РОССИЙСКАЯ ФЕДЕРАЦИЯ КУРГАНСКАЯ БЛАСТЬ ПЕТУХОВСКИЙ РАЙОН АДМИНИСТРАЦИЯ ЗОТИНСКОГО СЕЛЬСОВЕТА ПОСТАНОВЛЕНИЕ от 28 сентября 2017года № 37 с. Зотино Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета В соответствии с Федеральным законом от 27.07.2006 №152-ФЗ (в ред. от 25.07.2011 года) «О персональных данных», Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Администрация Зотинского сельсовета ПОСТАНОВЛЯЕТ: 1. Утвердить Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета. 2. Обнародовать настоящее постановление в местах определенных Уставом Зотинского сельсовета. 3. Контроль за исполнением настоящего постановления оставляю за собой. Глава Зотинского сельсовета: Г.Н. Сколькович | | Приложение 1 к Постановлению Администрации Зотинского сельсовета от 28.09.2017 года № 37 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета» | | ПОЛОЖЕНИЕ об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета 1. Общие положения 1.1.Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета (далее -«Положение») разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ«О персональных данных», Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и другими нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных. 1.2.Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета (далее - «Оператор персональных данных»). 1.3.Безопасность персональных данных при их обработке в информационных системах персональных данных обеспечивается применением организационных мер и технических средств защиты информации (в том числе средств предотвращения несанкционированного доступа). Организационные меры и технические средства защиты информации должны удовлетворять требованиям, установленным нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных. 1.4.Требования настоящего Положения являются обязательными для исполнения всеми лицами, получившими доступ к персональным данным. 1.5.Решение о необходимости изменения этого Положения принимается на основании: - результатов проведенных аудитов, мероприятий по контролю и надзору за обеспечением безопасности персональных данных, осуществляемых уполномоченными органами; - изменения нормативных правовых актов и (или) нормативных методических документов Российской Федерации в области защиты персональных данных; - изменения процессов обработки персональных данных в информационных системах (далее -ИС) персональных данных Администрации Зотинского сельсовета; - результатов анализа инцидентов информационной безопасности в ИС персональных данных. Изменения Положения должны быть направлены на предотвращение инцидентов или устранение последствий уже реализованных инцидентов информационной безопасности. Все предлагаемые изменения Положения подлежат предварительной оценке до их ввода в действие, на соответствие нормативным правовым актам и нормативным методическим документам Российской Федерации, регулирующим отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИС персональных данных. 2. Обработка персональных данных 2.1.Обработка персональных данных осуществляется оператором персональных данных в целях реализации возложенных на него функций, определяемых законами и иными нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИС персональных данных. 2.2.Объем и характер обрабатываемых персональных данных должен соответствовать целям их обработки. Обрабатываемые персональные данные должны соответствовать заявленным целям обработки. Недопустимо объединение созданных для несовместимых между собой целей баз данных ИС персональных данных. 2.3.Обработка персональных данных осуществляется оператором без проведения мероприятий по обезличиванию персональных данных. 2.4.Персональные данные оператор получает непосредственно от структурных подразделений Администрации Петуховского района и субъектов персональных данных, которые принимают решение об их предоставлении и дают согласие на их обработку своей волей и в своем интересе. 2.5.Лица, доступ которых к персональным данным, обрабатываемым в ИС, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списков сотрудников, допущенным к соответствующим персональным данным. 2.6.Принятые в Администрации Зотинского сельсовета организационно-распорядительные документы доводятся до сведения лиц, участвующих в обработке персональных данных, в части их касающейся. 2.7.Персональные данные, используемые для обработки в ИС, порядок использования, цель, периодичность и основания внесения изменений и дополнений, а также порядок хранения персональных данных устанавливаются оператором персональных данных. 2.8.Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. 2.9.Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, должно осуществляться не дольше, чем этого требуют цели обработки персональных данных. Персональные данные подлежат уничтожению по достижении всех целей их обработки или в случае утраты необходимости в достижении этих целей. Оператор по согласованию с субъектом персональных данных может изменить сроки хранения его персональных данных в связи с обязанностями, возлагаемыми на оператора законодательством Российской Федерации. 3. Обязанности и права оператора персональных данных в ИС 3.1.Оператор персональных данных обязан предоставлять субъекту персональных данных возможность ознакомления с его персональными данными, а также вносить в них необходимые изменения, уничтожать или блокировать соответствующие персональные данные в случае предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор в ИС персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и принятых мерах оператор персональных данных уведомляет субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы. 3.2.В случае выявления недостоверных персональных данных или фактов неправомерных действий с ними оператора персональных данных, при обращении или по запросу субъекта персональных данных или его законного представителя, оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки. 3.3.В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем, или иных необходимых документов, обязан уточнить персональные данные и отменить их блокирование. 3.4.В случае выявления неправомерных действий с персональными данными оператор персональных данных в срок, не превышающий тридцати дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор персональных данных в срок, не превышающий тридцати дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя 3.5.Оператор персональных данных в случае достижения всех целей обработки персональных данных обязан незамедлительно прекратить их обработку и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения всех целей обработки персональных данных, и уведомить об этом субъекта персональных данных или его законного представителя. По согласованию с субъектом персональных данных оператор может изменить сроки хранения его персональных данных в связи с обязанностями, возлагаемыми на оператора законодательством Российской Федерации. 3.6.Оператор персональных данных, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, обязан прекратить их обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. 3.7.Оператор при передаче персональных данных субъектов третьим лицам ограничивает передаваемую информацию только теми персональными данными субъектов, которые необходимы третьим лицам для выполнения своих функций. Передача персональных данных по телефону, факсимильной связи, электронной почте и сети Интернет (без использования средств защиты информации, удовлетворяющих требованиям, установленным нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных) запрещается. 4. Методы и способы защиты персональных данных в информационных системах персональных данных 4.1.С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, оператором должна быть проведена классификация ИС персональных данных. 4.2.В целях обеспечения безопасности персональных данных определяются угрозы безопасности, оценивается актуальность угроз безопасности персональных данных. В результате разрабатывается модель угроз безопасности персональных данных. Модель угроз безопасности персональных данных корректируется при изменении состава основных технических средств и условий эксплуатации ИС персональных данных отделом программного обеспечения Администрации Зотинского сельсовета. 4.3.Установка, изменение (обновление) и удаление программного обеспечения в ИС персональных данных производится ответственным лицом за обеспечение безопасности персональных данных при их обработке в ИС персональных данных или в его присутствии. 4.4.Доступ лиц к ИС персональных данных, не допущенных к работе с персональными данными, должен быть исключен. ИС персональных данных должны быть защищены аппаратными и (или) программными средствами защиты информации от несанкционированного доступа в соответствии с нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных. 4.5.Обработка персональных данных в ИС осуществляется без подключения к локальной вычислительной сети Администрации Зотинского сельсовета, в случае необходимости подключение осуществляется с использованием средств защиты информации в соответствии с установленными требованиями нормативных правовых актов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности информации. 4.6.Охрана помещений, в которых ведется работа с персональными данными, и организация режима безопасности в этих помещениях должна обеспечивать сохранность технических средств и носителей персональных данных, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. 4.7.В целях обеспечения безопасности персональных данных должны быть разработаны организационно- распорядительные и организационно-методические документы по обеспечению безопасности персональных данных, обрабатываемых в ИС: - инструкция администратора информационной безопасности информационных систем персональных данных Администрации Зотинского сельсовета (приложение 1); - инструкция по организации учета, использования и уничтожения машинных носителей информации, предназначенных для обработки и хранения персональных данных Администрации Зотинского сельсовета (приложение N2); - инструкция по проведению антивирусного контроля в информационных системах персональных данных Администрации Зотинского сельсовета (приложение N3); - инструкция по организации технического обслуживания и ремонта технических средств в информационных системах персональных данных Администрации Зотинского сельсовета (приложение N4); - инструкция по правилам обращения с носителями ключевой информации в информационных системах персональных данных Администрации Зотинского сельсовета (приложение N5); - инструкция по работе пользователей в информационных системах персональных данных Администрации Зотинского сельсовета (приложение N6); - инструкция по организации парольной защиты в информационных системах персональных данных Администрации Зотинского сельсовета (приложение N7); - инструкция по организации резервного копирования персональных данных в информационных системах персональных данных Администрации Зотинского сельсовета (приложение N8); - другие организационно-распорядительные документы по обеспечению безопасности персональных данных, обрабатываемых в ИС. 4.8. Лица, уполномоченные осуществлять обработку персональных данных, несут ответственность за соблюдение требований по защите персональных данных в порядке, предусмотренном действующим законодательством Российской Федерации. 5. Обязанности и права должностных лиц 5.1.Администрация Зотинского сельсовета: - организует разработку, внедрение, совершенствование и эксплуатацию системы защиты ИС персональных данных, а также организует внутренний контроль за соблюдением нормативных правовых актов Российской Федерации о персональных данных, в том числе требований к защите персональных данных; - назначает ответственного за организацию обработки персональных данных; - назначает ответственного за обеспечение безопасности персональных данных; - назначает ответственное лицо за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных . 5.2.Ответственный за организацию обработки персональных данных: - осуществляет внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; - доводит до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; - организует и осуществляет прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов. 5.3.Ответственный за обеспечение безопасности персональных данных: - несет ответственность за организацию обеспечения безопасности персональных данных при их обработке в ИС Администрации Зотинского сельсовета; - осуществляет контроль за режимом работы, использования и условиями эксплуатации вычислительной техники Администрации Зотинского сельсовета; - обеспечивает выполнение организационных мероприятий, направленных на обеспечение защиты персональных данных при их обработке в ИС персональных данных; - организует расследование причин и условий появления нарушений безопасности ИС персональных данных, разработку предложений по устранению недостатков и предупреждению подобного рода нарушений. 6. Контроль состояния защиты персональных данных 6.1.Повседневный контроль выполнения организационных мероприятий, направленных на обеспечение защиты персональных данных при их обработке в ИС персональных данных, осуществляется ответственным за организацию обработки персональных данных и ответственным за обеспечение безопасности персональных данных. 7. Заключительные положения 7.1.Настоящее Положение вступает в силу с момента его утверждения. 7.2.Настоящее Положение не заменяет собой действующее законодательство Российской Федерации, регулирующее отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИС персональных данных Приложение 2 к Постановлению Администрации Зотинского сельсовета от 28.09.2017 года № 37 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета» . ИНСТРУКЦИЯ по организации учета, использования и уничтожения машинных носителей информации, предназначенных для обработки и хранения персональных данных Администрации Зотинского сельсовета 1. Общие положения 1.1.Настоящая Инструкция устанавливает требования к организации учета и использования машинных носителей информации, предназначенных для обработки и хранения персональных данных в информационных системах персональных данных (далее -ИСПДн). 1.2.Учет машинных носителей информации, предназначенных для обработки и хранения персональных данных, осуществляет ответственный за организацию обработки персональных данных. 1.3.Все машинные носители информации, предназначенные для обработки и хранения персональных данных (далее -МНИ) регистрируются по журналу учета и выдачи машинных носителей информации, содержащих персональные данные (далее -Журнал) ответственным за организацию обработки персональных данных. 1.4.Ответственность за сохранность полученных МНИ несет пользователь ИСПДн. 2. Учет машинных носителей информации, предназначенных для обработки и хранения персональныхданных 2.1.К МНИ относятся: - съемные носители информации; - несъемные носители информации. 2.2.При обработке персональных данных на ПЭВМ соблюдается следующий порядок учета, хранения МНИ: 2.21.Каждому МНИ присваивается учетный номер по Журналу. Учетный номер наносится на МНИ ответственным за организацию обработки персональных данных. Если невозможно маркировать непосредственно МНИ, то маркируется упаковка, в которой он хранится. Учетный номер состоит из 3 символов (определяются ответственным за организацию обработки персональных данных).XXX -трехзначный порядковый номер по Журналу. 2.22.МНИ выдаются пользователям ИСПДн с отметкой в Журнале. 2.23.Хранение съемных МНИ должно осуществляться в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. 2.24.МНИ, после удаления информации, содержащей персональные данные, с учета не снимаются. В дальнейшем эти МНИ могут использоваться для обработки и хранения персональных данных. Если МНИ непригодны для дальнейшего использования, они подлежат списанию и уничтожению. 2.3.О фактах утраты МНИ докладывается ответственному за организацию обработки персональных данных, с внесением записи в Журнал. 2.4.Передача МНИ производится ответственным за организацию обработки персональных данных по Журналу. 2.5.В случае неисправности МНИ, пользователь сдает его ответственному за организацию обработки персональных данных с внесением в Журнал записи о неисправности МНИ. 2.6. МНИ, утратившие практическое значение или пришедшие в негодность уничтожаются. 3. Порядок уничтожения МНИ Уничтожение МНИ производится ответственным за организацию обработки персональных данных, путем их физического разрушения, с оформлением акта уничтожения. Перед уничтожением МНИ информация с них должна быть удалена (уничтожена, стерта и т.д.), если это возможно выполнить. Ознакомлен:_________________________________________/___________________________________ Приложение 3 к Постановлению Администрации Зотинского сельсовета от 28.09.2017 года № 37 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета» ИНСТРУКЦИЯ по проведению антивирусного контроля в информационных системах персональных данных Администрации Зотинского сельсовета 1. Общие положения 1.1.Данная инструкция предназначена для пользователей информационных систем персональных данных (далее -ИСПДн). 1.2.В целях обеспечения антивирусной защиты в ИСПДн производится антивирусный контроль. 1.3.К применению в ИСПДн допускается лицензионное антивирусное программное обеспечение. 2. Порядок проведения антивирусного контроля в ИСПДн 2.1.Антивирусный контроль должен осуществляться на ПЭВМ в постоянном режиме. 2.2.Пользователи ИСПДн при работе с носителями информации обязаны перед началом работы осуществить их проверку на предмет отсутствия вирусов. 2.3.При обнаружении компьютерного вируса пользователь прекращает какие-либо действия в ИСПДн. Ознакомлен:_________________________________________/___________________________________ Приложение 4 к Постановлению Администрации Зотинского сельсовета от 28.09.2017 года № 37 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета» ИНСТРУКЦИЯ по организации технического обслуживания и ремонта технических средств в информационных системах персональных данных Администрации Зотинского сельсовета 1.Общие положения Данная инструкция определяет общие принципы организации технического обслуживания и ремонта технических средств в информационных системах персональных данных (далее -ИСПДн). Инструкция регламентирует процесс технического обслуживания и ремонта оборудования, сопровождения программного обеспечения, устранения неисправностей программного обеспечения и технических средств ИСПДн. 2.Обслуживание и ремонт технических средств ИСПДн Обслуживание технических средств ИСПДн предназначено для обеспечения работы ИСПДн, предотвращения ее неисправностей. При проведении технического обслуживания (далее -ТО) и ремонта необходимо руководствоваться следующими принципами: - технические средства ИСПДн необходимо обслуживать в соответствии с технической документацией производителя; - ТО и ремонт должны производиться сторонними специалистами (при гарантийном обслуживании); - на период выполнения ТО и ремонта технических средств ИСПДн должны выполняться меры по защите персональных данных. В случае выполнения работ сторонней организацией за пределами контролируемой зоны, защищаемая информация должна быть удалена с технического средства; - должны соблюдаться требования поставщика технических средств для выполнения гарантийных обязательств. 3.Сопровождение программного обеспечения При сопровождении программного обеспечения (далее -ПО) необходимо руководствоваться следующими принципами: - выполнять требования лицензионного соглашения на использование ПО в соответствии с законодательством Российской Федерации; - руководствоваться технической документацией производителя при сопровождении ПО; - при использовании сертифицированного по требованиям безопасности информации ПО, его настройку осуществлять и поддерживать в соответствии с технической документацией; - принимать меры по исключению несанкционированного доступа к защищаемой информации, при сопровождении ПО сторонними организациями; - исключить возможность изменения пользователем состава ПО. Ознакомлен:_________________________________________/____________________________________/ Приложение 5 к Постановлению Администрации Зотинского сельсовета от 28.09.2017 года № 37 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета» ИНСТРУКЦИЯ по правилам обращения с носителями ключевой информации в информационных системах персональных данных Администрации Зотинского сельсовета 1. Термины и определения Электронная подпись (далее -ЭП) -информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Сертификат ключа проверки электронной подписи -электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи. Владелец сертификата ключа проверки электронной подписи -лицо, которому в установленном федеральным законом N63-ФЗ «Об электронной подписи» порядке выдан сертификат ключа проверки электронной подписи. Ключ электронной подписи -уникальная последовательность символов, предназначенная для создания электронной подписи. Средства электронной подписи -шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций -создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи. Носитель ключевой информации (далее -ключевой носитель) -машинный носитель информации, содержащий ключ электронной подписи. 2. Общие положения 2.1 Настоящая инструкция предназначена для пользователей информационных систем персональных данных, использующих средства ЭП. Инструкция содержит основные правила обращения с ключами ЭП, выполнение которых необходимо для обеспечения защиты информации при обмене электронными документами. 2.2.Владелец сертификата ключа проверки ЭП, вырабатывает самостоятельно личный ключ ЭП, а также запрос на получение сертификата ключа проверки электронной подписи (в электронном виде и на бумажном носителе). 2.3. Владелец ключа ЭП несет персональную ответственность за безопасность ключей ЭП и обязан обеспечивать их сохранность, неразглашение и нераспространение, несет персональную ответственность за нарушение требований настоящей инструкции. 2.4.Запрещается оставлять без контроля ПЭВМ с незаблокированным сеансом, на котором применяется ЭП. 3. Порядок работы со средствами ЭП 3.1Ключи ЭП изготавливаются в 2-х экземплярах: эталонная и рабочая копии. В работе используется рабочая копия ключевого носителя. 3.2.При выходе из строя носителя с ключевой информацией пользователь уведомляет об этом администратора , который в присутствии пользователя изготовляет копию ключевого носителя с эталонной копии. 3.3.Не позднее, чем за 10 рабочих дней до окончания срока действия ключа ЭП, его владелец обязан выполнить все мероприятия по формированию новых ключей. 3.4.Ключевые носители хранятся в шкафах (сейфах, ящиках, хранилищах) в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. 3.5.Хранение ключевых носителей допускается в одном хранилище с другими документами и ключевыми носителями, при этом отдельно от них и в упаковке, исключающей возможность неправомерного доступа к ним. 3.6.Ключевые носители должны находиться в пределах контролируемой зоны, за исключением случаев, связанных со служебной необходимостью. 3.7.Не допускается: - осуществлять несанкционированное копирование ключевых носителей; - передавать носители ключевой информации и (или) их содержимое лицам, не допущенным к ним; - записывать на ключевые носители другую информацию. 4. Действия при компрометации ключей ЭП 4.1.Компрометация ключа ЭП -утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. 4.2.К событиям, связанным с компрометацией ключей ЭП, относятся, включая, но, не ограничивая, следующие: - потеря ключевых носителей; - нарушение правил хранения и уничтожения; - возникновение подозрений на утечку информации или ее искажение; - случаи, когда нельзя установить, что произошло с ключевыми носителями. 4.3.При компрометации ключа ЭП пользователь прекращает обмен электронными документами с другими пользователями и извещает администратора о факте компрометации. 4.4.По факту компрометации ключей должно быть проведено служебное расследование. 5. Уничтожение ключей ЭП 5.1.Ключи ЭП должны быть выведены из действия и уничтожены в следующих случаях: - плановая смена ключей ЭП; - изменение данных о владельце ЭП; - компрометация ключей; - выход из строя ключевых носителей; - прекращение полномочий владельца ЭП. 5.2.Уничтожение ключей ЭП может производиться путем уничтожения ключевого носителя, на котором они расположены, или путем удаления ключей без повреждения ключевого носителя. 5.3.Ключи ЭП должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Ознакомлен:_________________________________________/____________________________________/ Приложение 6 к Постановлению Администрации Зотинского сельсовета от 28.09. 2017 года № 37 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета» ИНСТРУКЦИЯ по работе пользователей в информационных системах персональных данных Администрации Зотинского сельсовета 1. Общие положения 1.1.Данная инструкция определяет общие принципы работы пользователей в информационной системе персональных данных (далее -ИСПДн). Пользователями ИСПДн являются сотрудники, допущенные к персональным данным. Пользователи ИСПДн несут персональную ответственность за свои действия. 1.2. Допуск пользователей для работы в ИСПДн осуществляется в соответствии со списком лиц, имеющих доступ к персональным данным. 1.3.Устные указания о доступе кого бы то ни было к ИСПДн, не имеют юридической силы и не обязательны для исполнения. 1.4.Доступ пользователей в ИСПДн организует администратор . 2. Порядок работы пользователей в ИСПДн 2.1.Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ИСПДн, присвоенными администратором. При этом для хранения файлов, содержащих персональные данные, разрешается использовать только специально выделенные каталоги, а также соответствующим образом учтенные машинные носители информации. 2.2.Пользователь отвечает за правильность включения и выключения ПЭВМ, входа в систему и действия при работе в ИСПДн. 2.3.Вход пользователя в систему осуществляется на основе ввода (по запросу системы) имени, присвоенного при регистрации администратором, и личного пароля. Требования к сложности пароля и периодичности его замены установлены в «Инструкции по организации парольной защиты в информационной системе персональных данных». 2.4.В случае отказа системы в идентификации пользователя, либо не подтверждения личного пароля следует немедленно обратиться к администратору. 2.5.Резервное копирование, уничтожение и восстановление защищаемой информации осуществляются пользователем в рамках выделенных полномочий, либо администратором . 2.6.Перед началом работы с носителями информации пользователь обязан проверить их на наличие вирусов с использованием антивирусного программного обеспечения, установленного в ИСПДн, в соответствии с «Инструкцией по проведению антивирусного контроля». В случае обнаружения вирусов на носителе информации пользователь обязан немедленно сообщить администратору . 3. В процессе работы пользователю запрещается: - использовать для хранения и обработки защищаемой информации носители, не учтенные соответствующим образом; - осуществлять попытки несанкционированного доступа к ресурсам системы и других пользователей; - пытаться подменять функции администратора по перераспределению времени работы и полномочий доступа к ресурсам ПЭВМ; - оставлять ПЭВМ с незавершенным сеансом. При отсутствии визуального контроля за рабочей станцией: доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш <Ctrl><Alt><Del> и выбрать опцию <Блокировка>; - допускать посторонних лиц к ПЭВМ; - сообщать (или передавать) посторонним лицам атрибуты доступа к ресурсам ИСПДн; - самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических средств или программного обеспечения; - открывать общий доступ к папкам на своей рабочей станции, содержащим персональные данные; - работать на ПЭВМ при обнаружении неисправности; - самостоятельно вносить изменения в конструкцию, конфигурацию, размещение ПЭВМ и другие узлы ИСПДн. 4. Ответственность: - ответственность за допуск пользователя к ресурсам и установленные ему полномочия несет Глава Стрелецкого сельсовета; - пользователи ИСПДн, виновные в нарушении законодательства Российской Федерации о защите персональных данных и охраняемых по закону сведений, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством и внутренними организационно-распорядительными документами; - по всем возникающим вопросам при работе в ИСПДн необходимо обращаться к администратору. Ознакомлен:_________________________________________/____________________________________/ Приложение 7 к Постановлению Администрации Зотинского сельсовета от 28.09. 2017 года № 37 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета» ИНСТРУКЦИЯ по организации парольной защиты в информационных системах персональных данных Администрации Зотинского сельсовета 1.Общие положения 1.1. Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных (далее -ИСПДн), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями. 1.2. Идентификация и аутентификация пользователей в ИСПДн осуществляется посредством использования персональных учетных записей пользователей и периодически сменяемых буквенно-цифровых пароле. 1.3 Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями возлагается на администратора. 1.4. Временный пароль, создаваемый при заведении учетной записи или смене забытого пароля, должен быть уникальным, передаваться способом, исключающим доступ к нему других лиц, и быть сменен пользователем при первом обращении к ИСПДн. Пароли, предустановленные производителем, должны сменяться до начала эксплуатации. 2. Порядок генерации, смены и прекращения действия и резервирования паролей 2.1. По решению Главы Зотинского сельсовета, согласованному с администратором, может применяться резервирование некоторых паролей, таких, как пароли администраторов , пароли ответственных должностных лиц, пароли отдельных пользователей, выполняющих важные функции, пароли обеспечивающие работу отдельных сетевых сервисов. 2.2. Для резервирования пароля выполняются следующие действия: - пароль записывается на лист бумаги и заверяется личной подписью; - лист с записью пароля вкладывается владельцем в конверт. Конверт не должен допускать просмотр записи пароля на просвет, если конверт недостаточно плотный, в него может быть вложен лист темной бумаги. Конверт заклеивается, при необходимости (для особо важных паролей) - опечатывается; - на конверте владелец пароля указывает свою должность, фамилию и инициалы, наименование - информационного средства, которое защищается этим паролем, текущие дату и время, при необходимости другие данные, и заверяет запись личной подписью; - конверт передается на хранение Главе Зотинского сельсовета или лицу, им для этого назначенному, и учитывается в специальном разделе Журнала учета паролей. Учетный номер (сквозной по Журналу) проставляется ответственным за хранение на конверте; - конверты с паролями хранятся в сейфе. Ответственный за хранение не реже чем один раз в месяц проверяет их наличие; - при замене пароля конверт передается владельцу пароля, который уничтожает лист с резервным паролем. Новый резервный пароль подготавливает к хранению так, как указано выше; - вскрытие конверта с паролем производится по решению Главы Зотинского сельсовета в случае необходимости использования прав доступа его владельца в отсутствие самого владельца; 2.3. Удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) производится администратором немедленно после окончания последнего сеанса работы данного пользователя с системой. 2.4.Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и другие обстоятельства) администратора , и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой ИСПДн. 2.5. В случае компрометации личного пароля пользователя ИСПДн проводится внеплановая смена пароля в зависимости от полномочий владельца скомпрометированного пароля. 2.6.Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственного по обеспечению безопасности персональных данных, периодический контроль -возлагается на администратора . 3. Запрещается: - сообщать свой персональный пароль другим лицам или записывать его на материальных носителях, доступных для других лиц (кроме предусмотренных случаев сохранения паролей ключевых учетных записей); - сохранять пароль в программно-технических средствах в открытом виде или использовать средства его автоматического ввода, использовать учетные записи других лиц. Ознакомлен:_________________________________________/____________________________________/ Приложение 8 к Постановлению Администрации Зотинского сельсовета от 28.09.2017 года № 37 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Зотинского сельсовета» ИНСТРУКЦИЯ по организации резервного копирования персональных данных в информационных системах персональных данных Администрации Зотинского сельсовета 1. Общие положения 1.1.Данная инструкция определяет порядок организации резервного копирования персональных данных, обрабатываемых в информационных системах персональных данных (далее -ИСПДн), меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн. 1.2.Задачей данной инструкции является: - определение мероприятий по защите ИСПДн от потери информации; - определение действий по восстановлению информации ИСПДн в случае - потери. 1.3.Действие настоящей инструкции распространяется на администратора , ответственного за обеспечение безопасности персональных данных ИСПДн и всех пользователей ИСПДн. 1.4.Пересмотр настоящего документа осуществляется по мере необходимости ответственным за обеспечение безопасности персональных данных ИСПДн. 1.5.Ответственным за реагирование на инциденты безопасности, приводящие к потере защищаемой информации, назначается ответственный за обеспечение безопасности персональных данных ИСПДн. 1.6.Контроль за обеспечением мероприятий по предотвращению инцидентов, приводящих к потере защищаемой информации, возлагается на администратора. 2. Порядок реагирования на Инцидент 2.1. Под инцидентом понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн, а также потерей информации. 2.2. Происшествие, вызывающее инцидент, может произойти: - в результате преднамеренных действий пользователей или третьих лиц; - в результате нарушения правил эксплуатации технических средств ИСПДн; - в результате возникновения внештатных ситуаций и обстоятельств непреодолимой силы. 2.3. В кратчайшие сроки, не превышающие три рабочих дня, администратором применяются меры по восстановлению работоспособности ИСПДн. Предпринимаемые меры в случае необходимости согласуются с вышестоящим руководством 3. Меры по обеспечению непрерывности работы и восстановления ресурсов при возникновении инцидентов 3.1.Для предотвращения потерь информации при кратковременном отключении электроэнергии, все ключевые элементы ИСПДн, сетевое и коммуникационное оборудование, а также ПЭВМ должны подключаться к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания: - локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных ПЭВМ; - источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения. 3.2.Для защиты от неисправностей носителей информации на ПЭВМ, осуществляющих обработку и хранение информации, может использоваться технология RAID (кроме RAID-0), в которой применяется дублирование информации, хранимой на носителях информации. 3.3.Система резервного копирования и хранения данных должна обеспечивать хранение защищаемой информации на носителе информации, не участвующем в непосредственной обработке информации. 3.4.Резервное копирование и хранение данных должно осуществляться на периодической основе: - для обрабатываемых персональных данных -не реже раза в неделю; - для технологической информации -не реже раза в 6 месяцев. 3.5.Носители, на которые произведено резервное копирование, должны быть учтены соответствующим образом. 3.6.Для обеспечения возможности восстановления данных, носители должны храниться не менее года. Ознакомлен:_________________________________________/____________________________________/ АКТ № ______ классификации информационной системы персональных данных __________________________________________________________________ (наименование информационной системы персональных данных) Комиссия в составе: Председатель | - | Должность, Фамилия, Имя отчество | члены комиссии | - | Должность, Фамилия, Имя отчество | | - | Должность, Фамилия, Имя отчество | рассмотрев исходные данные информационной системы персональных данных (ИСПДн) __________________________________________________, (наименование информационной системы персональных данных) в соответствии с требованиями совместного приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» определили: Категория персональных данных, обрабатываемых в информационной системе (Хпд): ___________ категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные. Объём обрабатываемых персональных данных (Хпдн):_______ (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации. Информационные системы персональных данных, по заданным оператором характеристикам безопасности относятся к: __________________ (типовая и специальная) Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интерес). Структура информационной системы: ___________________________ автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места); комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы); комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы). Наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена: _______________________ (имеются подключения, подключений нет) Режим обработки персональных данных в информационной системе: ______________________________________________________ (однопользовательский и многопользовательский) Разграничение прав доступа пользователей: ______________________ (с разграничением и без разграничения) Местонахождения информационных систем персональных данных: ______________________________________________________________ ______________________________________________________________ (в пределах Российской Федерации; системы частично или целиком находящиеся за пределами Российской Федерации) По результатам анализа исходных данных информационной системы _______________________________________________________ (наименование информационной системы персональных данных) комиссией присвоен ________ класс. Председатель комиссии: | | Фамилия, инициалы | Члены комиссии: | | Фамилия, инициалы | | | Фамилия, инициалы | |