ЗАЯВКА
на внесение изменений в списки пользователей
информационной системы персональных данных«Сотрудники»и наделение пользователей полномочиями доступа к ресурсам системы
Прошу зарегистрировать пользователем (исключить из списка пользователей, изменить полномочия пользователя) в
(ненужное зачеркнуть)
ИС «Сотрудники» _______________________________________________________
(должность с указанием подразделения) _____________________________________________________________________________ (фамилия имя и отчество сотрудника)
предоставив ему полномочия, необходимые (лишив его полномочий, необходимых)
(ненужное зачеркнуть)
для решения задач: ________________________________________________________________________________
(список задач согласно формуляров задач)
________________________________________________________________________________ ______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________на следующих рабочих местах (АРМ): _____________________________________________________________________________ (номер помещения, зав.или инвент.номера АРМ)
Обязательство о неразглашении персональных данных, обрабатываемых в ИС, мною подписано и хранится в отделе кадров.
«___» _____________ 20__ г.
________________________ ________________________
(подпись) (ФИО)
Приложение2
к инструкции по выполнению режимных мер и допуску
кинформационной системе персональных данных
«Сотрудники»
Обязательство о неразглашении информации, обрабатываемой винформационной системе персональных данных «Сотрудники»
Я,____________________________________________________________________
(фамилия, имя, отчество, должность)
Департамента общественных и внешних связей Югры, далее по тексту - Департаментв период трудовых (служебных) отношений с Департаментом и в течение 5 лет после их окончания обязуюсь:
1. не разглашать сведения конфиденциального характера, содержащие персональные данные, которые станут мне известны при выполнении служебных (трудовых) обязанностей или иным путем;
2. не передавать третьим лицам и не раскрывать публично сведения конфиденциального характера, содержащие персональные данные, без согласия субъектов персональных данных;
3. выполнять относящиеся ко мне требования приказов, инструкций и положений по обеспечению безопасности персональных данных, обрабатываемых в Департаменте;
4. в случае попытки посторонних лиц получить от меня персональные данные, обрабатываемые в Департаменте немедленно сообщить об этом непосредственному руководителю и ответственному за организацию обработки персональных данныхв Департаменте;
5. в случае моего увольнения, все носители персональных данных, которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы в Департаменте, сдать лицу, ответственному за учет и хранение;
6. об утрате или недостаче носителей персональных данных, а также о причинах и условиях возможной утечки персональных данных немедленно сообщить непосредственному руководителю и ответственному за организацию обработки персональных данных в Департаменте.
Я предупрежден(а), что разглашение персональных данных, обрабатываемых в Департаменте, утрата носителей персональных данных, передача третьим лицам, публикация без согласия субъекта персональных данных, а также использование для занятия любой деятельностью, которая может нанести ущерб субъекту персональных данных, влечет уголовную, административную, гражданско-правовую или иную ответственность в соответствии с действующим законодательством, в виде лишения свободы, денежного штрафа и других наказаний.
До моего сведения также доведены с разъяснениями соответствующие положения, инструкции, приказы по обеспечению безопасности персональных данных.
«___»__________ 20___г. _____________________________________________
(ФИО)
Один экземпляр обязательств получил ___________________
(подпись)
Приложение2
к приказу Департамента общественных и
внешних связей Югры
от «28» мая 2015 г. № 170
Инструкция пользователюинформационной системы персональных данных «Сотрудники» в части обеспечения безопасности персональных данных при их обработке в информационной системе
Обозначения и сокращения
Департамент – Департамент общественных и внешних связей Югры;
АРМ – автоматизированное рабочее место;
ИС –информационная система персональных данных «Сотрудники»;
ИБ – информационная безопасность;
ЗИ – защита информации;
ОТСС – основные технические средства и системы;
ПДн – персональные данные;
ПЭВМ – персональная электронно-вычислительная машина;
СВТ – средства вычислительной техники;
СЗИ – средства защиты информации;
СЗПДн – система (подсистема) защиты персональных данных;
УБПДн – угрозы безопасности персональным данным;
НСД – не санкционированный доступ.
Общие положения
1.1. Инструкция пользователя (далее Инструкция) ИС предназначена для пользователей всех уровней (руководителей и сотрудников) и регулирует порядок работы пользователейв ИС, определяет общие обязанности, права и ответственность по обеспечению информационной безопасности при работе в ИС.
1.2. Пользователем ИС (далее Пользователь) является сотрудник Департамента, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИС, в соответствии с перечнем лиц, допущенных к ИС.Пользователь должен принимать все необходимые меры по защите информации и контролю за соблюдением прав доступа к ней.
1.3. Положения Инструкции обязательны для исполнения всеми пользователями.
1.4.Все пользователи должны быть ознакомлены под расписку с Инструкцией и предупреждены об ответственности за её нарушение.
1.5.По уровню ответственности и правам доступа к ИС пользователи разделяются на следующие категории: администратор информационной безопасности и пользователи.
2.Основные положения Инструкции
2.1.При первичном допуске к работе в ИС Пользователь изучает требования настоящей инструкции, разрешительную систему доступа к ИС, и руководящие, нормативно-методические и организационно-распорядительные документы по вопросам обеспечения безопасности информации.
2.2.Каждый пользователь ИС, имеющий в рамках своих обязанностей доступ к аппаратным средствам, программному обеспечению и данным ИС, несет персональную ответственность за свои действия и обязан:
строго соблюдать установленныеправила обеспечения безопасности информации при работе с программными и техническими средствами ИС, в том числе положения настоящей Инструкции;
знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции;
располагать ОТСС в соответствии с техническим паспортом;
хранить в тайне свой пароль (пароли). Парольную защиту организовывать в соответствии с Инструкцией по организации парольной защиты;
выполнять требования Инструкции по проведению антивирусногоконтроля;
немедленно вызывать администратора информационной безопасности и ставить в известность руководителя подразделения при подозрении компрометации личных ключей и паролей или при обнаружении фактов совершения в его отсутствие попыток НСД к ОТСС ИС;
в случае появления у пользователя сведений или подозрений о фактах нарушения настоящих правил, а в особенности о фактах или попытках несанкционированного удаленного доступа к информации, размещенной на контролируемом в ИС компьютере, пользователь должен немедленно сообщить об этом администратору информационной безопасности;
немедленно сообщать администратору информационной безопасности об обнаруженных фактах нарушения настоящей Инструкции кем-либо;
сообщать администратору информационной безопасностиоб отклонениях в нормальной работе установленных на АРМ средств защиты информации;
при работе в ИС выполнять только служебные задания;
при отсутствии необходимости работы выключить компьютер;
при работе в ИС использовать только учтенные съемные носители, при обоснованной необходимости использования неучтённых носителей согласовывать использование с администратором информационной безопасности. После того как цель переноса информации на носители достигнута (переданы третьим лицам и т.п.) информация незамедлительно удаляется с носителей;
осуществлять установленным порядком уничтожение информации (сочетанием клавиш Shift+Del), содержащей сведения конфиденциального характера, с машинных (съемных) носителей информации;
немедленно выполнять предписания администратора информационной безопасности в части обеспечения безопасности информации;
экран видеомонитора в помещении располагать во время работы так, чтобы исключалась возможность ознакомления с отображаемой на нем информацией посторонними лицами;
соблюдать установленный режим разграничения доступа к информационным ресурсам;
не разглашать известную им информацию, составляющую ПДн лицам, не имеющим допуска к этой информации;
все изменения конфигурации технических и программных средств ИС, ремонт, модификация и техническое обслуживание технических средств и систем, входящих в состав ИС производить только на основании инструкции по модернизации, ремонту, техобслуживанию;
2.3. Пользователю запрещается:
самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств, устанавливать или удалять установленные техническим специалистом (администратором информационной безопасности) сетевые программы на компьютерах, вскрывать компьютеры, сетевое и периферийное оборудование, подключать к компьютеру дополнительное оборудование, вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства без согласования с администратором информационной безопасности;
привлекать посторонних лиц для производства ремонта ОТСС без письменной заявки и согласования с администратором информационной безопасности;
запускать любые системные или прикладные программы, не входящие в состав программного обеспечения;
работать с неучтенными машинными (съемными) носителями информации;
отключать (блокировать) средства защиты информации;
производить какие-либо изменения в размещении технических средств;
обрабатывать на СВТ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам;
сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам АРМ;
хранить на учтенных носителях программы и данные, не относящиеся к рабочей информации;
выполнять работы с документами ограниченного распространения на дому, выносить их за пределы контролируемой зоны;
передавать свои учтённые носители кому-либо;
вводить в ОТСС персональные данные под диктовку или с микрофона;
осуществлять попытки несанкционированного доступа к ресурсам ИС, проводить или участвовать в сетевых атаках и сетевом взломе;
производить действия, направленные на взлом (несанкционированное получение привилегированного доступа) рабочих станций и серверов;
закрывать доступ к информации паролями без согласования с администратором информационной безопасности;
оставлять без личного присмотра на рабочем месте или где бы то ни было персональное устройство идентификации, машинные (съемные) носители и распечатки, содержащие защищаемую информацию;
2.4.Пользователь обязан обеспечить:
блокирование своей учетной записи в случае кратковременного оставления АРМ(нажатием клавиш Windows+L);
обязательное выключение компьютера после завершения работы;
2.5.Права пользователя:
участвовать в служебных расследованиях по фактам нарушения установленных требований обеспечения информационной безопасности, НСД, утраты, порчи защищаемой информации и технических компонентов ИС, если данное нарушение произошло под его идентификационными данными;
своевременно получать доступ к информационным ресурсам ИС, необходимым ему для выполнения своих должностных обязанностей;
требовать от администратора информационной безопасности смены идентификационных данных в случае появления сведений или подозрений на то, что эти данные стали известны третьим лицам.
2.6.Ответственность:
2.6.1.Пользователь несет персональную ответственность за соблюдение установленных требований во время работы. Пользователи, виновные в нарушении законодательства Российской Федерации о защите прав собственности и охраняемых по Закону сведений, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством и организационно распорядительными документами;
2.6.2.Пользователь компьютера отвечает за информацию, хранящуюся на его компьютере, технически исправное состояние компьютера и вверенной техники;
2.6.3.Нарушение данной инструкции, повлекшее уничтожение, блокирование, модификацию либо копирование охраняемой законом компьютерной информации, нарушение работы компьютеров пользователей или ИС в целом, может повлечь ответственность в соответствии с действующим законодательством.
Порядок использования съемных носителей информации.
Под использованием съемных носителей информации в ИС понимается их подключение к АРМ с целью обработки, приема/передачи информации между АРМ и носителями информации.
В ИС допускается использование только учтенных съемных носителей информации, которые являются собственностью Департамента и подвергаются регулярной ревизии и контролю.
Съемные носители информации предоставляются пользователям ИС по инициативе руководителей структурных подразделений в случаях:
необходимости выполнения вновь принятым работником своих должностных обязанностей;
возникновения у сотрудника Департаментапроизводственной необходимости.
Порядок учета, хранения и обращения со съемными носителями, твердыми копиями и их утилизации.
Все находящиеся на хранении и в обращении съемные носители в ИС подлежат учёту.
Каждый съемный носитель должен иметь этикетку, на которой указывается его уникальный учетный номер.
Для получения электронного внешнего носителя, пользователь обращается к руководителю структурного подразделения, руководитель структурного подразделения пишет служебную записку на имя ответственного за организацию обработки персональных данных о выдаче пользователю внешнего электронного носителя, далее ответственный за организацию обработки персональных данных принимает решение и передает служебную записку администратору информационной безопасности.
Учет и выдачу съемных носителей осуществляет администратор информационной безопасности, на которого возложена эта функция. Факт выдачи съемного носителя фиксируется в журнале учета съемных носителей конфиденциальной информации.
При использовании сотрудниками съемных носителей информации необходимо:
соблюдать требования настоящей Инструкции;
использовать носители информации исключительно для выполнения своих служебных обязанностей;
ставить в известность администратора информационной безопасностио любых фактах нарушения требований настоящей Инструкции;
бережно относиться к носителям информации;
извещать администратора информационной безопасностио фактах утраты (кражи) носителей информации;
При использовании носителей конфиденциальной информации запрещено:
использовать носители конфиденциальной информации в личных целях;
передавать носители конфиденциальной информации другим лицам (за исключением администратора информационной безопасности);
хранить съемные носители с конфиденциальной информацией (персональными данными) вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
выносить съемные носители с конфиденциальной информацией (персональными данными) за пределы контролируемой зоны для работы с ними на дому и т. д.
Любое взаимодействие (обработка, прием/передача информации), инициированное пользователем ИС между АРМ и неучтенными (личными) носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администратором информационной безопасности). Администратор информационной безопасностиоставляет за собой право блокировать или ограничивать использование носителей информации.
В случае выявления фактов несанкционированного и/или нецелевого использовании носителей информации инициализируется служебная проверка, проводимая комиссией, состав которой определяется ответственным за организацию обработки персональных данных.
По факту выясненных обстоятельств составляется акт расследования инцидента и передается руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Департамента и действующему законодательству.
Информация, хранящаяся на съемных носителях, подлежит обязательной проверке на отсутствие вредоносного ПО.
В случае утраты или уничтожения съемных носителей конфиденциальной информации (персональных данных) либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель структурного подразделения. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей конфиденциальной информации (персональных данных).
Съемные носители конфиденциальной информации (персональных данных), пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение таких съемных носителей с конфиденциальной информацией осуществляется администратором информационной безопасностипосле сдачи пользователями, с отметкой в журнале.
В случае увольнения или перевода работника в другое структурное подразделение предоставленные носители конфиденциальной информации сдаются администратору информационной безопасности.
Приложение 3
к приказу Департамента общественных и
внешних связей Югры
от «28» мая 2015 г. № 170
|
