Порядок допуска сотрудников к работе с ПДн
К работе в ИСПДн допускаются исключительно сотрудники Аппарата Администрации НАО, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (должностных) обязанностей. Допуск данных пользователей к работе в ИСПДн осуществляется согласно списку сотрудников, имеющих доступ к ПДн, обрабатываемым в ИСПДн Аппарата Администрации НАО, для выполнения служебных (должностных) обязанностей.
Сотрудники Аппарата Администрации НАО, в чьи должностные (функциональные) обязанности не входит работа с ПДн, к их обработке могут быть допущены распоряжением руководителя Аппарата Администрации НАО. Во всех остальных случаях допуск сотрудников Аппарата Администрации НАО к ПДн Аппарата Администрации НАО запрещен.
Сотрудники Аппарата Администрации НАО перед обработкой ПДн в информационной системе проходит инструктаж по порядку работы с ПДн и эксплуатации СЗИ из состава СЗПДн и изучают:
специальные (технические, технологические) инструкции по работе со штатными техническими средствами ИСПДн;
комплект пользовательской документации на программные средства ИСПДн;
нормативные документы и должностные инструкции по работе с ПДн.
К работе в ИСПДн допускаются только сотрудники, прошедшие первичный инструктаж по обеспечению безопасности в ИСПДн.
Сотрудники Аппарата Администрации НАО, прошедшие регламентированную процедуру допуска к работам в ИСПДн, осуществляют работу с ПДн в соответствии с реализованной разрешительной системой допуска – «Матрицей допуска субъектов к ресурсам ИСПДн» (далее – Матрица), содержащей перечень всех субъектов допуска с указанием их полномочий (регламентированных ролей доступа) к ПДн и ресурсам и техническим средствам ИСПДн.
Матрица разрабатывается администратором безопасности ИСПДн при участии (в случае необходимости) администратора безопасности баз данных и проходит согласование с подразделением по защите информации Аппарата Администрации НАО. Матрица утверждается руководителем Аппарата Администрации НАО.
Пересмотр Матрицы или «Списка лиц, допущенных к работам в ИСПДн» должен осуществляться каждый раз при изменении состава субъектов доступа ИСПДн, но не реже 1 раза в год.
Обязанности и права должностных лиц,
осуществляющих мероприятия по защите ПДн
Должностными лицами, ответственными за организацию и осуществление работ по защите ПДн Аппарата Администрации НАО являются:
руководитель Аппарата Администрации;
руководитель подразделения в области информатизации Аппарата Администрации НАО;
руководитель подразделения по защите информации Аппарата Администрации НАО;
администратор ИСПДн, назначаемый распоряжением Аппарата Администрации НАО;
руководители структурных подразделений Аппарата Администрации, в которых проводится обработка ПДн.
Руководитель Аппарата Администрации НАО:
утверждает руководящие документы по защите ПДн;
принимает решения о финансировании мероприятий по защите ПДн;
принимает решения о прекращении работ на участке, где выявлены нарушения в обеспечении безопасности ПДн, а также о возобновлении выполнения работ после их устранения;
утверждает объектовые документы по защите ПДн;
определяет необходимость допуска сотрудников к работам с персональными данными;
назначает должностных лиц, ответственных за обеспечение защиты ПДн в Аппарате Администрации НАО и его структурных подразделениях.
Руководитель подразделения в области информатизации Аппарата Администрации НАО:
организует работы, связанные с выполнением требований по обеспечению информационной безопасности персональных данных;
разрабатывает предложения по финансированию мероприятий по защите ПДн;
разрабатывает годовые и перспективные планы мероприятий по защите ПДн.
Руководитель подразделения по защите информации Аппарата Администрации НАО:
согласует допуск сотрудников к работе с персональными данными;
организует контроль выполнения требований по защите ПДн;
проводит занятия с сотрудниками Аппарата Администрации НАО по вопросам защиты ПДн.
Администратор ИСПДн:
разрабатывает объектовые документы по защите ПДн;
представляют руководителю подразделения по защите информации Аппарата Администрации НАО перечень планируемых и реализуемых работ по защите ПДн;
осуществляет непосредственное руководство работами по защите ПДн;
определяет перечень технических средств (основных и вспомогательных), необходимых для осуществления основной деятельности в структурном подразделении;
организует проведение оценки эффективность принимаемых мер и средств защиты ПДн и организует работы по устранению выявленных недостатков;
осуществляет надзор за ходом выполнения работ по технической защите ПДн сторонними организациями;
организует и проводит работы по защите ПДн в структурных подразделениях;
организует правильный порядок допуска сотрудников к работам с ПДн.
Руководители структурных подразделений:
участвуют в проведении испытаний ИСПДн по требованиям безопасности информации;
контролируют порядок обращения с учтенными съемными МНИ и бумажными носителями ПДн;
периодически пересматривают права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам в случаях штатного перемещения сотрудника.
Контроль выполнения мероприятий по защите ПДн
Контроль защиты информации в ИСПДн — комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения посторонними лицами охраняемых сведений, выявления, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности систем информатизации.
Постоянный контроль состояния защиты ПДн в подразделениях, обрабатывающих ПДн, осуществляется руководителями данных структурных подразделений.
Контроль за эффективностью предусмотренных мер защиты ПДн возлагается на подразделение по защите информации Аппарата Администрации НАО и администраторов безопасности ИСПДн Аппарата Администрации НАО.
При необходимости для участия в контроле на договорной основе привлекаются эксперты-сотрудники организаций, имеющих соответствующие лицензии.
Основными целями контроля состояния защиты ПДн являются:
проверка выполнения законодательных актов Российской Федерации, решений и указаний ФСТЭК России, ФСБ России, а также мероприятий по устранению ранее выявленных недостатков;
оценка эффективности принимаемых в Аппарате Администрации НАО организационно-технических мероприятий по защите ПДн и ее соответствие действующим нормам и требованиям руководящих документов ФСТЭК и ФСБ России.
Основными задачами контроля являются:
проверка организации выполнения мероприятий по защите информации в подразделениях Аппарата Администрации НАО, учета требований по защите информации в разрабатываемых плановых и распорядительных документах;
проверка выполнения требований по защите ИСПДн от несанкционированного доступа;
проверка выполнения требований по антивирусной защите серверного оборудования и автоматизированных рабочих мест пользователей;
проверка знаний работников по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места;
проверка выполнения требований по работе с носителями персональных данных и порядку обращения с ними;
оперативное принятие мер по пресечению нарушений требований (норм) защиты информации в ИСПДн.
В ходе контроля проверяются:
соответствие принятых мер по обеспечению безопасности персональных данных;
своевременность и полнота выполнения требований настоящего Положения и других руководящих документов по обеспечению безопасности ПДн;
эффективность применения организационных и технических мероприятий по защите ПДн;
устранение ранее выявленных недостатков.
Защита ПДн считается эффективной, если принимаемые меры соответствуют установленным требованиям. Несоответствие мер установленным требованиям или нормам по обеспечению информационной безопасности ПДн является нарушением.
Полученные в ходе ведения контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. Результаты контроля защиты информации оформляются актами, в которых указывается:
состав комиссии;
сроки и цель контроля, краткую характеристику и оценку общего состояния работ по защите ПДн, выявленные недостатки и их причины;
выводы и рекомендации по результатам контроля.
Акт по результатам контроля докладывается руководителю Аппарата Администрации НАО.
Невыполнение предписанных мероприятий по защите ПДн считается предпосылкой к утечке информации (далее - предпосылка).
По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований по указанию руководителя Аппарата Администрации НАО или начальника подразделения по защите информации Аппарата Администрации НАО проводится расследование.
Для проведения расследования назначается комиссия с привлечением администраторов информационной безопасности ИСПДн. Комиссия обязана установить, имела ли место утечка сведений, и обстоятельства ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению. После окончания расследования руководитель Аппарата Администрации НАО принимает решение о наказании виновных лиц и необходимых мероприятиях по устранению недостатков.
Ведение контроля защиты ПДн осуществляется путем проведения периодических, плановых и внезапных проверок ИСПДн Аппарата Администрации НАО. Периодические, плановые и внезапные проверки ИСПДн Аппарата Администрации НАО проводятся силами подразделений по защите информации и информатизации Аппарата Администрации НАО с привлечением администраторов информационной безопасности ИСПДн Аппарата Администрации НАО, в соответствии с утвержденным планом или по согласованию с руководителем.
При проведении проверок ИСПДн осуществляется тестирование системы защиты ИСПДн Аппарата Администрации НАО с отметкой в «Журнале периодического тестирования средств защиты информации».
Контроль осуществляется не реже одного раза в 6 месяцев внутренней комиссией Аппарата Администрации НАО.
Государственный контроль состояния защиты информации, в т.ч. персональных данных, осуществляется Федеральной службой по техническому и экспортному контролю России и Федеральной службой безопасности России в рамках их полномочий в соответствии с действующим законодательством Российской Федерации. Доступ представителей указанных федеральных органов исполнительной власти на объекты для проведения проверки, а также к работам и документам в объёме, необходимом для осуществления контроля, обеспечивается в установленном порядке по предъявлении служебного удостоверения сотрудника, а также документа установленной формы на право проведения проверки.
Порядок охраны и допуска сотрудников
в служебные помещения, в которых осуществляется обработка ПДн
Общий порядок допуска сотрудников в служебные помещения определён «Положением о пропускном и внутриобъектовом режимах в административном здании органов государственной власти Ненецкого автономного округа».
Вскрытие и закрытие служебных помещений, в которых расположены ОТСС ИСПДн, и осуществляется хранение носителей персональных данных, осуществляется сотрудниками Аппарата Администрации НАО, работающими в данных помещениях.
Список сотрудников, имеющих право вскрывать (сдавать под охрану) служебные помещения утверждается руководителем соответствующего подразделения.
Взаимодействие со сторонними организациями по вопросам обеспечения информационной безопасности персональных данных
Аппарат Администрации НАО осуществляет взаимодействие по вопросам организации защиты информации и контроля ее эффективности с ФСТЭК России и организациями, имеющими государственные лицензии в этой области в следующих вопросах:
проведение предпроектных обследований (аудитов) информационной инфраструктуры Аппарата Администрации НАО;
проектирование комплексных систем обеспечения информационной безопасности конфиденциальной информации, в т.ч. персональных данных;
разработка организационно-распорядительной, нормативной, регламентной и прочей документации по вопросам обеспечения информационной безопасности конфиденциальной информации, в т.ч. персональных данных;
проведение ежегодных проверок эффективности реализованных мер и средств защиты ИСПДн Аппарата Администрации НАО.
Обмен информацией со сторонними организациями осуществляется на основании договоров, содержащих раздел, определяющий ответственность, права и обязанности взаимодействующих сторон в области защиты ПДн.
При возникновении необходимости проведения совместных организационно-технических мероприятий с другими организациями могут разрабатываться единые документы по защите информации для всех этапов работ, утверждаемые руководителями этих организаций.
|
