3.4. Порядок доступа служащих в помещения, в которых ведется обработка ПДн.
Порядок доступа в помещения, в которых ведется обработка персональных данных (далее – Порядок), соответствует требованиям Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» [1], постановлениями Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», а также другими нормативными правовыми актами, регламентирующими защиту персональных данных. [1, 12, 14]
Целью разработки Порядка является исключение несанкционированного доступа к персональным данным, обрабатываемым в УФМС России по Тюменской области, лиц, не допущенных к обработке персональных данных.
Персональные данные относятся к конфиденциальной информации. Служащие Управления, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением правил доступа в помещения, где обрабатываются персональные данные с использованием и без использования средств автоматизации. [2]
Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. При хранении материальных носителей персональных данных, в том числе на бумажном носителе, должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. [7, 10]
В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только служащие Управления, допущенные к работе с ними на основании приказа начальника Управления.
Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не являющихся служащими Управления, или служащих Управления, не допущенных к обработке персональных данных, возможно только в присутствии служащих Управления, обрабатывающих в данном помещении персональные данные или допущенных к этим персональным данным. Время нахождения в помещениях ограничивается временем решения служебного вопроса, в рамках которого возникла необходимость пребывания в помещении. Все сотрудники, постоянно работающие в помещении, должны иметь соответствующий допуск к соответствующим видам ПДн.
Служащие Управления, допущенные к работе с персональными данными, не должны покидать помещение не убедившись, что доступ посторонних лиц к персональным данным невозможен. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении.
Ответственные за организацию доступа в помещения Управления, в которых ведется обработка персональных данных, назначаются приказом.
Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится в порядке, определенном Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Управления. [1]
После окончания рабочего дня дверь каждого помещения, в котором ведется обработка персональных данных, закрывается на ключ и опечатывается. В служебных помещениях, занимаемых Управлением, применяются организационные, технические и физические меры, направленные для защиты от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.
К указанным мерам относятся:
1) физические меры защиты: установка дверей, снабжённых замками, сейфов, решеток, штор или жалюзи на окнах, расположение мониторов, уничтожение носителей, содержащих персональные данные, и т.д.;
2) технические меры защиты: применение антивирусных программ, программ защиты, установление паролей на персональных компьютерах, применение съемных носителей информации и т.д.;
3) организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты, допуск к обработке персональных данных только специально назначенных служащих. [10, 13, 15]
|
