Утверждаю должностная инструкция
Скачать 151.48 Kb.
|
I. ОБЩИЕ ПОЛОЖЕНИЯ 1. Настоящая должностная инструкция Администратора по организации обработке персональных данных (далее - Администратор ПДн) подготовлена во исполнение требований п.1. статьи 18.1. Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных», и определяет функциональные обязанности, права и ответственность Администратора в Обществе с ограниченной ответственностью «_________________» (далее – Общество). 2. Должностные обязанности Администратора ПДн возлагаются в установленном действующим трудовым законодательством порядке приказом Генерального директора Общества. 3. Администратор ПДн непосредственно подчиняется Начальнику информационно-технического отдела и Генеральному директору. 4. Администратор ПДн ответственен за организацию обработки персональных данных, за обеспечение информационной безопасности и защиту персональных данных в Обществе, вне зависимости от того, является обработка персональных данных автоматизированной или неавтоматизированной, производится она вручную либо автоматически. В своей работе он руководствуется настоящей инструкцией, внутренними локальными нормативными актами, регламентирующими деятельность Общества по обработке и защите персональных данных, а также законодательными и нормативными документами, принятыми в сфере обработки персональных данных. 5. Администратор ПДн должен иметь специальное рабочее место, размещенное в помещении Общества, что бы исключить несанкционированный доступ к нему посторонних лиц и других пользователей. Рабочее место Администратора ПДн должно быть оборудовано средствами физической защиты (личный сейф или железный шкаф), подключением к информационным системам персональных данных (далее – ИСПДн), а так же средствами контроля за техническими средствами защиты. II. КВАЛИФИКАЦИОННЫЕ ТРЕБОВАНИЯ Администратор ПДн должен знать: 1. Законодательные и нормативные правовые акты, регламентирующие деятельность юридических лиц в сфере обработки персональных данных, в том числе: Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 2. Нормативно-методические, организационно-распорядительные, другие руководящие и нормативные документы регуляторов и других государственных органов, касающиеся методов программирования и использования вычислительной техники при обработке информации и применения современных информационных технологий защиты персональных данных при их обработке, в том числе следующие документы: Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 года № 312 «Об утверждении административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных» Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 15 февраля 2008 г.) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г.) Приказ ФСТЭК от 19.08.2011 № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» Приказ ФСТЭК от 15 марта 2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных» Приказ ФСТЭК от 05.09.2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных» 3. Внутренние локальные нормативные акты, регламентирующие деятельность Общества по обработке и защите персональных данных, в том числе следующие: Положение о коммерческой тайне Политика по защите персональных данных Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации Положение об обработке и защите персональных данных работников Общества Положение об обработке и защите персональных данных клиентов Общества Положение об ответственности работников за разглашение персональных данных и несанкционированный доступ к персональным данным Администратор ПДн должен знать и уметь применять на практике: - аппаратное и программное обеспечение автоматизированных рабочих мест, ИСПДн и сетей, эксплуатируемые в Обществе, их технико-эксплутационные характеристики, конструктивные особенности, назначения и режимы работы оборудования, правила его технической эксплуатации; - действующие стандарты в сфере защиты персональных данных при их обработке; - принципы простейшего ремонта аппаратного обеспечения; - порядок оформления технической документации; - основные вопросы трудового законодательства, правила и нормы охраны труда; - правила внутреннего трудового распорядка, локальные нормативные акты Общества, регламентирующие правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной безопасности; - настоящую должностную инструкцию. III. ФУНКЦИИ Администратор ПДн исполняет следующие функции: обеспечивает безопасность персональных данных при их обработке, осуществляемой в Обществе, как без использования средств автоматизации, так и с применением вычислительной техники; осуществляет настройку и сопровождение всех программных и технических средств защиты ИСПДн; обеспечивает поддержание необходимого уровня безопасности объектов защиты ИСПДн. IV. ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ 1. Администратор ПДн ОБЕСПЕЧИВАЕТ: защиту информационных систем и автоматизированных рабочих мест Общества, в которых обрабатываются персональные данные, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, в которых обрабатываются персональные данные; общий контроль соблюдения работниками Общества мер по защите персональных данных, в том числе в случае как автоматизированной, так и обработке ПДн без средств автоматизации; организацию обучения работников требованиям российского законодательства в области обработки ПДн; ознакомление всех работников Общества, осуществляющих обработку персональных данных, с внутренними локальными актами, регламентирующими в Обществе обработку ПДн; разграничение доступа пользователей ИСПДн и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; регистрацию действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц; учет съемных носителей информации в журналах, утвержденных нормативными актами Общества, а также осуществляет их хранение и обращение, исключающее хищение, подмену и уничтожение; резервирование технических средств, дублирование массивов и носителей информации; предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок; реализацию функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа; контроль за межсетевым экранированием, управление настройками фильтрации входящих (исходящих) сетевых пакетов; анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности); защиту информации при ее передаче по каналам связи; контроль за использованием работниками Общества смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей; централизованное управление системой защиты персональных данных информационной системы Общества; периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы; активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности; анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов; проверку подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) данных; осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных; предотвращение возможности отрицания пользователем факта отправки персональных данных другому пользователю; предотвращение возможности отрицания пользователем факта получения персональных данных от другого пользователя; проверку программного обеспечения средств защиты информации, применяемых в информационных системах; проведение контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов; при необходимости применять другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных; выявление возможных каналов утечки информации и способы совершения несанкционированного доступа (далее – НСД) и принимает меры по их устранению по их устранению; обучение и консультации пользователей ИСПДн правилам работы со средствами защиты информации в Обществе; контроль по установке программно-технических средств защиты информации на компьютеры Общества в соответствии с установленной технологией обработки информации на основании действующих нормативных документов, утвержденных директором Общества. 2. Администратор ПДн ОСУЩЕСТВЛЯЕТ: контроль за работой разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам; контроль за ограничением доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации; контроль за использованием, хранением и размножением на автоматизированном рабочем месте программных продуктов и носителей информации, непосредственно не связанных со служебной деятельностью на данном рабочем месте; контроль за внесением несанкционированных изменений в системы электроснабжения, заземления и других проводных коммуникаций объекта; генерацию ключей, личных идентификаторов, а так же паролей для пользователей ИСПДн; учет персональных идентификаторов, ключей, карточек паролей; контроль целостности эксплуатируемого в ИСПДн программного обеспечения, в том числе самих средств защиты информации, с целью недопущения и выявления несанкционированных модификаций; корректировку содержания с целью соответствия реальным условиям настоящей Инструкции, а также нормативных документов обеспечивающих проведение мероприятий по обеспечению безопасности обработки персональных данных в Обществе; и разрабатывает предложения по составу общесистемных программных средств, обеспечивающих функционирование автоматизированной системы; контроль за действиями пользователей и обслуживающего персонала, контроль несанкционированного, исполнением ими своих должностных инструкций. 3. Администратор ПДн ОБЯЗАН: знать способы, методы и средства защиты информации (далее – СЗИ), обрабатываемой с использованием автоматизированной системы; знать перечень задач, решаемых с использованием автоматизированной системы, и пользователей, допущенных к их решению; ежеквартально проводить занятия с пользователями, доводить основные положения нормативных, правовых и руководящих документов по вопросам защиты (обеспечению безопасности информации); еженедельно анализировать содержимое системных журналов средств защиты информации на предмет попыток НСД и 1 раз в квартал архивировать журнал СЗИ НСД; периодически, но не реже двух раз в год, тестировать все функции системы разграничения доступа к информации, обрабатываемой с использованием автоматизированной системы; осуществлять раз в месяц визуальный контроль целостности компонентов автоматизированной системы и установленных средств защиты; контролировать работу установленной антивирусной программы и раз в день осуществлять проверку электронного журнала учета работы антивирусной программы на наличие компьютерных «вирусов»; обновлять не реже одного раза в неделю антивирусные средства (базу данных), установленных на автоматизированных рабочих местах; контролировать правильность применения и работоспособность средств защиты информации от НСД; в соответствии с инструкцией по парольной защите в Обществе вести учет, хранение, закрепление и выдачу паролей доступа к техническим средствам и информационным ресурсам автоматизированной системы; своевременно удалять описание пользователей из базы данных СЗИ при изменении списка допущенных к работе на АРМ лиц; знать работу установленных средств защиты, при необходимости проводить администраторские работы с отметкой в журнале, утвержденного нормативным актом Общества; постоянно повышать свою квалификацию; участвовать в мероприятиях по защите информации; участвовать и контролировать проведение аттестационных испытаний автоматизированной системы; организовывать и контролировать проведение мероприятий по резервному копированию персональных данных Общества. принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий; обеспечивать своевременное оформление всей предусмотренной отчетности и иной рабочей документации; периодически представлять руководству отчет о состоянии защиты ПДн и о нештатных ситуациях на объектах ИСПДн и допущенных пользователями нарушениях установленных требований по защите информации; повышать свой профессиональный и образовательный уровень; выполнять другие, находящиеся в его компетентности, поручения руководства Общества; поддерживать хорошие отношения с коллегами и руководством для создания рабочей дружелюбной атмосферы и эффективной работы в Обществе; соблюдать трудовую и производственную дисциплину; соблюдать правила пожарной безопасности, требования техники безопасности и санитарно-гигиенических норм и иных локальных нормативных актов, которыми регламентируется деятельность Общества; соблюдать запрет на внос в помещения Общества взрывчатых, отравляющих и пожароопасных веществ, пользоваться нестандартными электроприборами и нагревателями; соблюдать запрет на курение в местах, специально не оборудованных и не отведенных для курения, находиться в помещениях Общества в состоянии алкогольного, наркотического или токсического опьянения. V. ПРАВА Администратор ПДн имеет право: 1. Знакомиться с проектами решений руководства Общества, касающимися его деятельности. 2. Вносить на рассмотрение руководства предложения по улучшению деятельности отдела по соответствующим вопросам. 3. Участвовать в подготовке проектов документов, связанных с деятельностью отдела. 4. Осуществлять взаимодействие с руководителями структурных подразделений Общества, получать информацию и документы, необходимые для выполнения своих должностных обязанностей. 5. Требовать от руководства Общества оказания содействия в исполнении своих должностных обязанностей и прав. 6. Требовать от пользователей ИСПДн выполнения установленной технологии обработки информации, инструкций по обеспечению информационной безопасности ИСПДн. 7. Докладывать руководству Общества о нарушениях или невыполнении пользователями требований по защите (обеспечению безопасности) информации и правил обращения со съемными машинными носителями информации. 8. Останавливать обработку информации в ИСПДн в случаях подтвержденных нарушений установленной технологии обработки данных, приводящих к нарушению функционирования СЗИ. Администратор ПДн не имеет права: 9. Допускать публичные высказывания, суждения или оценки, в том числе в средствах массовой информации, в отношении деятельности Общества, решений его руководителей, профессионализма коллег и т.п. Все запросы об информации, поступающие от средств массовой информации или иных лиц и организаций, должны отсылаться Администратором ПДн уполномоченным на то сотрудникам Общества или непосредственному начальнику. 10. Без разрешения руководителей Общества вступать в беседу, отвечать на вопросы, предоставлять информацию и документы сотрудникам официальных ведомств, осуществляющих проверку деятельности Общества. VI. ОТВЕТСТВЕННОСТЬ Администратор ПДн несет ответственность за: 1. Неисполнение (ненадлежащее исполнение) своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, в пределах, определенных трудовым законодательством Российской Федерации. 2. Совершенные в процессе осуществления своей деятельности правонарушения - в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации. 3. Невыполнение или ненадлежащее выполнение приказов, распоряжений и поручений руководителей Общества. 4. Эффективность контроля за действиями пользователей при обработке персональных данных, а также за установление, состояние и поддержание необходимого уровня защищенности персональных данных при их обработке в ИСПДн. 5. Правильное заполнение и ведение всей документации, регламентированной требованиями и стандартами Общества. 6. Соблюдение графика работы и режима рабочего времени, трудовой и производственной дисциплины. 7. Содержание рабочего места в чистоте и порядке. 8. Соблюдение требований дресс-кода Общества на рабочем месте. 9. Использование ресурсов сети Интернет только в рабочих целях. 10. Сохранность вверенной офисной техники (компьютер, факс, телефоны и т.п.) и офисной мебели; за причинение материального ущерба в пределах, определенных действующим трудовым, уголовным и гражданским законодательством РФ. 11. Разглашение внутренней конфиденциальной информации Общества, либо информации, содержащей коммерческую тайну Общества. VII. УСЛОВИЯ РАБОТЫ Режим работы Администратора ПДн определяется в соответствии с Правилами внутреннего трудового распорядка, установленными в Обществе. Должностную инструкцию РАЗРАБОТАЛ: Начальник отдела кадров ООО «____________» _____________ _____________ «__» ______ 201_ года СОГЛАСОВАНО: Начальник юридического отдела ООО «_______» _____________ _____________ Директор по общим вопросам ООО «__________» _____________ _____________ «02» августа 2011 года С инструкцией ознакомлен(а): _________________________ /___________/ (подпись) «___» ______________ 201_ года Листок ознакомления с должностной инструкцией Администратора ИСПДн
|
Похожие:
 | Настоящая должностная инструкция разработана на основе тарифно-квалификационной характеристики по отраслевой профессии «Водитель»,... |  | Основными задачами секретаря являются организационное и документационное обеспечение деятельности генерального директора |
| Настоящая должностная инструкция определяет функциональные, должностные обязанности, права и ответственность заместителя директора... | | ... |
| | Настоящая должностная инструкция определяет функциональные, должностные обязанности, права и ответственность главного бухгалтера... | |
| Настоящая инструкция регламентирует вопросы, связанные с охраной объекта, находящегося в управлении муп «дез гор. Подольска» и расположенного... | | Муниципальное бюджетное дошкольное образовательное учреждение детский сад комбинированного вида №37 |
| Организация санитарно-просветительной работы в лечебно-профилактических учреждениях | | На должность оператора котельной назначается лицо, без предъявления требований к образованию и стажу работы |