Методические рекомендации исполнительным органам государственной власти, городским округам и муниципальным районам Кемеровской области по организации защиты персональных данных
Кемерово 2013 г.
Содержание
1. Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных
На бланке организации
ПРОЕКТ ПРИКАЗА
С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказываю:
1. Назначить ответственным за организацию работ и обеспечение безопасности персональных данных ________________________ (Ф.И.О., должность (должностное лицо из числа заместителей)).
2. Выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных возложить на (подразделение или должностное лицо).
3. В срок до ____________ назначенным лицам разработать и внедрить:
– план мероприятий по обеспечению защиты персональных данных;
– перечень персональных данных, подлежащих защите и объем персональных данных;
– положение о порядке обработки и обеспечении безопасности персональных данных;
– определить уровни защищенности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) с оформлением акта;
– частную модель угроз для каждой ИСПДн;
– матрицу доступа сотрудников к персональным данным;
– журнал учета используемых сертифицированных технических средств защиты информации, эксплуатационной и технической документации к ним;
– порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ;
– журнал учета съемных носителей конфиденциальной информации;
– журнал регистрации и учета обращений субъектов персональных данных;
– инструкцию администратора безопасности ИСПДн;
– инструкцию пользователя по обеспечению безопасности ИСПДн;
– инструкцию по организации антивирусной защиты в локальной вычислительной сети.
4. Руководителям структурных подразделений в срок до _____________ представить ответственному за обеспечение безопасности персональных данных списки сотрудников, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей.
5. Ответственному за выполнение работ по обеспечению безопасности персональных данных организовать учет носителей персональных данных.
6. Запретить сотрудникам, имеющим доступ к персональным данным, использовать для хранения и обработки персональных данных носители информации, не поставленные на учет в установленном порядке.
7. ____________________ (Ф.И.О., должность) юридического отдела урегулировать вопросы законности обработки персональных данных субъектов, разработать типовую форму письменного согласия субъектов персональных данных на обработку их персональных данных.
8. ____________________ (Ф.И.О., должность) отдела кадров провести работу по учету персональных данных сотрудников и обеспечить их безопасность при неавтоматизированной обработке.
9. Приказ довести до сотрудников, обрабатывающих персональные данные.
10. Контроль за выполнением требований настоящего приказа оставляю за собой.
Руководитель И.О.Фамилия
2. Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн
На бланке организации
ПРОЕКТ ПРИКАЗА
С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказываю:
1. Назначить ответственным за выполнение работ по технической и криптографической защите ПДн _________________________(Ф.И.О., должность).
2. В рамках проведения данных работ функции по администрированию средств криптографической защиты персональных данных возложить на (подразделение или должностное лицо).
3. Контроль за выполнением требований настоящего приказа возложить на ________________________.
Руководитель И.О.Фамилия
3.Приказ о создании комиссии по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных
На бланке организации
ПРОЕКТ ПРИКАЗА
В соответствии с Федеральным законом Российской Федерации от 27.06.2006 № 152-ФЗ «О персональных данных» и в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказываю:
Утвердить состав Комиссии по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) (Приложение № 1).
В срок до __________________ Комиссии определить уровень защищенности персональных данных при их обработке в ИСПДн с оформлением акта.
При определении уровня защищенности персональных данных Комиссии руководствоваться требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Контроль за выполнением настоящего приказа оставляю за собой.
-
Приложение № 1
к приказу от ________ 2013 г. № ___
|
С О С Т А В
КОМИССИИ
___________________
Председатель Комиссии – руководитель __________________
Члены Комиссии:
________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
4. Приказ о выделении помещений для обработки персональных данных
На бланке организации
ПРОЕКТ ПРИКАЗА
С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказываю:
Утвердить список помещений, предназначенных для обработки персональных данных (далее – ПДн) согласно приложению №1 к настоящему приказу.
Руководителям структурных подразделений в срок до _____________ представить ответственному за обеспечение защиты информации списки сотрудников для организации допуска сотрудников в указанные помещения (приложение №2).
Установить, что ответственность за режим безопасности в помещении и правильность использования установленных в нем технических средств несет лицо, которое постоянно в нем работает, и руководитель структурного подразделения.
В нерабочее время указанные помещения должны закрываться на ключ и сдаваться под охрану.
Установка нового оборудования, мебели и т.п. или замена их, а также ремонт помещения должны проводиться только по согласованию с подразделением (специалистом) по защите информации организации.
Контроль за соблюдением требований по защите информации возложить на _______________________.
Контроль за выполнением настоящего приказа возложить на ________________________.
Руководитель Ф.И.О.
Приложение №1 к приказу
руководителя организации
от ____. _________ 201_ г.
№ _____
Перечень защищаемых помещений
№
п/п
|
Наименование помещения
|
Адрес и место расположения
|
1
|
Кабинет главного бухгалтера,
помещение № 510
|
|
2
|
Кабинет начальника отдела кадров,
помещение № 301
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5. Инструкции по порядку учета и хранению съемных носителей конфиденциальной информации (персональных данных) в организации и подведомственных учреждениях
|
__________________________________________________________
(наименование организации)
|
|
УТВЕРЖДАЮ
Руководитель организации
________________________
«__» ____________ 201_ г.
|
|
|
Типовая форма
инструкции по порядку учета и хранению съемных носителей конфиденциальной информации (персональных данных) в организации и подведомственных учреждениях
|
|
|
|
|
|
|
|
|
|
|
|
Кемерово 2013
|
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Федеральным законом № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации», ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью» и другими нормативными правовыми актами, и устанавливает порядок использования носителей информации, предоставляемых органом исполнительной власти (далее наименование ОИВ) для использования в ИС.
1.2. Действие настоящего Положения распространяется на сотрудников организации, подрядчиков и третью сторону.
2. Основные термины, сокращения и определения
Администратор ИС – технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО и оборудования вычислительной техники.
АРМ – автоматизированное рабочее место пользователя (ПК с прикладным ПО) для выполнения определенной производственной задачи.
ИБ – информационная безопасность – комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.
ИС – информационная система – система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники.
Носитель информации – любой материальный объект, используемый для хранения и передачи электронной информации.
Паспорт ПК – документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
ПК – персональный компьютер.
ПО – Программное обеспечение вычислительной техники.
ПО вредоносное – ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.
ПО коммерческое – ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
Пользователь – работник Организации, использующий мобильные устройства и носители информации для выполнения своих служебных обязанностей.
3. Порядок использования носителей информации
3.1. Под использованием носителей информации в ИС организации понимается их подключение к инфраструктуре ИС с целью обработки, приема/передачи информации между ИС и носителями информации.
3.2. В ИС допускается использование только учтенных носителей информации, которые являются собственностью организации и подвергаются регулярной ревизии и контролю.
3.3. К предоставленным организации носителям конфиденциальной информации предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС).
3.4. Носители конфиденциальной информации предоставляются сотрудникам организации по инициативе Руководителей структурных подразделений в случаях:
необходимости выполнения вновь принятым работником своих должностных обязанностей;
возникновения у сотрудника организации производственной необходимости.
3.5. Процесс предоставления сотрудникам организации носителей конфиденциальной информации состоит из следующих этапов:
4. Порядок учета, хранения и обращения со съемными носителями конфиденциальной информации (персональных данных), твердыми копиями и их утилизации.
4.1. Все находящиеся на хранении и в обращении съемные носители с конфиденциальной информацией (персональными данными) в органе исполнительной власти подлежат учёту.
4.2. Каждый съемный носитель с записанными на нем конфиденциальной информацией (персональными данными) должен иметь этикетку, на которой указывается его уникальный учетный номер.
4.3. Учет и выдачу съемных носителей конфиденциальной информации (персональных данных) осуществляют сотрудники структурных подразделений, на которых возложены функции хранения носителей персональных данных. Факт выдачи съемного носителя фиксируется в журнале учета съемных носителей конфиденциальной информации.
4.4. Сотрудники организации получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета.
5. При использовании сотрудниками носителей конфиденциальной информации необходимо:
5.1. Соблюдать требования настоящего Положения.
5.2. Использовать носители информации исключительно для выполнения своих служебных обязанностей.
5.3. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения.
5.4. Бережно относится к носителям конфиденциальной информации.
5.5. Обеспечивать физическую безопасность носителей информации всеми разумными способами.
5.6. Извещать администраторов ИС о фактах утраты (кражи) носителей конфиденциальной информации.
6. При использовании носителей конфиденциальной информации запрещено:
6.1. Использовать носители конфиденциальной информации в личных целях.
6.2. Передавать носители конфиденциальной информации другим лицам (за исключением администраторов ИС).
6.3. Хранить съемные носители с конфиденциальной информацией (персональными данными) вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
6.4 Выносить съемные носители с конфиденциальной информацией (персональными данными) из служебных помещений для работы с ними на дому и т. д.
7.1. Любое взаимодействие (обработка, прием/передача информации) инициированное сотрудником организации между ИС и неучтенными (личными) носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администраторами ИС заранее). Администратор ИС оставляет за собой право блокировать или ограничивать использование носителей информации.
7.2. Информация об использовании сотрудником организации носителей информации в ИС протоколируется и, при необходимости, может быть предоставлена Руководителям структурных подразделений, а также Руководителю организации.
7.3. В случае выявления фактов несанкционированного и/или нецелевого использовании носителей конфиденциальной информации инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем организации.
7.4. По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Организации и действующему законодательству.
7.5. Информация, хранящаяся на носителях конфиденциальной информации, подлежит обязательной проверке на отсутствие вредоносного ПО.
7.6. При отправке или передаче конфиденциальной информации (персональных данных) адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка конфиденциальной информации (персональных данных) адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования.
7.7. Вынос съемных носителей конфиденциальной информации (персональных данных) для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения.
7.8. В случае утраты или уничтожения съемных носителей конфиденциальной информации (персональных данных) либо разглашении содержащихся в них сведений немедленно ставится в известность начальник соответствующего структурного подразделения. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей конфиденциальной информации (персональных данных).
7.9. Съемные носители конфиденциальной информации (персональных данных), пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется «уполномоченной комиссией». По результатам уничтожения носителей составляется акт по прилагаемой форме
7.10. В случае увольнения или перевода работника в другое структурное подразделение, предоставленные носители конфиденциальной информации изымаются.
8. Ответственность
8.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами организации.
|
