МИНИСТЕРСТВО ПРИРОДНЫХ РЕСУРСОВ И ОХРАНЫ ОКРУЖАЮЩЕЙ СРЕДЫ
СТАВРОПОЛЬСКОГО КРАЯ
ГОСУДАРСТВЕННОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ
СТАВРОПОЛЬСКОГО КРАЯ
"УПРАВЛЕНИЕ СТРОИТЕЛЬНОГО КОНТРОЛЯ И
СТРОИТЕЛЬСТВА СООРУЖЕНИЙ ПРИРОДООХРАННОГО
НАЗНАЧЕНИЯ"
ПРИКАЗ
18 ноября 2013 г. № 185
г. Ставрополь
Об обработке и обеспечении безопасности персональных данных в информационных системах персональных данных государственного казенного учреждения Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения"
В соответствии с Федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказами Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных",
ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые:
1.1. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных государственного казенного учреждения Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения".
1.2. Инструкцию Администратора информационной безопасности информационных систем персональных данных государственного казенного учреждения Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения".
1.3. Инструкцию пользователя информационных систем персональных данных государственного казенного учреждения Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения".
1.4. Порядок парольной защиты в информационных системах персональных данных государственного казенного учреждения Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения".
1.5. Инструкцию по организации антивирусной защиты информационных систем персональных данных государственного казенного учреждения Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения".
1.6. Инструкцию по резервному копированию защищаемой информации в информационных системах персональных данных государственного казенного учреждения Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения".
1.7. Инструкцию доступа в помещения с компонентами информационных систем персональных данных государственного казенного учреждения Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения".
2. Контроль за выполнением настоящего приказа оставляю за собой.
3. Настоящий приказ вступает в силу со дня его подписания.
Директор Н.В. Бобровский
Визируют:
Первый заместитель директора Ю.А. Епанов
Заместитель директора Д.О. Ковалев
Главный специалист-юрисконсульт
общего отдела Н.Ю. Осыко
Начальник отдела
информационного обеспечения П.С. Рындин
Начальник общего отдела Ю.Р. Латыпова
УТВЕРЖДЕНЫ
приказом государственного казенного учреждения Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения"
от 18 ноября 2013 г. № 185
ПОЛОЖЕНИЕ
об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных государственного казенного учреждения Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения"
1. Настоящее Положение устанавливает порядок обработки персональных данных субъектов персональных данных в информационных системах и требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных государственного казенного учреждения Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения", представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, субъекту персональных данных.
Оператор персональных данных – государственное казенное учреждение Ставропольского края "Управление строительного контроля и строительства сооружений природоохранного назначения" (далее – Управление), обеспечивающее защиту персональных данных при их обработке в информационных системах персональных данных.
2. Обработка персональных данных в Управлении осуществляется:
2.1. В информационной системе "1С Зарплата и Кадры".
2.2. В информационной системе "1С Бухгалтерия".
2.3. В информационной системе УРМ АС "Бюджет".
2.4. В информационной системе Программный комплекс "Спринтер".
2.5. В информационной системе Программа "Сбербанк-Клиент".
2.6. В информационной системе электронного документооборота "СЭД".
2.7. На автоматизированных рабочих местах работников общего отдела и отдела бухгалтерского учета и экономики.
2.8. Информационные системы "1С Зарплата и Кадры", "1С Бухгалтерия" содержат персональные данные работников Управления и физических лиц, являющихся стороной гражданско-правовых договоров, заключаемых Управлением и включают:
2.8.1. фамилию, имя, отчество субъекта персональных данных;
2.8.2. дату рождения субъекта персональных данных;
2.8.3. место рождения субъекта персональных данных;
2.8.4. серию и номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
2.8.5. адрес места жительства субъекта персональных данных;
2.8.6. почтовый адрес субъекта персональных данных;
2.8.7. номер свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации субъекта персональных данных;
2.8.8. номер страхового свидетельства обязательного пенсионного страхования субъекта персональных данных;
2.8.9. табельный номер субъекта персональных данных (для работников Управления);
2.8.10. должность субъекта персональных данных;
2.8.11. номер приказа и дату приема на работу, номер приказа и дату о переводе, номер и дату приказа об установлении надбавок, о применении иных выплат, об увольнении субъекта персональных данных (для работников Управления);
2.8.12. реквизиты банковского счета.
2.9. Информационная система УРМ АС "Бюджет" содержит персональные данные работников Управления и физических лиц, являющихся стороной гражданско-правовых договоров, заключаемых Управлением и включает:
2.9.1. фамилию, имя, отчество субъекта персональных данных;
2.9.2. номер свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации субъекта персональных данных;
2.9.3. реквизиты банковского счета.
2.10. Информационная система Программный комплекс "Спринтер" является транспортной программой для пересылки файлов отчетности с использованием электронно-цифровой подписи и включает персональные данные:
2.10.1. фамилию, имя, отчество субъекта персональных данных;
2.10.2. номер страхового свидетельства обязательного пенсионного страхования субъекта персональных данных.
2.11. Информационная система Программа "Сбербанк-Клиент" является транспортной программой для пересылки файлов, содержащих информацию и включает персональные данные:
2.11.1. фамилию, имя, отчество субъекта персональных данных;
2.11.2. номер свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации субъекта персональных данных;
2.11.3. реквизиты банковского счета.
2.12. Информационная система электронного документооборота "СЭД" является транспортной программой для отправки документов с использованием электронно-цифровой подписи и включает персональные данные:
2.12.1. фамилию, имя, отчество субъекта персональных данных.
2.13. Автоматизированные рабочие места работников общего отдела и отдела бухгалтерского учета и экономики Управления предполагают обработку персональных данных работников Управления, предусмотренных Положением о персональных данных работников, утвержденных приказом Управления от 29 октября 2013 г. № 175.
3. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы.
4. Работникам Управления, имеющим право осуществлять обработку персональных данных в информационных системах персональных данных, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе.
5. Работникам Управления, имеющим право осуществлять обработку персональных данных в информационных системах персональных данных, при работе с документами, содержащими персональные данные, запрещается нахождение в информационно-коммуникационной сети Интернет.
6. Безопасность персональных данных при их обработке в информационных системах персональных данных обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и технические меры защиты информации (в том числе шифровальные (криптографические), средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемых в информационных системах персональных данных информационных технологий.
Организационные и технические меры защиты информации направлены на исключение:
неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
неправомерного блокирования информации (обеспечение доступности информации).
7. Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
8. Размещение информационных систем персональных данных производится в помещении, в котором исключена возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
9. При обработке персональных данных в информационных системах персональных данных должно быть обеспечено:
проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным, и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременное обнаружение фактов несанкционированного доступа к персональным данным;
недопущение воздействия на технические средства автоматизированной обработки персональным данным, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
10. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных включают в себя:
классификацию информационной системы по требованиям защиты информации;
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
проверку готовности средств защиты персональных данных к использованию с составлением заключений о возможности их эксплуатации;
установку и ввод в эксплуатацию средств защиты персональных данных в соответствии с эксплуатационной и технической документацией;
обучение лиц, использующих средства защиты персональных данных, применяемые в информационных системах персональных данных, правилам работы с ними;
учет применяемых средств защиты персональных данных, эксплуатационной и технической документации к ним, носителей персональных данных;
учет лиц, допущенных к работе с персональными данными в информационных системах персональных данных;
контроль за соблюдением условий использования средствами защиты персональных данных, предусмотренных эксплуатационной и технической документацией;
описание средств защиты персональных данных.
11. Отдел информационного обеспечения, ответственный за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, должен обеспечить:
своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства Управления;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищенности персональных данных;
знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
12. При обнаружении нарушений порядка предоставления персональных данных пользователи информационных систем персональных данных незамедлительно приостанавливают предоставление персональных данных до выявления причин нарушений и устранения этих причин.
13. Реализация требований по обеспечению безопасности информации в средствах защиты персональных данных возлагается на их разработчиков.
14. Средства защиты персональных данных, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется действующим законодательством.
Директор государственного
казенного учреждения "Управление
|
