К приказу Государственной инспекции труда в Воронежской области

Скачать 1.51 Mb.

Название	К приказу Государственной инспекции труда в Воронежской области
страница	10/12
Тип	Документы

filling-form.ru > Договоры > Документы

1 ... 4 5 6 7 8 9 10 11 12

Порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных

Доступ сотрудников Государственной инспекции труда в Воронежской области в помещения, в которых ведется обработка персональных данных, осуществляется по Спискам сотрудников Государственной инспекции труда в Воронежской области допущенных в помещения, в которых ведется обработка персональных данных. Такие списки готовятся и уточняются лицом, ответственным за организацию обработки персональных данных в Государственной инспекции труда в Воронежской области и утверждаются руководителем Государственной инспекции труда в Воронежской области.

Допуск в помещения, в которых ведется обработка персональных данных, иных лиц, осуществляется сотрудниками, указанными в Списках сотрудников Государственной инспекции труда в Воронежской области допущенных в помещения, в которых ведется обработка персональных данных. Пребывание таких посторонних лиц в кабинетах, в которых ведется обработка персональных данных, допускается только в присутствии сотрудников, указанных в Списках сотрудников Государственной инспекции труда в Воронежской области допущенных в помещения, в которых ведется обработка персональных данных.

Конфиденциальность персональных данных

Запрет раскрытия третьим лицам и распространения персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, Государственной инспекции труда в Воронежской области и иными лицами, получившим доступ к персональным данным называется конфиденциальностью персональных данных.

Режим ограниченного доступа к персональным данным

С целью реализации требований действующего законодательства Российской Федерации в Воронежской области персональных данных по обеспечению конфиденциальности персональных данных в Государственной инспекции труда в Воронежской области вводится режим ограниченного доступа к персональным данным.

Создание режима ограниченного доступа к персональным данным включает в себя:

создание и уточнение Перечня информационных систем персональных данных в Государственной инспекции труда в Воронежской области;
создание и уточнение настоящего Положения в части касающейся обеспечения конфиденциальности персональных данных и обеспечения безопасности персональных данных;
создание и уточнение Перечня помещений, предназначенных для обработки персональных данных;
перечень должностей сотрудников Государственной инспекции труда в Воронежской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
определение технических средств обработки персональных данных, путем разработки, оформления и уточнения Технического паспорта (или Технических паспортов) информационных систем персональных данных Государственной инспекции труда в Воронежской области;
разработки, оформления и уточнения Перечня информационных ресурсов, содержащих персональные данные (мест расположения баз данных или иных документов и массивов содержащих персональные данные);
создание комиссии по классификации и обследованию помещений, предназначенных для обработки персональных данных;
создание классификации помещений, предназначенных для обработки персональных данных на предмет соответствия требованиям к инженерно-технической укрепленности по защите объектов от преступных посягательств;
дополнение в гражданско-правовые договоры с контрагентами по вопросам обязательства по обеспечению охраны конфиденциальности информации и ответственности за обеспечение охраны ее конфиденциальности;
внесение изменений в должностные обязанности (дополнения в трудовой договор сотрудников), предусматривающие регулирование отношений по использованию информации, ограниченного доступа;
получение расписок в ознакомлении сотрудников Государственной инспекции труда в Воронежской области, доступ которых к информации ограниченного доступа, обладателями которой являются Государственная инспекция труда в Воронежской области, его контрагенты и клиенты, необходим для выполнения им своих трудовых обязанностей, с перечнем информации ограниченного доступа, установленным режимом ограничения доступа к информации и мерами ответственности за его нарушение;
передаче (возврате) сотрудниками Государственной инспекции труда в Воронежской области при прекращении или расторжении трудового договора, имеющихся в пользовании такого сотрудника материальных носителей информации, содержащих персональные данные;
проведение начальных и периодических занятий и иных мероприятий по повышению уровня знаний сотрудников Государственной инспекции труда в Воронежской области, допущенных к обработке персональных данных по вопросам обработки и обеспечения безопасности персональных данных;
создание и ведение Журнала регистрации машинных носителей информации;
создание и ведение Журнала учета сейфов, металлических шкафов, спецхранилищ и ключей от них;
создание и ведение списков лиц, имеющих доступ в помещения, в которых обрабатываются персональные данные;
создание и ведение Журнала (-ов) приема (сдачи) под охрану помещений, в которых осуществляется обработка персональных данных;
документирование и реализация разрешительной системы доступа (матриц доступа) к информационным (программным) ресурсам в автоматизированных системах информационных систем персональных данных Государственной инспекции труда в Воронежской области;
разработка инструкций о действиях сотрудников Государственной инспекции труда в Воронежской области в отношении носителей персональных данных при возникновении чрезвычайных ситуаций(стихийных бедствий, техногенных катастроф, наводнений, пожаров, нарушениях правопорядка и др.);
разработка инструкций для сотрудников Государственной инспекции труда в Воронежской области по вопросам обеспечения безопасности персональных данных.

Организация и контроль за выполнением указанных мероприятий возлагается на лицо, ответственное за организацию обработки персональных данных в Государственной инспекции труда в Воронежской области. Разрабатываемые документы подлежат утверждению руководителем Государственной инспекции труда в Воронежской области.

Порядок учета и маркирования материальных носителей информации, образующихся в процессе обработки персональных данных

С целью реализации режима ограниченного доступа к персональным данным в Государственной инспекции труда в Воронежской области и недопущению бесконтрольного использования машинных носителей, содержащих персональные данные, вводится их поэкземплярный учет.

Организация и контроль за выполнением учета машинных носителей, содержащих персональные данные, возлагается на лицо, ответственное за организацию обработки персональных данных в Государственной инспекции труда в Воронежской области.

Учет машинных носителей, содержащих персональные данные, осуществляется по Журналу учета машинных носителей информации.

Обеспечение безопасности персональных данных при их обработке

В соответствии с требованиями действующего законодательства в области персональных данных при обработке персональных данных Государственная инспекция труда в Воронежской области обязана принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Работы по обеспечению безопасности персональных данных при их обработке в информационных системах в Государственной инспекции труда в Воронежской области являются неотъемлемой частью работ по созданию информационных систем.

Принципы обеспечения безопасности персональных данных при их обработке

Обеспечение безопасности персональных данных в Государственной инспекции труда в Воронежской области должно осуществляться на основе следующих принципов:

соблюдение конфиденциальности персональных данных и иных характеристик их безопасности;
реализация права на доступ к персональным данным лиц, доступ которых к таким данным разрешается в рамках действующего законодательства Российской Федерации и приказами Государственной инспекции труда в Воронежской области;
обеспечение защиты информации, содержащей персональные данные, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
проведение мероприятий, направленных на предотвращение несанкционированной передачи их лицам, не имеющим права доступа к такой информации;
своевременное обнаружение фактов несанкционированного доступа к персональным данным;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищенности персональных данных;
применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.

Категорически запрещается нарушать указанные принципы по обеспечению безопасности персональных данных.

Требования по уровню обеспечения безопасности

С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, информационные системы персональных данных классифицируются в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

Проведение классификации информационных систем включает в себя следующие этапы:

сбор и анализ исходных данных по информационной системе;
присвоение информационной системе соответствующего класса и его документальное оформление.

При проведении классификации информационной системы учитываются следующие исходные данные:

категория обрабатываемых в информационной системе персональных данных;
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе);
заданные характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.

В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).

Результаты классификации информационных систем оформляются соответствующим Актом классификации.

Состав мероприятий по обеспечению безопасности персональных данных

Мероприятия по обеспечению безопасности персональных данных должны носить комплексный характер и включать в себя правовые, организационные и технические меры, описанные в настоящем Положении.

Порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются настоящим Положением.

Состав мероприятий по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Ответственным за организацию и контроль за обеспечение безопасности персональных данных в Государственной инспекции труда в Воронежской области при обработке персональных данных, осуществляемой без использования средств автоматизации, является лицо, ответственное за организацию обработки персональных данных в Государственной инспекции труда в Воронежской области.

Состав мероприятий по обеспечению безопасности персональных данных при их обработке, осуществляемой с использованием средств автоматизации

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в Государственной инспекции труда в Воронежской области включают в себя:

определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
учет лиц, допущенных к работе с персональными данными в информационной системе;
контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
описание системы защиты персональных данных.

К методам и способам защиты информации в информационных системах персональных данных относятся:

методы и способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от несанкционированного доступа);
методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от утечки по техническим каналам).

Методами и способами защиты информации от несанкционированного доступа являются:

реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.

При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с указанными методами и способами, основными методами и способами защиты информации от несанкционированного доступа являются:

межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы.

Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществляется в случаях, когда при определении угроз безопасности персональных данных и формировании модели угроз применительно к информационной системе являются актуальными угрозы утечки акустической речевой информации, угрозы утечки видовой информации и угрозы утечки информации по каналам побочных электромагнитных излучений и наводок.

Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в информационных системах 1 класса могут применяться следующие методы и способы защиты информации:

использование технических средств в защищенном исполнении;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
размещение объектов защиты в соответствии с предписанием на эксплуатацию;
размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация.

В информационных системах 2 класса для обработки информации используются средства вычислительной техники, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники.

При применении в информационных системах функции голосового ввода персональных данных в информационную систему или функции воспроизведения информации акустическими средствами информационных систем для информационной системы 1 класса реализуются методы и способы защиты акустической (речевой) информации.

Методы и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена информационная система, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при голосовом вводе персональных данных в информационной системе или воспроизведении информации акустическими средствами.

Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки персональных данных в информационной системе.

Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.

Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств, в том числе средств криптографической защиты информации.

1 ... 4 5 6 7 8 9 10 11 12

	Типовой должностной регламент Государственной инспекции труда в Нижегородской области осуществляется в соответствии с должностным регламентом, являющимся составной...		Департамент труда и занятости населения воронежской области приказ В соответствии с постановлением правительства Воронежской области от 31. 12. 2013 n 1201 "Об утверждении государственной программы...
	Доклад о деятельности Государственной инспекции труда в Сахалинской области за 2014 год Федеральном законе от 26 декабря 2008 года №294-фз «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении...		Доклад по правоприменительной практике Государственной инспекции... Й об устранении выявленных нарушений, составления протоколов об административных правонарушениях в пределах полномочий, подготовки...
	Отчет о деятельности Государственной инспекции труда в Омской области... Положении о Федеральной службе по труду и занятости, утвержденном постановлением Правительства Российской Федерации от 30 июня 2004...		О т ч ё т о деятельности Государственной инспекции труда в Челябинской... Роструда от 28. 12. 2009 №453 утверждено «Положение о территориальном органе Федеральной службы по труду и занятости Государственной...
	Приказ Департамента труда и социального развития Воронежской области... В соответствии с Законом Воронежской области от 14. 11. 2008 n 103-оз "О социальной поддержке отдельных категорий граждан в Воронежской...		Приказ от 10 октября 2012 г. N 1470 об утверждении административного... Воронежской области", протоколом заседания комиссии по проведению административной реформы в Воронежской области от 05. 10. 2012...
	Отчет о деятельности Государственной инспекции труда в Краснодарском... Описание деятельности Государственной инспекции труда в Краснодарском крае и нормативно-правовая база в сфере труда		Отчет о деятельности Государственной инспекции труда в Краснодарском... Описание деятельности Государственной инспекции труда в Краснодарском крае и нормативно-правовая база в сфере труда

К приказу Государственной инспекции труда в Воронежской области

Похожие: