АДМИНИСТРАЦИЯ ГОРОДСКОГО ОКРУГА СПАССК-ДАЛЬНИЙ
ПОСТАНОВЛЕНИЕ
от 26 мая 2009 г. № 245-па
ОБ УТВЕРЖДЕНИИ ДОКУМЕНТОВ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ В АДМИНИСТРАЦИИ ГОРОДСКОГО ОКРУГА СПАССК-ДАЛЬНИЙ
В соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", в целях совершенствования системы защиты информации в администрации городского округа Спасск-Дальний постановляю:
1. Утвердить прилагаемые:
Инструкцию
по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в администрации городского округа Спасск-Дальний;
Модель угроз безопасности персональных данных, обрабатываемых в автоматизированных рабочих местах структурных подразделений администрации городского округа Спасск-Дальний.
2. Руководителю аппарата администрации городского округа Спасск-Дальний Г.П. Горошанской до 30 июня 2009 года организовать:
внесение дополнений в должностные инструкции работников администрации городского округа по обеспечению безопасности персональных данных;
изучение вышеутвержденных документов с руководителями структурных подразделений администрации городского округа, где производится обработка персональных данных, и специалистами, производящими эту обработку;
проведение аттестации работников администрации городского округа, производящих обработку персональных данных;
контроль за выполнением требований по защите персональных данных в структурных подразделениях администрации городского округа.
3. Рекомендовать руководителям муниципальных организаций, предприятий и учреждений организовать разработку Инструкций по обеспечению безопасности персональных данных применительно к своим организациям.
4. Признать утратившим силу постановление
главы администрации городского округа Спасск-Дальний от 27 марта 2007 г. № 132-па "Об утверждении Инструкции о порядке обработки персональных данных в администрации городского округа Спасск-Дальний".
5. Контроль за исполнением настоящего постановления оставляю за собой.
Глава администрации городского
округа Спасск-Дальний
К.А.ЛОБОДА
Утверждена
постановлением
администрации
городского округа
Спасск-Дальний
от 26.05.2009 № 245-па
ИНСТРУКЦИЯ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ ГОРОДСКОГО ОКРУГА СПАССК-ДАЛЬНИЙ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Инструкция разработана в соответствии с Федеральным законом от 26 июля 2006 г. № 152-ФЗ "О персональных данных", последующими нормативными правовыми документами Правительства Российской Федерации, ФСТЭК России, ФСБ России и Мининформсвязи России, Примерной инструкцией по обеспечению безопасности персональных данных, утвержденной решением Совета по информационной безопасности при Губернаторе Приморского края от 9 апреля 2009 г. № 22, и предназначена для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн) в администрации городского округа Спасск-Дальний, а также в подведомственных ей муниципальных организациях.
1.2. Основные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, состояние здоровья, другая информация;
2) оператор - государственный или муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на передачу определенному кругу лиц или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо другим способом;
5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных;
6) конфиденциальность персональных данных - обязательное для соблюдения оператором требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
7) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.3. Перечень специалистов администрации городского округа, допущенных к работе с персональными данными в ИСПДн, утверждается распоряжением (приказом) главы администрации городского округа по представлению заместителей главы администрации городского округа и руководителей структурных подразделений.
1.4. Допущенные к обработке персональных данных специалисты администрации городского округа обязаны знать и соблюдать требования федеральных, краевых и муниципальных нормативных правовых документов по вопросам обеспечения безопасности персональных данных, а также настоящую Инструкцию.
1.5. Ответственность за обеспечение безопасности персональных данных и соблюдение надлежащего режима работы ИСПДн возлагается на руководителей структурных подразделений администрации городского округа, где обрабатываются персональные данные.
1.6. В должностных регламентах руководителей и специалистов подразделений, где обрабатываются персональные данные, устанавливаются требования по обеспечению безопасности персональных данных.
1.7. Помещения, в которых обрабатываются персональные данные, постоянно должны быть надежно защищены от несанкционированного доступа посторонних лиц. В них должны быть установлены сейфы (шкафы) с исправными замками для хранения машинных носителей (дискеты, CD/DVD-диски, флэш-накопители), машинных документов (распечатки) и других документов, содержащих персональные данные. Ключи от сейфов (шкафов) должны храниться у руководителя подразделения и специалиста, обрабатывающего персональные данные.
Доступ посторонних лиц в помещение во время обработки персональных данных запрещается.
1.8. Учет документов по обработке персональных данных без использования автоматизированных систем должен производиться отдельным делопроизводством. На документах должна указываться пометка "Персональные данные".
1.9. В администрации городского округа на основании представленных руководителями структурных подразделений заявок отделом по мобилизационной подготовке составляется перечень разрабатываемых в данных подразделениях документов, включающих персональные данные граждан.
В заявку включаются сведения:
- наименование структурного подразделения;
- цель обработки персональных данных;
- перечень обрабатываемых персональных данных;
- перечень действий с персональными данными (обработка, использование, распространение и другие), общее описание используемых оператором способов обработки персональных данных;
- должность и фамилия лица, осуществляющего действия с персональными данными.
1.10. Обработка персональных данных может производиться с использованием средств автоматизации или без использования таковых.
1.11. Сбор и обработка персональных данных осуществляется только с согласия
в письменной форме субъекта персональных данных (прилагается), за исключением случаев, указанных в нормативных правовых документах.
1.12. Обработка, использование и распространение персональных данных должны производиться в строгом соответствии с полномочиями администрации городского округа и законодательством.
2. ОБЯЗАННОСТИ ЛИЦ, ДОПУЩЕННЫХ К РАБОТЕ
С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
2.1. Руководители подразделений обязаны организовать обработку персональных данных в своем подразделении, осуществлять постоянный контроль за соблюдением установленного в администрации городского округа режима обработки персональных данных, пресекать действия своих подчиненных и других лиц, которые могут привести к утечке или уничтожению защищаемой информации, сообщать о нарушениях режима обработки информации должностному лицу, отвечающему за информационную безопасность, в администрации городского округа.
2.2. Пользователи ПЭВМ, занятые обработкой персональных данных, обязаны:
- знать правила разграничения доступа к защищаемой информации;
- знать и соблюдать требования по безопасности персональных данных согласно должностному регламенту;
- немедленно информировать непосредственного руководителя и администратора безопасности обо всех случаях утечки или разрушения обрабатываемой на ПЭВМ информации;
- соблюдать установленные правила по учету, хранению, использованию и уничтожению предназначенных для обработки персональных данных машинных носителей информации, машинных документов.
2.3. Пользователям ПЭВМ, на которых обрабатываются персональные данные, запрещается:
- разглашать посторонним лицам сведения о технологических процессах обработки персональных данных;
- сообщать устно или письменно свой персональный пароль другим лицам, в том числе допущенным к работе на данной ПЭВМ;
- набирать на клавиатуре свой персональный пароль или записывать его в присутствии посторонних лиц;
- работать с отображаемой на мониторе защищаемой информацией в присутствии посторонних лиц;
- оставлять без присмотра электронные носители с защищаемой информацией;
- оставлять без присмотра работающую ПЭВМ после выполнения процедуры аутентификации пользователя.
3. ПОРЯДОК УЧЕТА, ЭКСПЛУАТАЦИИ, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ
НОСИТЕЛЕЙ ИНФОРМАЦИИ, ИСПОЛЬЗУЕМЫХ ПРИ РАБОТЕ НА ПЭВМ
3.1. Учет съемных носителей информации (гибкие магнитные диски, оптические или магнитно-оптические диски, флэш-накопители) допускается учитывать совместно с другими документами по установленным для этого учетным формам; при этом сотрудником, ответственным за их учет, на этих носителях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: структурное подразделение, учетный номер и дата, пометка "Персональные данные", номер экземпляра, подпись этого сотрудника.
Распечатки допускается учитывать совместно с другими традиционными печатными документами по установленным для этого учетным формам.
3.2. При эксплуатации автоматизированных систем необходимо соблюдать следующие требования:
- к работе допускаются только лица, назначенные соответствующим распоряжением (приказом);
- на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли или идентификаторы;
- на период обработки защищаемой информации в помещении могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц может осуществляться с разрешения руководителя структурного подразделения;
- в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;
- по окончании обработки информации оператор обязан произвести стирание остаточной информации на жестком диске и в оперативной памяти (одним из способов стирания остаточной информации в оперативной памяти является перезагрузка ПЭВМ);
- при увольнении или перемещении оператора автоматизированной системы руководителем структурного подразделения администрации должны быть приняты меры по оперативному изменению паролей и идентификаторов.
Запрещаются обработка и хранение сведений о персональных данных на ПЭВМ, подключенной к вычислительной сети и не имеющей межсетевого экрана, а также их передача по незащищенным каналам связи.
3.3. Носители информации должны храниться в условиях, исключающих возможность их хищения, порчи или уничтожения содержащейся в них информации, а также воздействия теплового, ультрафиолетового, ионизирующих излучений и источников сильного магнитного излучения.
3.4. Уничтожение носителей информации, содержащей персональные данные, проводится комиссией, составленной из числа сотрудников структурного подразделения, по акту, утверждаемому заместителем главы администрации городского округа, курирующим данное подразделение.
4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПЭВМ
4.1. Перед началом обработки персональных данных следует убедиться в отсутствии посторонних лиц в помещении и невозможности просмотра посторонними лицами через окна и двери выводимой на монитор информации.
4.2. Выполнить процедуру аутентификации пользователя.
4.3. При временном прекращении работы пользователь обязан снять с ПЭВМ все отчуждаемые носители информации и убрать их в защищенное место, затем выключить ПЭВМ или произвести ее перезагрузку.
4.4. В случае обнаружения на ПЭВМ неисправностей, сбоев в работе или обнаружении вирусов немедленно обратиться к администратору безопасности.
4.5. Пользователю запрещается:
- изменять без согласования с администратором безопасности установленные на ПЭВМ программно-технические средства;
- отключать антивирусные средства защиты информации и их составные части;
- подключать ПЭВМ к сети Интернет и иным информационным системам и сетям связи;
- самостоятельно устанавливать на ПЭВМ заставки для экрана, игры, программы для просмотра видеофильмов и прослушивания аудиозаписей;
- самостоятельно отключать соединительные кабели, производить какие-либо ремонтные работы;
- снимать защитные крышки корпуса системного блока и другого оборудования, перемещать технические устройства после их включения, подключать бытовые приборы к сети гарантированного электропитания.
5. КОНТРОЛЬ СОБЛЮДЕНИЯ РЕЖИМА БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ГОРОДСКОГО ОКРУГА
5.1. В целях поддержания надлежащего режима обработки информации в структурных подразделениях администрации городского округа их руководители обязаны:
- периодически проверять режим проводимых работ, наличие и порядок учета, хранения и обращения с машинными носителями информации, содержащей персональные данные;
- постоянно проводить воспитательную работу с подчиненными лицами, ведущих обработку персональных данных, по повышению их ответственности за соблюдение режима обработки информации.
5.2. Должностное лицо, ответственное за защиту информации в администрации городского округа, обязано проводить проверки структурных подразделений, где производится обработка персональных данных, не реже одного раза в полугодие в соответствии с Планом организационно-технических мероприятий по защите информации в администрации городского округа Спасск-Дальний на календарный год.
Приложение
Регистрационный номер ______________
СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Фамилия, имя и отчество субъекта _______________________________________
___________________________________________________________________________
Адрес _____________________________________________________________________
___________________________________________________________________________
Предъявленный документ _____________ серия ______ № _______________________
выдан "__" __________ 20__ г. кем _________________________________________
___________________________________________________________________________
2. Наименование оператора _________________________________________________
Адрес _____________________________________________________________________
3. Цель обработки персональных данных _____________________________________
___________________________________________________________________________
4. Перечень персональных данных, на обработку которых дается согласие:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
5. Перечень действий с персональными данными ______________________________
___________________________________________________________________________
6. Срок действия согласия _________________________________________________
7. Порядок отзыва согласия ________________________________________________
___________________________________________________________________________
__________________
(подпись)
"___" _______________ 20__ г.
