных, назначаемое оператором;
- на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства.
1. При разработке и реализации мероприятий по организации и обеспечению безопасности конфиденциальной информации при ее обработке в информационной системе ответственный пользователь криптосредств осуществляет:
- разработку для каждой информационной системы модели угроз безопасности конфиденциальной информации при ее обработке;
- разработку на основе модели угроз системы безопасности конфиденциальной информации;
- определение необходимости использования криптосредств для обеспечения безопасности конфиденциальной информации и, в случае положительного решения, определение на основе модели угроз цели использования криптосредств для защиты конфиденциальной информации от неправомерного или случайного доступа к ней, уничтожения, изменения, блокирования, копирования, распространения конфиденциальной информации и (или) иных неправомерных действий при ее обработке;
- установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией к этим средствам;
- проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации;
- обучение лиц, использующих криптосредства, работе с ними;
- поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей конфиденциальной информации;
- учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности конфиденциальной информации в информационной системе (пользователи криптосредств);
- контроль за соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;
- разбирательство и составление заключений по фактам нарушения условий хранения носителей конфиденциальной информации, использования криптосредств, которые могут привести к нарушению конфиденциальности информации или другим нарушениям, приводящим к снижению уровня защищенности конфиденциальной информации, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- разработку организационных и технических мер, которые необходимо осуществлять при обеспечении безопасности конфиденциальной информации с использованием криптосредств при ее обработке в информационных системах.
2. При обращении с криптосредствами ответственный пользователь криптосредств:
- обеспечивает поэкземплярный учет криптосредств с использованием индексов или условных наименований и регистрационных номеров;
- выдает экземпляры криптосредств, эксплуатационной и технической документации к ним под расписку в соответствующем журнале поэкземплярного учета пользователям криптосредств, несущим персональную ответственность за их сохранность;
- санкционирует передачу криптосредств между пользователями;
- доставляет криптосредства при соблюдении мер, исключающих бесконтрольный доступ к криптосредствам во время доставки;
- подтверждает получение криптосредств, эксплуатационной и технической документации к ним отправителем, в соответствии с порядком, указанным в сопроводительном письме;
- обеспечивает соблюдение требований к размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены криптосредства.
Лица, использующие при работе криптосредства, должны быть ознакомлены с настоящими Правилами и другими документами, регламентирующими организацию и обеспечение безопасности конфиденциальной информации при ее обработке в информационных системах, под расписку и несут ответственность за несоблюдение ими требований указанных документов в соответствии с законодательством Российской Федерации.
Приложение № 11
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ПОРЯДОК ДОСТУПА
в помещения, в которых ведется обработка персональных данных
1. Физическая защита
1.1. Охраняемые зоны
С целью предотвращения неавторизованного доступа, повреждения и воздействия в отношении помещений и информации министерства труда и занятости населения Оренбургской области (далее - министерство) приказом министра труда и занятости населения определена контролируемая зона министерства.
Средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия.
1.2. Контроль доступа в охраняемые зоны.
Зоны информационной безопасности необходимо защищать с помощью соответствующих мер контроля входа для обеспечения уверенности в том, что доступ позволен только авторизованному персоналу, приказом министра утверждается список лиц, которым разрешен доступ в выделенные помещения.
Устанавливаются следующие меры контроля:
доступ к важной информации и средствам ее обработки должен контролироваться и предоставляться только авторизованным лицам;
права доступа гражданских служащих в зоны информационной безопасности следует регулярно анализировать и пересматривать;
уборка помещений осуществляется в присутствии гражданского служащего соответствующего подразделения.
1.3. Безопасность зданий и оборудования.
Зона информационной безопасности защищается путем закрытия на замок дверей входной группы и помещений внутри физического периметра безопасности, которые могут быть заперты и иметь запираемые сейфы.
Должны выполняться следующие меры:
основное оборудование должно быть расположено в местах с ограничением доступа посторонних лиц;
оборудование (в том числе копировальные устройства и факсы), должны быть расположены соответствующим образом в пределах зоны безопасности во избежание доступа, который мог бы скомпрометировать информацию;
двери и окна необходимо запирать, когда в помещениях нет гражданских служащих;
служебные помещения должны быть оборудованы техническими средствами сигнализации.
1.4. Выполнение работ в охраняемых зонах
Для повышения степени защиты зон информационной безопасности устанавливаются дополнительные меры по управлению информационной безопасностью. Они включают мероприятия в отношении гражданских служащих или представителей третьих сторон, работающих в зоне безопасности и состоять в следующем:
о существовании зоны информационной безопасности и проводимых в ней работах должны быть осведомлены только лица, которым это необходимо в силу служебной необходимости;
из соображений безопасности и предотвращения возможности злонамеренных действий в охраняемых зонах необходимо избегать случаев работы без надлежащего контроля со стороны уполномоченных должностных лиц;
пустующие зоны безопасности должны быть физически закрыты, и их состояние необходимо периодически проверять;
использование фото, видео, аудио или другого записывающего оборудования должно быть разрешено только при получении специального разрешения.
1.5. Расположение и защита оборудования
Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от воздействий окружающей среды и возможности неавторизованного доступа. Устанавливаются следующие мероприятия по управлению информационной безопасностью:
а) оборудование необходимо размещать таким образом, чтобы свести до минимума излишний доступ в места его расположения;
б) средства обработки и хранения конфиденциальной информации следует размещать так, чтобы уменьшить риск несанкционированного наблюдения за их функционированием;
в) отдельные элементы оборудования, требующие специальной защиты, необходимо изолировать, чтобы повысить общий уровень необходимой защиты;
г) меры по управлению информационной безопасностью должны свести к минимуму риск потенциальных угроз, включая: воровство; пожар; взрыв; задымление; затопление (или перебои в подаче воды); пыль; вибрацию; химические эффекты; помехи в электроснабжении; электромагнитное излучение.
2. Требования по защите информации, циркулирующей в защищаемых помещениях
2.1. В министерстве приказом министра должен быть определен перечень защищаемых помещений и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на защищаемые помещения.
2.2. Защищаемые помещения должны размещаться в пределах контролируемой зоны министерства. При этом рекомендуется размещать их на максимальном удалении от ее границ; ограждающие конструкции защищаемого помещения (стены, полы, потолки) не должны являться смежными с помещениями других организаций. Окна защищаемого помещения должны закрываться шторами (жалюзи).
2.3. Защищаемые помещения оснащаются сертифицированными по требованиям безопасности информации основными техническими средствами и системами (ОТСС) и вспомогательными техническими средствами и системами (ВТСС) или соответствующими средствами защиты. Эксплуатация ОТСС, ВТСС и средств защиты должна осуществляться в соответствии с эксплуатационной документацией на них.
2.4. Специальная проверка защищаемого помещения и установленного в нем оборудования с целью выявления, возможно, внедренных в них электронных устройств съема информации (закладочных устройств) проводится, при необходимости, по решению министра.
2.5. Во время проведения конфиденциальных мероприятий запрещается использование в защищаемых помещениях радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, не защищенных переносных магнитофонов и других средств аудио- и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также телефонных аппаратов с автоматическим определителем номера их следует отключать от сети на время проведения этих мероприятий или использовать соответствующие средства защиты.
2.6. При эксплуатации защищаемого помещения необходимо предусматривать организационные меры, направленные на исключение несанкционированного доступа в помещение:
двери защищаемого помещения в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
выдача ключей от защищаемого помещения должна производиться лицам, работающим в нем или ответственным за это помещение.
Приложение № 12
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Организация контроля за состоянием защиты конфиденциальной информации
1.1. Понятие и основные объекты контроля.
Контроль — целенаправленная деятельность руководства и должностных лиц министерства труда и занятости населения (далее - министерство) по проверке состояния защиты конфиденциальной информации в ходе его повседневной деятельности.
Контроль за состоянием защиты конфиденциальной информации в министерстве организуется и проводится в целях определения истинного состояния дел в области защиты информации, оценки эффективности принимаемых для исключения утечки информации мер, выявления возможных каналов утечки сведений, выработки предложений и рекомендаций руководству министерства по совершенствованию комплексной системы защиты информации.
Организация контроля возлагается на ответственного за организацию защиты персональных данных в министерстве.
Объекты контроля за состоянием защиты информации:
структурные подразделения министерства, привлекаемые к выполнению работ конфиденциального характера;
гражданские служащие, допущенные в установленном порядке к конфиденциальной информации, и ее носителям, и выполняющие работы с их использованием;
служебные помещения, в которых проводятся работы с носителями конфиденциальной информации (документами, материалами, изделиями);
места непосредственного хранения носителей конфиденциальной информации (хранилища, сейфы, шкафы);
непосредственно носители конфиденциальной информации (документы, материалы, изделия, магнитные носители).
Мероприятия по контролю проводятся на основании приказа министра труда и занятости населения Оренбургской области (далее - министерство).
2. Основные задачи контроля
Основные задачи контроля за состоянием защиты информации:
сбор, обобщение и анализ информации о состоянии системы защиты конфиденциальной информации предприятия;
анализ состояния дел в области защиты информации в структурных подразделениях;
проверка наличия носителей конфиденциальной информации;
проверка соблюдения всеми гражданскими служащими норм и правил, устанавливающих порядок обращения с носителями конфиденциальной информации;
выявление угроз защите конфиденциальной информации и выработка мер по их нейтрализации;
анализ полноты и качества выполнения спланированных мероприятий по защите информации в ходе деятельности министерства;
оказание практической помощи должностным лицам в устранении нарушений требований нормативно-методических документов;
применение мер административной и дисциплинарной ответственности к лицам, нарушающим требования по порядку обращения с носителями конфиденциальной информации;
проверка эффективности мер по защите конфиденциальной информации, принимаемых должностными лицами и руководителями структурных подразделений министерства.
Результаты проверки оформляются в виде акта или справки-доклада и доводятся до сведения руководителя проверенного структурного подразделения. В итоговом документе перечисляются выявленные недостатки, а также формулируются предложения по их устранению, повышению эффективности работы должностных лиц (гражданских служащих) в области защиты информации. Проверяющие лица устанавливают конкретные сроки устранения выявленных недостатков и реализации предложений (рекомендаций).
Контроль за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных организуется и проводится оператором (уполномоченным лицом) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Приложение № 13
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ПРАВИЛА
обработки персональных данных, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных в министерстве труда и занятости населения
Оренбургской области.
Общие положения
1.1. Правила обработки персональных данных, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных министерства труда и занятости населения Оренбургской области (далее – Правила) разработаны в соответствии с Конституцией РФ, Федеральными законами от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 21 марта 2012г. № 211, Положением «О порядке организации и проведения работ по защите конфиденциальной информации в министерстве труда и занятости населения Оренбургской области» в целях обеспечения безопасности персональных данных.
1.2. Правила определяют порядок обработки в министерстве труда и занятости населения Оренбургской области (далее - министерство) персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Термины и определения
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Порядок обработки персональных данных
3.1. Цели и задачи обработки персональных данных сотрудников
Обработка персональных данных ведется в соответствии с Федеральным законом от 30.12.2001 г. № 197-ФЗ «Трудовой кодекс РФ», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» ст.6 ч.1 п.2., Федеральным законом от 21.11.1996 г. № 129 «О бухгалтерском учете», Федеральным законом от 31.07.1998 г. № 146-ФЗ «Налоговый кодекс РФ» часть первая.
Обработка персональных данных гражданских служащих ведется с целью:
установления гарантий трудовых прав и свобод граждан, создание благоприятных условий труда, защиты прав и интересов сотрудников и работодателей;
Основными задачами обработки персональных данных являются создание необходимых правовых условий для достижения оптимального согласования интересов сторон трудовых отношений, интересов государства, а также правовое регулирование трудовых отношений и иных непосредственно связанных с ними отношений по:
организации труда и управлению трудом;
трудоустройству у данного работодателя;
профессиональной подготовке, переподготовке и повышению квалификации сотрудников министерства труда и занятости населения Оренбургской области;
участию сотрудников в установлении условий труда и применении трудового законодательства в предусмотренных законом случаях;
материальной ответственности работодателей и сотрудников;
разрешению трудовых споров;
регулирование отношений по установлению, введению и взиманию налогов и сборов;
обеспечению информацией об использовании материальных, трудовых и финансовых ресурсов в соответствии с утвержденными нормами, нормативами и сметами;
обязательному социальному страхованию в случаях, предусмотренных федеральными законами.
3.2. Условия обработки персональных данных сотрудников
Обработка персональных данных ведется на основании заключаемого с этим лицом служебного контракта (трудового договора) с обязательным соблюдением конфиденциальности полученных персональных данных. Обработка персональных данных гражданских служащих осуществляется в соответствии со ст. 6 ч.1 п.2 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Министерство получает персональные данные сотрудников у них самих. Персональные данные сотрудника могут быть получены министерством от лица, не являющегося субъектом персональных данных, при условии предоставления подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Сотрудник имеет право на получение информации, касающейся обработки его персональных данных, указанной в ст.14. часть 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» на основании запроса, составленному в соответствии со ст.14 часть 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, министерство обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
Если персональные данные получены не от субъекта персональных данных, министерство, за исключением случаев, предусмотренных ст.18 частью 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных обязано предоставить сотруднику следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.
Персональные данные хранятся:
в электронном виде (на серверах, персональных компьютерах, а также на сменных магнитных, оптических и других цифровых носителях);
на бумажных носителях, в том числе в личных делах сотрудников, специально оборудованных шкафах и сейфах, обеспечивающих защиту от несанкционированного доступа.
При передаче персональных данных сотрудника необходимо соблюдать следующие требования:
не сообщать персональные данные сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;
не сообщать персональные данные сотрудника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные сотрудника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные сотрудника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными сотрудников в порядке, установленном Трудовым кодексом и иными федеральными законами;
осуществлять передачу персональных данных сотрудника в пределах организации в соответствии с настоящим Положением, с которым сотрудник должен быть ознакомлен под роспись;
разрешать доступ к персональным данным сотрудников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные сотрудника, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья сотрудника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции;
передавать персональные данные сотрудника представителям сотрудника в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными сотрудника, которые необходимы для выполнения указанными представителями их функций.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.3. Права гражданских служащих министерства
Сотрудники имеют право на:
полную информацию об их персональных данных и обработке этих данных;
свободный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового Кодекса РФ или иного федерального закона;
дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения сотрудника;
требование об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведённых в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия при обработке и защите его персональных данных.
3.5. Обязанности по уточнению, блокированию и уничтожению персональных данных
3.5.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных необходимо осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения.
3.5.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных необходимо осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
3.5.3. В случае подтверждения факта неточности персональных данных необходимо на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
3.5.4. В случае достижения цели обработки персональных данных необходимо прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, является субъект персональных данных.
3.5.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных необходимо прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных.
3.6. Организация доступа к персональным данным
Система доступа представляет собой совокупность норм и правил, определяющих, кто из руководителей министерства труда и занятости населения Оренбургской области, кому из граждан и с какими категориями документов может давать разрешение на ознакомление.
Система доступа должна отвечать следующим требованиям:
доступ к конфиденциальным документам может предоставляться сотрудникам, письменно оформившим с организацией отношения о неразглашении ставших им известными конфиденциальных сведений. Письменное оформление отношений о неразглашении конфиденциальной информации (соблюдения режима конфиденциальности) является обязательным условием для доступа исполнителей к документам;
доступ к конфиденциальным документам должен быть обоснованным, т.е. базироваться на служебной необходимости ознакомления с конкретным документов именно данного исполнителя;
система доступа должна давать возможность обеспечивать исполнителей всеми необходимыми им в силу служебных обязанностей документами, но только теми, которые действительно необходимы для выполнения конкретного вида работ;
доступ к документам должен быть санкционированным, т.е. осуществляться только по соответствующему разрешению уполномоченного на то должностного лица. При этом соответствующее должностное лицо может давать разрешение на ознакомление с документами только входящими в сферу его деятельности и только установленному кругу лиц;
доступ должен оформляться письменно по каждому конкретному конфиденциальному документу. При необходимости ознакомления исполнителя только с частью документа в разрешении на ознакомление должны быть указаны разделы (пункты или страницы), с которыми можно знакомить исполнителя.
Доступ гражданских служащих министерства к конфиденциальной информации осуществляется на добровольной основе. Эти отношения устанавливаются при поступлении гражданина на гражданскую службу или уже в ходе прохождения службы. При этом необходимо выполнить следующие условия:
ознакомить сотрудника под роспись с перечнем конфиденциальной информации;
ознакомить сотрудника под роспись с установленным в министерстве режимом конфиденциальности и с мерами ответственности за его нарушение;
создать сотруднику необходимые условия для соблюдения им установленного режима конфиденциальности.
Доступ к персональным данным разрешается только лицам, определенным в порядке, установленным настоящим Положением. При этом указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций, и в целях, для которых они сообщены.
Со стороны гражданского служащего предполагается принятие следующих обязательств:
по соблюдению установленного в министерстве режима конфиденциальности;
о неразглашении конфиденциальной информации, ставшей ему известной в период прохождения службы, после прекращения служебного контракта в течение срока, предусмотренного в специальном соглашении или в течение трех лет, если такое соглашение на заключалось, и не использовании этой информации в личных целях;
о возмещении причиненного ущерба, если гражданский служащий виновен в разглашении конфиденциальной информации, ставшей ему известной в связи с выполнением им служебных обязанностей (в том числе после прекращения служебного контракта);
о возврате при прекращении или расторжении служебного контракта всех имеющихся у сотрудника материальных носителей конфиденциальной информации.
Министр (уполномоченный сотрудник):
несет ответственность за организацию обработки персональных данных в министерстве;
закрепляет за гражданскими служащими, допущенными к обработке персональных данных, конкретные массивы носителей с персональными данными, которые необходимы для выполнения возложенных на них функций;
осуществляет внутренний контроль за соблюдением гражданскими служащими законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
доводит до сведения гражданских служащих положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
С гражданским служащим, допущенным к персональным данным, заключается соглашение о допуске к конфиденциальной информации в установленном порядке. Соглашение от имени министерства подписывается представителем нанимателя.
Сведения о работающем (работавшем) гражданском служащем могут быть предоставлены другой организации только по письменному запросу на бланке организации с приложением копии согласия гражданского служащего на предоставление данных.
3.7. Обязанности лиц, допущенных к обработке персональных данных
Лица, допущенные к работе с персональными данными обязаны:
знать законодательство Российской Федерации, Оренбургской области и нормативные документы министерства труда и занятости населения Оренбургской области в части обеспечения безопасности персональных данных;
обеспечивать сохранность закрепленного массива носителей с персональными данными, исключать возможность ознакомления с ними других лиц;
докладывать своему непосредственному руководителю обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях;
ознакомиться под роспись с настоящим Положением, а также об их правах, обязанностях, ответственности в области защиты персональных данных.
3.8. Меры по обеспечению безопасности персональных данных в министерстве.
В министерстве должны быть приняты необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
3.8.1. Организационные и технические методы защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:
1) Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
2) Действующими нормативными документами ФСТЭК России:
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20;
Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
3) Действующими нормативными документами ФСБ России:
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации;
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;
Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
4) Настоящим Положением, Положением о порядке организации и проведения работ по защите конфиденциальной информации в министерстве труда и занятости населения Оренбургской области, другими локальными актами министерства.
3.8.2. Приказом министра определяется:
Ответственный за организацию обработки персональных данных;
Перечень автоматизированных систем, в которых обрабатываются персональных данные;
Перечень гражданских служащих (должностей гражданских служащих), допущенных к персональным данным, и объём персональных данных, к которым они допускаются;
Перечень персональных данных, обрабатываемый в информационной системе персональных данных;
- Должностные инструкции ответственного за организацию обработки персональных данных (Приложение 2).
3.8.3. С целью определения угроз безопасности персональных данных при обработке в информационной системе министерства должна быть проведена ее классификация.
3.8.4. Должна быть разработана модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных, которая утверждается приказом.
3.8.5. В соответствии с классом информационной системы и моделью угроз безопасности персональных данных должны быть приняты меры в части технической защиты конфиденциальной информации. Информационные системы до начала обработки персональных данных должны пройти процедуру оценки эффективности принятых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
3.8.6. В информационных системах персональных данных должны применяться прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.
3.6.7. В информационных системах персональных данных должны быть предусмотрены меры для предотвращения внедрения вредоносных программ (программ-вирусов) и программных закладок.
3.8.8. При взаимодействии информационных систем персональных данных с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования), должны применяться следующие методы и способы защиты информации от несанкционированного доступа:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации граждан;
использование средств антивирусной защиты.
3.8.9. До начала обработки (в процессе обработки при наличии изменений) персональных данных направить в уполномоченный орган по защите прав субъектов персональных данных:
уведомление о своем намерении осуществлять обработку персональных данных;
фамилию, имя, отчество физического лица, ответственного за организацию обработки персональных данных, и номера его контактных телефонов, почтовые адреса и адреса электронной почты;
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
3.9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут предусмотренную законодательством Российской Федерации ответственность (прилагается).
Ответственность
за нарушение норм, регулирующих обработку и защиту персональных данных
Уголовная ответственность (Уголовный Кодекс РФ (УК РФ)
Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
2. Те же деяния, совершенные лицом с использованием своего служебного положения,
-наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
Статья 140. Отказ в предоставлении гражданину информации
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.
Статья 1596 . Мошенничество в сфере компьютерной информации
1. Мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей, -
наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до четырех месяцев.
2. То же деяние, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину, -
наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до четырех лет с ограничением свободы на срок до одного года или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные лицом с использованием своего служебного положения, а равно в крупном размере, -
наказываются штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового и с ограничением свободы на срок до полутора лет либо без такового.
4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, совершенные организованной группой либо в особо крупном размере, -
наказываются лишением свободы на срок до десяти лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового и с ограничением свободы на срок до двух лет либо без такового.";
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом -
наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, -
наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок.
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, -
наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -
наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, -
наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот же срок.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, -
наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, -
наказываются лишением свободы на срок до семи лет.
Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллионрублей.
Статья 273. Создание, использование и распространение вредоносных программ
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, -
наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, -
наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, -
наказываются лишением свободы на срок до семи лет.
Статья 274. Нарушение правил эксплуатации хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, -
наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, -
наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.
Статья 292. Служебный подлог
1. Служебный подлог, то есть внесение должностным лицом, а также государственным служащим или служащим органа местного самоуправления, не являющимся должностным лицом, в официальные документы заведомо ложных сведений, а равно внесение в указанные документы исправлений, искажающих их действительное содержание, если эти деяния совершены из корыстной или иной личной заинтересованности (при отсутствии признаков преступления, предусмотренного частью первой статьи 292.1 настоящего Кодекса), -
наказываются штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до двух лет.
2. Те же деяния, повлекшие существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, -
наказываются штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Статья 292¹. Незаконная выдача паспорта гражданина Российской Федерации, а равно внесение заведомо ложных сведений в документы, повлекшее незаконное приобретение гражданства Российской Федерации
1. Незаконная выдача должностным лицом или государственным служащим паспорта гражданина Российской Федерации иностранному гражданину или лицу без гражданства, а равно внесение должностным лицом, а также государственным служащим или служащим органа местного самоуправления, не являющимся должностным лицом, заведомо ложных сведений в документы, повлекшее незаконное приобретение гражданства Российской Федерации, -
наказываются штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
2. Неисполнение или ненадлежащее исполнение должностным лицом или государственным служащим своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло незаконную выдачу паспорта гражданина Российской Федерации иностранному гражданину или лицу без гражданства либо незаконное приобретение гражданства Российской Федерации, -
наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 293. Халатность
1. Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, -
наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до трех месяцев.
2. То же деяние, повлекшее по неосторожности причинение тяжкого вреда здоровью или смерть человека, -
наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяние, предусмотренное частью первой настоящей статьи, повлекшее по неосторожности смерть двух или более лиц, -
наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Примечание. Крупным ущербом в настоящей статье признается ущерб, сумма которого превышает один миллион пятьсот тысяч рублей.
Административная ответственность
(Кодекс об Административных Правонарушениях РФ (КоАП РФ)
Статья 5.39. Отказ в предоставлении гражданину информации
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации, за исключением случаев, предусмотренных статьей 7.23.1 настоящего Кодекса, -
влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до трех тысяч рублей.
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
Статья 13.12. Нарушение правил защиты информации
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, -
влечет наложение административного штрафа на должностных лиц в размере от двух тысяч до трех тысяч рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, -
влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
Примечание. Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.
Статья 13.14. Разглашение информации с ограниченным доступом
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.
2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа -
влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от двухсот тысяч до пятисот тысяч рублей.
2.1. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении ограничивающих конкуренцию соглашений и (или) согласованных действий и совершении действий, направленных на обеспечение конкуренции, или выданного при осуществлении контроля за использованием государственной или муниципальной преференции законного решения, предписания федерального антимонопольного органа, его территориального органа о совершении предусмотренных антимонопольным законодательством Российской Федерации действий -
влечет наложение административного штрафа на должностных лиц в размере от восемнадцати тысяч до двадцати тысяч рублей либо дисквалификацию на срок до трех лет; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.
2.2. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении злоупотребления хозяйствующим субъектом доминирующим положением на товарном рынке и совершении предусмотренных антимонопольным законодательством Российской Федерации действий, направленных на обеспечение конкуренции, -
влечет наложение административного штрафа на должностных лиц в размере от шестнадцати тысяч до двадцати тысяч рублей либо дисквалификацию на срок до трех лет; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.
2.3. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении нарушения правил недискриминационного доступа к товарам (работам, услугам) или выданного при осуществлении государственного контроля за экономической концентрацией законного решения, предписания федерального антимонопольного органа, его территориального органа о совершении предусмотренных антимонопольным законодательством Российской Федерации действий, направленных на обеспечение конкуренции, -
влечет наложение административного штрафа на должностных лиц в размере от двенадцати тысяч до двадцати тысяч рублей либо дисквалификацию на срок до трех лет; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.
2.4. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении нарушения законодательства Российской Федерации о рекламе или законного решения, предписания федерального антимонопольного органа, его территориального органа об отмене либо изменении противоречащего законодательству Российской Федерации о рекламе акта федерального органа исполнительной власти, акта органа исполнительной власти субъекта Российской Федерации или акта органа местного самоуправления -
влечет наложение административного штрафа на должностных лиц в размере от двенадцати тысяч до двадцати тысяч рублей; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.
2.5. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении недобросовестной конкуренции -
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.
2.6. Невыполнение в установленный срок законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении нарушения антимонопольного законодательства Российской Федерации, законодательства Российской Федерации о естественных монополиях, законного решения, предписания федерального антимонопольного органа, его территориального органа о прекращении либо недопущении ограничивающих конкуренцию действий или законного решения, предписания федерального антимонопольного органа, его территориального органа о совершении предусмотренных законодательством Российской Федерации действий, за исключением случаев, предусмотренных частями 2.1-2.5 настоящей статьи, -
влечет наложение административного штрафа на должностных лиц в размере от восьми тысяч до двенадцати тысяч рублей либо дисквалификацию на срок до трех лет; на юридических лиц - от ста тысяч до пятисот тысяч рублей.
2.7. Невыполнение в установленный срок предписания федерального антимонопольного органа, его территориального органа об отмене либо изменении противоречащего законодательству об основах государственного регулирования торговой деятельности в Российской Федерации акта и (или) о прекращении действий (бездействия) органа исполнительной власти субъекта Российской Федерации, органа местного самоуправления, иного осуществляющего функции указанных органов органа или организации, которые приводят или могут привести к установлению на товарном рынке правил осуществления торговой деятельности, нарушающих требования, установленные законодательством об основах государственного регулирования торговой деятельности в Российской Федерации, -
влечет наложение административного штрафа на должностных лиц в размере пятидесяти тысяч рублей либо дисквалификацию на срок от одного года до трех лет.
3. Невыполнение в установленный срок законного предписания, решения органа регулирования естественных монополий, его территориального органа -
влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от двухсот тысяч до пятисот тысяч рублей.
4. Невыполнение в установленный срок законного предписания органа, осуществляющего контроль и надзор в области долевого строительства многоквартирных домов и (или) иных объектов недвижимости, -
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от ста тысяч до двухсот тысяч рублей.
5. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области государственного регулирования тарифов, -
влечет наложение административного штрафа на должностных лиц в размере пятидесяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от ста тысяч до ста пятидесяти тысяч рублей.
6. Невыполнение в установленный срок законного предписания уполномоченных на осуществление государственного строительного надзора федерального органа исполнительной власти, органов исполнительной власти субъектов Российской Федерации -
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от пяти тысяч до десяти тысяч рублей или административное приостановление их деятельности на срок до девяноста суток; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей или административное приостановление их деятельности на срок до девяноста суток.
7. Невыполнение в установленный срок законного предписания, требования органа исполнительной власти, уполномоченного на осуществление контроля в сфере размещения заказов на поставки товаров, выполнение работ, оказание услуг для нужд заказчиков, его территориального органа -
влечет наложение административного штрафа на должностных лиц в размере пятидесяти тысяч рублей; на юридических лиц - в размере пятисот тысяч рублей.
8. Невыполнение в установленный срок законных требований лиц, уполномоченных на осуществление государственного ветеринарного надзора, о проведении противоэпизоотических и других мероприятий, совершенное в период осуществления на соответствующей территории ограничительных мероприятий (карантина), -
влечет наложение административного штрафа на граждан в размере от одной тысячи до одной тысячи пятисот рублей; на должностных лиц - от пяти тысяч до семи тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от пяти тысяч до семи тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от девяноста тысяч до ста тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
9. Невыполнение в установленный срок законного предписания федерального органа исполнительной власти в области финансовых рынков или его территориального органа -
влечет наложение административного штрафа на должностных лиц в размере от двадцати тысяч до тридцати тысяч рублей; на юридических лиц - от пятисот тысяч до семисот тысяч рублей.
10. Невыполнение в установленный срок законного предписания, требования органа исполнительной власти, уполномоченного на осуществление контроля (надзора) в сфере обеспечения транспортной безопасности, -
влечет наложение административного штрафа на граждан в размере пяти тысяч рублей; на должностных лиц - от двадцати тысяч до тридцати тысяч рублей; на юридических лиц - от двадцати тысяч до пятидесяти тысяч рублей.
11. Невыполнение в установленный срок или ненадлежащее выполнение законного предписания федерального органа исполнительной власти, осуществляющего государственный контроль и надзор в сфере безопасного ведения работ, связанных с пользованием недрами, промышленной безопасности и безопасности гидротехнических сооружений, -влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей или дисквалификацию на срок от одного года до трех лет; на юридических лиц - от четырехсот тысяч до семисот тысяч рублей.
12. Невыполнение в установленный срок законного предписания органа, осуществляющего государственный пожарный надзор, -
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей; на должностных лиц - от трех тысяч до четырех тысяч рублей; на юридических лиц - от семидесяти тысяч до восьмидесяти тысяч рублей.
13. Невыполнение в установленный срок законного предписания органа, осуществляющего государственный пожарный надзор, на объектах защиты, на которых осуществляется деятельность в сфере здравоохранения, образования и социального обслуживания, -
влечет наложение административного штрафа на граждан в размере от двух тысяч до трех тысяч рублей; на должностных лиц - от пяти тысяч до шести тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от девяноста тысяч до ста тысяч рублей.
14. Повторное совершение административного правонарушения, предусмотренного частью 12 или 13 настоящей статьи, -
влечет наложение административного штрафа на граждан в размере от четырех тысяч до пяти тысяч рублей; на должностных лиц - от пятнадцати тысяч до двадцати тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от ста пятидесяти тысяч до двухсот тысяч рублей.
15. Невыполнение изготовителем (исполнителем, продавцом, лицом, выполняющим функции иностранного изготовителя), органом по сертификации или испытательной лабораторией (центром) в установленный срок законного решения, предписания федерального органа исполнительной власти, уполномоченного на осуществление государственного контроля (надзора) за соблюдением требований технических регламентов к продукции, в том числе к зданиям и сооружениям, либо к продукции (впервые выпускаемой в обращение продукции) и связанным с требованиями к продукциипроцессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации или утилизации, -
влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.
16. Невыполнение в установленный срок предписания федерального органа исполнительной власти, осуществляющего государственный надзор и контроль за соблюдением законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию, -
влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от тридцати тысяч до пятидесяти тысяч рублей и (или) административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей и (или) административное приостановление деятельности на срок до девяноста суток.
17. Невыполнение в установленный срок законного предписания федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере безопасности при использовании атомной энергии, -
влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей или дисквалификацию на срок от одного года до трех лет; на юридических лиц - от четырехсот тысяч до семисот тысяч рублей.
Примечание. За административные правонарушения, предусмотренные частью 11 настоящей статьи, лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.
Статья 19.7. Непредставление сведений (информации)
Статья 19.7. Непредставление сведений (информации)
Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьей 6.16, частью 4 статьи 14.28, статьями 19.7.1, 19.7.2, 19.7.3, 19.7.4, 19.7.5, 19.7.5-1, 19.8 настоящего Кодекса, -
влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.
Дисциплинарная ответственность
(Трудовой кодекс РФ)
Статья 81. Расторжение трудового договора по инициативе работодателя
Трудовой договор может быть расторгнут работодателем в случаях:
6) однократного грубого нарушения работником трудовых обязанностей:
в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника;
Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Статья 237. Возмещение морального вреда, причиненного работнику
Моральный вред, причиненный работнику неправомерными действиями или бездействием работодателя, возмещается работнику в денежной форме в размерах, определяемых соглашением сторон трудового договора. В случае возникновения спора факт причинения работнику морального вреда и размеры его возмещения определяются судом независимо от подлежащего возмещению имущественного ущерба.
Приложение 2
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ответственного за организацию обработки персональных данных
Лицо, ответственное за организацию обработки персональных данных назначается приказом министра, получает указания непосредственно от министра, подотчетно ему.
Лицо, ответственное за организацию обработки персональных данных обязано направлять уведомление (дополнения или изменения к нему) об обработке персональных данных в уполномоченный федеральный орган, в соответствии с частью 3 статьи 22 ФЗ № 152 «О персональных данных».
Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
осуществлять внутренний контроль за соблюдением оператором и его сотрудников законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
доводить до сведения сотрудников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Приложение № 14
к приказу министра труда и занятости населения
Оренбургской области
от 27.02.2013 № 45
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или их представителей
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные законодательством.
2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер служебного контракта, дата заключения контракта, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью.
3.Все документы, поступающие от субъектов персональных данных, подлежат регистрации по журналу учета обращений субъектов персональных данных о выполнении их законных прав. (Приложение 1)
На самом документе в правом нижнем углу первого листа документа проставляется отметка о поступлении, которая содержит входящий номер, присвоенный документу, дату поступления, количество листов.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
5. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
6. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
7. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
8. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
Приложение 1
ЖУРНАЛ
учета обращений субъектов персональных данных
о выполнении их законных прав
_______________________________
Начат:
«____»____________ 20___г.
Окончен:
«____»____________ 20___г.
На ____ листах
№ п/п
Дата обращения
Фамилия, имя, отчество
Цель получения информации
Отметка о предоставлении
Дата передачи (отказа)
Подпись запрашиваемого лица
Подпись ответственного лица
1
2
3
4
5
6
7
8
[1] Под компрометацией понимается утеря, передача другому лицу пароля.
Дополнительные сведения
Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 05.01.2019 |
Рубрики правового классификатора: | 160.040.030 Информационная безопасность (см. также 120.070.000) |
Вопрос юристу
Поделитесь ссылкой на эту страницу: