РОССИЙСКАЯ ФЕДЕРАЦИЯ
БРЯНСКАЯ ОБЛАСТЬ
АДМИНИСТРАЦИЯ КРАСНОГОРСКОГО РАЙОНА

ПОСТАНОВЛЕНИЕ

от 28.05.2021г. №324

р.п.Красная Гора

В целях исполнения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и в соответствии с постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» администрация Красногорского района Брянской области

ПОСТАНОВЛЯЕТ:

1. Утвердить:

1.1. Прилагаемую Инструкцию ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных .

1.2. Прилагаемую Инструкцию ответственного за эксплуатацию информационных систем персональных данных.

1.3. Прилагаемую Инструкцию по обращению с криптосредствами.

1.4. Прилагаемую Инструкцию пользователя в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

1.5. Прилагаемую Инструкцию о порядке учета, хранения и уничтожения носителей персональных данных.

1.6. Прилагаемое Положение по организации контроля эффективности защиты информации в администрации Красногорского района.

1.7. Прилагаемую Инструкцию по ведению журналов.

1.8. Прилагаемый перечень лиц, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных администрации Красногорского района, неообходимым для выполнения служебных обязанностей.

2. Контроль исполнения настоящего постановления возложить на заместителя главы администрации Боровика А.В.

Глава администрации С.С.Жилинский

Приложение 1

к постановлению администрации

Красногорского района

от 28.05.2021 года № 324

ИНСТРУКЦИЯ

ответственного за эксплуатацию информационных систем персональных данных

1. Общие положения

Ответственный за эксплуатацию информационной системы персональных данных (далее – ИСПДн) в администрации Красногорского района Брянской области назначается главой администрации Красногорского района Брянской области.

Методическое руководство работой ответственного за эксплуатацию ИСПДн осуществляется ответственным за организацию обработки персональных данных в администрации Красногорского района Брянской области.

Ответственный за эксплуатацию в своей работе руководствуется положениями, руководящими и нормативными документами ФСТЭК и ФСБ России по защите информации и организационно-распорядительными документами для данной ИСПДн, а также иными нормативными документами в части защиты информации.

Ответственный за эксплуатацию ИСПДн несет ответственность за свои действия, и действия сотрудников вверенного структурного подразделения в соответствии с действующим законодательством РФ.

2. Функции ответственного за эксплуатацию ИСПДн

Осуществление контроля за целевым использованием ИСПДн, всех периферийных устройств и технических средств, входящих в состав ИСПДн.

Контроль за отсутствием в период обработки защищаемой информации в помещении, где осуществляется обработка, посторонних лиц, не допущенных к обрабатываемой информации.

Контроль использования сотрудниками структурных подразделений, эксплуатирующими ИСПДн, средств защиты информации, установленных на АРМ, входящих в состав ИСПДн.

Контроль за правильностью использования и хранения сотрудниками структурных подразделений, эксплуатирующими ИСПДн, машинных носителей информации и документов, содержащих персональные данные.

Представление заявок на пользователей, допускаемых к защищаемым ресурсам ИСПДн, с целью закрепления за ними носителей информации устройств блокировки, паролей и других средств разграничения доступа к информации, а также прав пользования средствами вычислительной техники.

Организация повышения уровня осведомленности подчиненных должностных лиц по вопросам информационной безопасности.

3. Обязанности ответственного за эксплуатацию ИСПДн

Четко знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководств по защите информации и распоряжений, регламентирующих порядок действий по защите информации.

Обеспечивать функционирование ИСПДн в пределах возложенных на него функций.

Обеспечивать контроль выполнения установленного комплекса мероприятий по обеспечению безопасности ПДн.

Контролировать целостность печатей (пломб) на устройствах ИСПДн.

Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств ИСПДн и отправке их в ремонт.

Присутствовать при выполнении технического обслуживания ИСПДн при установке (модификации) программного обеспечения.

Информировать администратора информационной безопасности о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн.

Контролировать соответствие состава ИСПДн техническому паспорту на ИСПДн.

С инструкцией ознакомлен (ы):

«___» _________________ 202__г. ________________ __________________

(подпись) (Ф.И.О.)

Утверждена

постановлением администрации

Красногорского района

от 28.05.2021г. №324

ИНСТРУКЦИЯ

ответственного за обеспечение
безопасности персональных данных в информационных системах персональных данных

1. Общие положения

Настоящая инструкция определяет права и обязанности лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных (далее – ИСПДн).

Лицо ответственное за обеспечение безопасности персональных данных в ИСПДн (далее – администратор информационной безопасности) это лицо, отвечающее за обеспечение заданных характеристик информации, содержащей персональные данные (конфиденциальности, целостности и доступности) в процессе их обработки в ИСПДн.

Администратор информационной безопасности в ИСПДн осуществляет контроль за выполнением требований нормативно-правовых и организационно-распорядительных документов по организации обработки и обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием автоматизированных рабочих мест.

2. Обязанности администратора информационной безопасности

Администратор информационной безопасности обязан:

- Знать требования нормативно-правовых и организационно-распорядительных документов по обеспечению безопасности персональных данных при их обработке в ИСПДн;

- Знать перечень обрабатываемых персональных данных, состав, структуру, назначение и выполняемые задачи ИСПДн, а также состав информационных технологий и технических средств, позволяющих осуществлять обработку персональных данных.

- Уметь пользоваться средствами защиты информации и осуществлять их непосредственное администрирование;

- Еженедельно осуществлять резервное копирование информации, содержащей персональные данные (при необходимости);

- Обязан осуществлять периодический контроль за выполнением работниками эксплуатирующими ИСПДн (пользователями ИСПДн), мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн;

- Участвовать в работе по проведению внутреннего контроля соответствия обработки персональных данных требованиям по защите информации;

- Обязан анализировать журнал системы защиты информации от несанкционированного доступа (НСД), проводить проверки электронного журнала обращений к информационным системам персональных данных;

- Обязан обеспечивать строгое выполнение требований по обеспечению защиты информации при организации технического обслуживания АРМ;

- Обязан вести журнал учета средств защиты информации, используемых в ИСПДн;

- Обязан присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию АРМ;

- Обязан проводить инструктаж пользователей ИСПДн по правилам работы с используемыми техническими средствами и средствами защиты информации в соответствии с технической документацией на используемые средства защиты;

- Обязан проводить мероприятия по организации антивирусной защиты;

- Осуществлять организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями пользователей при работе с паролями, согласно инструкции по организации парольной защиты в информационных системах персональных данных;

- Обязан организовать ведение журнала учета машинных носителей информации, использующихся в ИСПДн для обработки, хранения и транспортировки информации;

- Обязан немедленно сообщать ответственному за организацию обработки персональных данных, информацию об имевших место попытках несанкционированного доступа к информации и техническим средствам АРМ, а также принимать необходимые меры по устранению нарушений:

- Установить причины, по которым стал возможным НСД;

- Установить последствия, к которым привел НСД;

- Зафиксировать случай НСД в виде документа (акта, служебной записки и т.д.) с описанием причин НСД, предполагаемых или установленных нарушителей и последствий;

- Провести проверку настроек средств защиты информации и операционных систем на соответствие требованиям руководящих документов и разрешительной системы доступа пользователей к защищаемым информационным ресурсам и объектам доступа ИСПДн, при необходимости провести настройку;

- Провести инструктаж пользователей ИСПДн по выполнению требований по обеспечению защиты персональных данных.

3. Права администратора информационной безопасности.

Администратор информационной безопасности имеет право:

- Требовать от пользователей ИСПДн соблюдения установленной технологии обработки информации и выполнения инструкции о порядке работы пользователей в ИСПДн в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;

- Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов ИСПДн;

- Обращаться за необходимыми разъяснениями по вопросам обработки и обеспечения безопасности персональных данных к ответственному за организацию обработки персональных данных в ИСПДн и/или ответственному за эксплуатацию ИСПДн;

4. Ответственность администратора информационной безопасности

На администратора информационной безопасности возлагается персональная ответственность за качество проводимых им работ по обеспечению безопасности ПДн в ИСПДн;

Администратор информационной безопасности в ИСПДн несет ответственность в соответствии с действующим законодательством Российской Федерации.

С инструкцией ознакомлен (ы):

«___» _________________ 202__г. ________________ __________________

(подпись) (Ф.И.О.)

Утверждена

постановлением администрации

Красногорского района

от 28.05.2021г. №324

ИНСТРУКЦИЯ

по обращению с криптосредствами

1. Общие положения

Настоящая инструкция регламентирует порядок обращения с шифровальными средствами (средствами криптографической защиты информации, СКЗИ), предназначенными для защиты информации, не содержащей сведений, составляющих государственную тайну, в процессе их получения, транспортировки, учета, хранения, уничтожения, встраивания в прикладные системы, тестирования, передачи клиентам, а также порядок допуска к работам с шифровальными средствами.

Все сотрудники, допущенные к работе с СКЗИ, должны ознакомиться с данной инструкцией под подпись и строго выполнять требования настоящей инструкции в части, их касающейся, а также строго выполнять требования нормативных правовых актов Российской Федерации, относящихся к деятельности с СКЗИ, нормативных и методических документов лицензирующего органа.

Разработка и проведение мероприятий по обеспечению безопасности при работе с СКЗИ осуществляется ответственным за эксплуатацию СКЗИ.

Работы с СКЗИ должны проводиться с учетом Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).

2. Требования по размещению, оборудованию и охране помещений

Размещение, оборудование, охрана и режим в помещениях, в которых проводятся работы с СКЗИ (далее – помещения), должны обеспечивать безопасность СКЗИ, сведение к минимуму возможности неконтролируемого доступа посторонних лиц. Доступ сотрудников в эти помещения должен быть ограничен в соответствии со служебной необходимостью и определяться перечнем лиц, допущенных в кабинеты.

Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Для предотвращения просмотра извне окна помещений должны быть защищены (жалюзи, шторы и т.п.).

3. Порядок обращения с СКЗИ

Пользователи криптосредств обязаны:

− не разглашать информацию о ключевых документах;

− не допускать вывод ключевых документов на дисплей (монитор) ПЭВМ или принтер;

− не допускать установки ключевых документов в другие ПЭВМ.

Все поступающие СКЗИ, инсталлирующие СКЗИ носители, эксплуатационная и техническая документация (при наличии) к ним должны браться на поэкземплярный учет в журнале установленной формы (Приложение). Ведет журналы администратор информационной безопасности.

Единицей поэкземплярного учета СКЗИ является:

− для аппаратных и программно-аппаратных СКЗИ - конструктивно законченное техническое устройство;

− для программных СКЗИ – инсталлирующий СКЗИ носитель (дискета, компакт-диск (CD-ROM) и т.п.).

Должны быть приняты организационные меры с целью исключения возможности несанкционированного копирования СКЗИ.

Хранение инсталлирующих СКЗИ носителей допускается в одном хранилище с другими документами при условиях, исключающих непреднамеренное их уничтожение или иное, не предусмотренное правилами пользования СКЗИ применение.

В случае отсутствия у сотрудника индивидуального хранилища инсталлирующие СКЗИ носители по окончании рабочего дня должны сдаваться лицу, ответственному за их хранение.

В случае утери носителя СКЗИ или вероятном копировании сотрудник обязан немедленно сообщить об этом лицу, ответственному за обеспечение безопасности при обращении с СКЗИ.

Ответственным за эксплуатацию СКЗИ периодически должен проводиться контроль сохранности и работоспособности установленного СКЗИ, а также всего используемого совместно с СКЗИ программного обеспечения для предотвращения внесения программно-аппаратных закладок и вирусов.

4.Ответственность за нарушение требований Инструкции

За нарушение требований настоящей Инструкции виновные лица несут дисциплинарную, либо материальную ответственность в зависимости от характера нарушения и тяжести наступивших отрицательных последствий.

С инструкцией ознакомлен (ы):

«___» _________________ 202__г. ________________ __________________

(подпись) (Ф.И.О.)

Утверждена

постановлением администрации

Красногорского района

от 28.05.2021г. №324

ИНСТРУКЦИЯ

пользователя в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных

1. Общие положения

1.1. Пользователи получают допуск к работам в информационной системе персональных данных (далее - ИСПДн) на основании регламентов разграничения прав доступа в ИСПДн, принятых у оператора.

1.2. Пользователи ИСПДн в пределах своих функциональных обязанностей обеспечивают безопасность информации, обрабатываемой, передаваемой и хранимой в ИСПДн.

1.3. Пользователи ИСПДн руководствуются положениями настоящего руководства и других руководящих документов по защите информации и персональных данных (далее - ПДн), принятых у оператора, а также требованиями эксплуатационных документов на используемые средства защиты информации (далее - СЗИ), технические и программные средства ИСПДн.

1.4. Методическое руководство деятельностью пользователей ИСПДн осуществляется уполномоченной организацией по обеспечению безопасности персональных данных при их обработке в муниципальных ИСПДн (далее - уполномоченная организация).

2. Обязанности пользователей в части обеспечения информационной безопасности при работе в ИСПДн

2.1. Каждый пользователь ИСПДн, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:

2.1.1. Хранить в тайне сведения о ПДн субъектов, ставшие известными ему в соответствии с родом работы.

2.1.2. Хранить в тайне свой пароль (пароли).

2.1.3. В соответствии с требованиями инструкции по организации парольной защиты менять свой пароль (пароли) с установленной периодичностью.

2.1.4. Выполнять требования инструкции по организации антивирусной защиты в части, касающейся действий пользователей рабочих станций ИСПДн.

2.1.5. Строго соблюдать:

- требования настоящего руководства;

- требования документов по защите информации и ПДн, принятых у оператора;

- правила работы с общесистемным и прикладным программным обеспечением, средствами защиты информации, используемыми у оператора.

2.1.6. Для хранения ПДн использовать только учтенные установленным порядком машинные носители информации, соблюдать порядок учета, обращения и хранения учтенных машинных носителей информации (гибкие машинные носители, оптические диски, flash-диски и другие носители) согласно правилам работы с носителями персональных данных.

2.1.7. При выходе в течение рабочего дня из помещения, в котором располагаются элементы ИСПДн, убирать документы и машинные носители информации, содержащие ПДн, в предназначенные для этого хранилища (запираемые шкафы, ящики столов, тумбочки), закрывать и при необходимости опечатывать, а также закрывать само помещение.

2.1.8. Располагать экран видеомонитора в помещении во время работы так, чтобы исключалась возможность ознакомления посторонними лицами с отображаемой на нем информацией.

2.1.9. Немедленно оповещать сотрудников уполномоченной организации и ставить в известность ответственного за организацию обработки персональных данных в случае утери индивидуального устройства идентификации (при наличии) или при подозрении компрометации личного пароля, а также при обнаружении:

- нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на системном блоке или иных фактов совершения в его отсутствие попыток несанкционированного доступа;

- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств;

- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ПЭВМ, выхода из строя или неустойчивого функционирования узлов ПЭВМ или периферийных устройств (дисководов, принтера и тому подобное), а также перебоев в системе электроснабжения;

- некорректного функционирования установленных на ПЭВМ технических средств защиты, не предусмотренных формуляром ПЭВМ (техническим паспортом ИСПДн) отводов кабелей и подключенных устройств.

2.1.10. Присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленной за ним ПЭВМ в подразделении.

2.2. Пользователям категорически запрещается:

- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;

- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами рабочих станций (техническим паспортом ИСПДн);

- осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;

- записывать и хранить информацию, содержащую сведения о ПДн, на неучтенных машинные носителях информации;

- оставлять включенной без присмотра свою рабочую станцию, не активизировав временную блокировку экрана и клавиатуры;

- передавать кому-либо свое индивидуальное устройство идентификации (при наличии) или другие реквизиты разграничения доступа (кроме сотрудников уполномоченной организации или ответственного за организацию обработки персональных данных установленным порядком);

- оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), машинные носители и распечатки, содержащие сведения ПДн;

- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. При обнаружении такого рода ошибок ставить в известность сотрудников уполномоченной организации;

- использовать нештатные технические средства и системы;

- самостоятельно вносить изменения в состав, конфигурацию и размещение технических средств;

- использовать нештатные программные средства;

- проводить обработку ПДн при неисправно работающих средствах защиты информации;

- вносить изменения в средства защиты информации, используемые на объекте информатизации;

- допускать к работам в ИСПДн лиц, не имеющих допуска к этим работам;

- обрабатывать информацию в случае, если имеют место неисправности, создающие предпосылки для утечки ПДн.

3. Права пользователей ИСПДн

3.1. Обрабатывать ПДн в соответствии и в рамках полученного служебного задания на выполнение работ.

3.2. Обращаться к сотрудникам уполномоченной организации с просьбой об оказании методической помощи.

4. Ответственность пользователей ИСПДн

4.1. Пользователи ИСПДн несут ответственность в полном объеме в соответствии с действующим законодательством Российской Федерации за разглашение сведений, содержащих ПДн, ставших известными им в соответствии с родом работы, а также утрату носителей информации и выходных документов, содержащих ПДн.

5. Правила работы в сетях связи общего пользования и (или) сетях международного информационного обмена

5.1. Работа в сетях связи общего пользования и (или) международного информационного обмена (сети Интернет и других) (далее - сеть) на элементах ИСПДн должна проводиться при служебной необходимости с соблюдением правил, установленных настоящим руководством.

5.2. При работе в сети запрещается:

- осуществлять работу при отключенных средствах защиты информации (антивирусов и других);

- передавать по сети защищаемую информацию без использования средств защиты каналов связи;

- скачивать из сети программное обеспечение;

- посещение сайтов сомнительной репутации (порно-сайты, сайты, содержащие нелегально распространяемое ПО, и другие);

- нецелевое использование подключения к сети.

5.3. При работе с ресурсами сети запрещается:

- разглашать коммерческую информацию и ПДн, ставшие известными по служебной необходимости либо иным путем;

- распространять защищаемые авторскими правами материалы, затрагивающие какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны;

- публиковать, загружать и распространять материалы, содержащие вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в сети, а также размещать ссылки на вышеуказанную информацию;

- загружать и запускать исполняемые либо иные файлы без предварительной проверки на наличие вирусов установленным антивирусным пакетом;

- использовать анонимные прокси-серверы;

- использовать программные и аппаратные средства, позволяющие получить доступ к ресурсу, запрещенному к использованию политикой оператора.

5.4. Возможность получить доступ к ресурсу не является гарантией того, что запрошенный ресурс является разрешенным политиками оператора.

6. Правила работы с корпоративной электронной почтой

6.1. Электронная почта является собственностью оператора и может быть использована только в служебных целях. Использование электронной почты в иных целях категорически запрещено.

6.2. При работе с корпоративной системой электронной почты пользователям запрещается:

- использовать адрес корпоративной почты для оформления подписок без предварительного согласования;

- публиковать свой адрес либо адреса других сотрудников на общедоступных интернет-ресурсах (форумы, конференции и тому подобное) без предварительного согласования;

- открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами, даже если отправитель письма хорошо известен;

- рассылать через электронную почту материалы, содержащие вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в сети, а также ссылки на вышеуказанную информацию;

- распространять защищаемые авторскими правами материалы, затрагивающие какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ними права третьей стороны;

- распространять информацию, содержание и направленность которой запрещены международным законодательством и законодательством Российской Федерации, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и так далее;

- распространять информацию ограниченного доступа, представляющую коммерческую тайну или информацию со сведениями ПДн, ставшей известной по служебной необходимости либо иным путем;

- предоставлять, кому бы то ни было пароль доступа к своему почтовому ящику.

С инструкцией ознакомлен (ы):

«___» _________________ 202__г. ________________ __________________

(подпись) (Ф.И.О.)

Утверждена

постановлением администрации

Красногорского района

от 28.05.2021г. №324

ИНСТРУКЦИЯ

о порядке учета, хранения и уничтожения носителей персональных данных.

1. Все находящиеся на хранении и в обращении съемные носители с персональными данными подлежат учёту. Каждый съемный носитель с записанными на немперсональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.

2. Учет и выдачу съемных носителей персональных данных осуществляет администратор сети, на которого возложены функции хранения носителей персональных данных.

3. Сотрудникам запрещается:

¾ хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;

¾ выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому и т. д.

4. При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется впорядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения.

5. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений немедленно ставится в известность начальник соответствующего структурного подразделения. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы персонального учета съемных носителей персональных данных.

6. Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется уполномоченной комиссией. По результатам уничтожения носителей составляется акт.

7. Сотрудники администрации, выполняющие работы по договорам и контрактам, имеющие отношение к работе с персональными данными, должны быть в обязательном порядке ознакомлены под расписку с настоящей Инструкцией

С инструкцией ознакомлен (ы):

«___» _________________ 202__г. ________________ __________________

(подпись) (Ф.И.О.)

Утверждено

постановлением администрации

Красногорского района

от 28.05.2021г. №324

ПОЛОЖЕНИЕ

по организации контроля эффективности защиты информации в администрации Красногорского района

1. Общие положения

1. Положение по организации контроля эффективности защиты информации администрации Красногорского района (далее – Положение) разработано в соответствии с Положением об обеспечении сохранности конфиденциальной информации в администрации Красногорского района, Положением по организации и проведению работ по обеспечению безопасности конфиденциальной информации при ее обработке в информационных системах в администрации Красногорского района (далее – администрации района).

2. Положение разработано в целях контроля реализации принятых мер по обеспечению безопасности конфиденциальной информации в администрации района.

3. Положение определяет основные мероприятия по контролю эффективности принятых мер по обеспечению безопасности конфиденциальной информации, в том числе при ее обработке в информационных системах администрации района.

2. Общий порядок организации контроля эффективности

3. мер защиты информации

1. Ответственным за контроль эффективности защиты конфиденциальной информации является ответственный за организацию и руководство работами по защите конфиденциальной информации.

2. Администратор информационной безопасности информационных систем администрации района (далее – АИБ) осуществляет постоянный контроль выполнения требований по обеспечению безопасности конфиденциальной информации в рамках выполнения своих обязанностей.

3. Мероприятия по контролю эффективности принятых мер по обеспечению безопасности конфиденциальной информации при ее обработке в информационных системах должны включать:

- создание комиссии по контролю исполнения мероприятий по защите информации;

- установление порядка проведения внутренних проверок состояния защиты конфиденциальной информации.

4. Состав комиссии по контролю состояния защиты информации утверждается ответственным за организацию и руководство работами по защите конфиденциальной информации.

4. Порядок проведения внутренних плановых проверок состояния защиты конфиденциальной информации

1. Внутренние проверки состояния защиты конфиденциальной информации при ее обработке в информационных системах администрации поселения проводятся в соответствии с Планом внутренних проверок состояния защиты конфиденциальной информации. Форма Плана внутренних проверок состояния защиты конфиденциальной информации (приложение 1).

2. План внутренних проверок состояния защиты конфиденциальной информации составляется на год ответственным за обеспечение безопасности конфиденциальной информации и утверждается главой администрации не позднее первого февраля нового отчетного года.

3. Руководители подразделений, работники которых осуществляют обработку конфиденциальной информации, должны обеспечивать возможность проведения внутренних проверок состояния защиты конфиденциальной информации.

4. Внутренние проверки состояния защиты конфиденциальной информации должны проводиться не реже одного раза в три года.

5. Проверками должны быть охвачены все подразделения администрации района, работники которых осуществляют обработку конфиденциальной информации.

6. При проведении внутренних проверок состояния защиты конфиденциальной информации должен присутствовать представитель проверяемого подразделения.

7. Необходимыми видами внутренних проверок состояния защиты конфиденциальной информации являются проверки выполнения требований к организации:

- системы допуска и учета лиц, допущенных к работе с конфиденциальной информацией;

- системы защиты межсетевого взаимодействия;

- режима безопасности помещений информационных систем, в которых осуществляется обработка конфиденциальной информации;

- безопасного хранения и уничтожения материальных носителей конфиденциальной информации;

- защиты от вредоносного кода;

- парольной защиты;

- управления инцидентами информационной безопасности и реагирование на них;

- управления конфигурацией информационных систем и системы защиты конфиденциальной информации;

- системы криптографической защиты информации;

- системы резервного копирования и восстановления;

- централизованного управления системой защиты конфиденциальной информации;

- системы обучения по вопросам обеспечения безопасности конфиденциальной информации.

8. Обо всех существенных нарушениях, выявленных в ходе проведения внутренних проверок состояния защиты конфиденциальной информации, незамедлительно сообщается главе администрации.

9. По фактам выявленных нарушений проводятся служебные расследования в соответствии с порядком, определенном в Положении о выявлении и реагировании на инциденты информационной безопасности.

10. Обязанности по проведению разбирательств по выявленным фактам несоблюдения требований по информационной безопасности, которые могут привести к снижению уровня защищенности конфиденциальной информации, возложены на АИБ.

11. По результатам проведения проверки каждого подразделения комиссией по контролю состояния защиты информации составляется Отчет по результатам проведения проверки. Отчет по результатам проведения проверки согласуется с руководителем проверяемого структурного подразделения администрации района и предоставляется на утверждение главе администрации.

12. Проведенные внутренние проверки должны учитываться в Журнале учета проводимых внутренних проверок ответственным за обеспечение безопасности конфиденциальной информации (приложение 2).

Приложение 1 к Положению

УТВЕРЖДАЮ

Глава администрации

________________И.О. Фамилия

_____________ 20 ___ года

Форма

Плана внутренних проверок состояния защиты конфиденциальной информации администрации Красногорского района

на 20__ год

Приложение 2 к Положению

Журнал учета проводимых внутренних проверок эффективности защиты информации администрации Красногорского района

Утверждена

постановлением администрации

Красногорского района

от 28.05.2021г. №324

ИНСТРУКЦИЯ

по ведению журналов.

1. Общие положения

1.1. Настоящая Инструкция определяет порядок ведения журналов администрацией Красногорского района Брянской области(далее - оператор), а также лицами, ответственными за правильность и полноту ведения журналов.

1.2. Оператору для выполнения требований законодательства в области обеспечения безопасности персональных данных необходимо предусмотреть ведение следующих журналов:

периодического тестирования средств защиты информации;

учета лиц, допущенных к работе с персональными данными в информационной системе;

учета мероприятий по контролю обеспечения защиты персональных данных;

учета машинных носителей информации;

учета обращений субъектов персональных данных о реализации их законных прав при обработке данных в информационной системе;

учета применяемых средств защиты информации, эксплуатационной и технической документации к ним;

учета средств криптографической защиты информации.

1.3. Все журналы должны быть утверждены руководством оператора.

2. Ведение журнала периодического тестирования средств защиты

информации

2.1. Ответственный за администрирование средств защиты информации (администратор безопасности) должен осуществлять периодическое тестирование средств защиты информации (далее - СЗИ) не реже одного раза в месяц с отметкой в журнале периодического тестирования средств защиты информации. Журнал должен храниться у ответственного за администрирование средств защиты информации, ответственного пользователя средств криптографической защиты информации (администратора безопасности).

2.2. В журнале указываются следующие сведения: наименование тестируемого СЗИ, регистрационный номер СЗИ (в соответствии с журналом учета применяемых средств защиты информации, эксплуатационной и технической документации к ним или журналом учета средств криптографической защиты информации), дата проведения, исполнитель (тестирование может проводиться сотрудниками оператора самостоятельно или с привлечением сторонних организаций) и конечный результат (успешное/неуспешное тестирование, при необходимости - примечание).

2.3. Контроль за правильностью и полнотой ведения журнала, а также за своевременностью устранения выявленных недостатков осуществляется ответственным за организацию обработки ПДн.

3. Ведение журнала учета лиц, допущенных к работе с персональными данными в информационной системе

3.1. Учет лиц, допущенных к работе с персональными данными в информационной системе оператора, ведется в журнале учета лиц, допущенных к работе с персональными данными в информационной системе.

3.2. Журнал ведется ответственным за администрирование информационных систем персональных данных.

3.3. Основанием для допуска сотрудника к персональным данным является перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных обязанностей, утвержденный руководством оператора.

3.4. Основанием для прекращения допуска сотрудника к персональным данным является приказ об увольнении сотрудника или переводе на работу, не связанную с необходимостью доступа к персональным данным.

3.5. Контроль за правильностью и полнотой ведения журнала осуществляется ответственным за организацию обработки ПДн.

4. Ведение журнала учета мероприятий по контролю обеспечения защиты персональных данных

4.1. Журнал учета мероприятий по контролю обеспечения защиты персональных данных содержит перечень периодически проводимых мероприятий.

4.2. Ведение журнала осуществляется ответственным за администрирование средств защиты информации (администратором безопасности).

4.3. Ответственный сотрудник ведет журнал, вносит в него подробную информацию, связанную с изменением режима защиты персональных данных, а также информацию о результатах внутренних проверок выполнения режима защиты персональных данных.

4.4. В журнале указываются следующие сведения: название проведенного мероприятия, дата проведения, исполнитель мероприятия (сотрудник оператора или привлекаемая организация) и результат (отчет, акт, действия, при необходимости - примечание).

5. Ведение журнала учета машинных носителей информации

5.1. Носители информации, используемые для обработки и хранения персональных данных оператором, должны быть зарегистрированы в журнале учета машинных носителей информации.

5.2. Ведение журнала осуществляется ответственным за администрирование средств защиты информации (администратором безопасности) совместно с ответственным за администрирование информационных систем персональных данных (далее - ответственные).

5.3. У каждого носителя должен быть уникальный номер, которым является его заводской номер в соответствии с технической документацией, либо учетный номер, который может быть присвоен оператором.

5.4. В качестве «тип» указывается тип носителя (HDD, DVD-RW, CD-R, USB-флэш-накопитель и т.д.).

5.5. В журнале должны быть отражены все перемещения носителей в процессе работы оператора, передача во внешние по отношению к оператору организации, а также факт уничтожения носителей.

5.6. Отметка об уничтожении проставляется в графе «Примечание» с проставлением номера, даты акта уничтожения носителя и подписи ответственных.

6. Ведение журнала учета обращений субъектов персональных данных о реализации их законных прав при обработке данных в информационной

системе

6.1. Журнал учета обращений субъектов персональных данных о реализации их законных прав при обработке данных в информационной системе.

6.2. Ведение журнала осуществляется ответственным за администрирование информационных систем персональных данных. Другие сотрудники, участвующие в обработке запросов (в составлении ответов на запросы) могут вносить необходимые пометки в журнал под контролем ответственного.

6.3. В журнале указываются следующие сведения: Ф.И.О. субъекта ПДн, дата обращения, регистрационный номер запроса, присваиваемый в соответствии с требованиями делопроизводства оператора, цель обращения и результат.

Например, при получении запроса от субъекта в журнал заносятся информация о субъекте, суть и цель запроса (информирование, уточнение, блокирование, удаление ПДн и т.д.). После обработки запроса перед отправкой ответа в журнал (графа «Результат») заносится окончательная информация: был составлен ответ или отказ, правовое обоснование ответа или отказа, дата, собственноручная подпись лица, составлявшего ответ, и, при необходимости, примечание.

7. Ведение журнала учета применяемых средств защиты информации, эксплуатационной и технической документации к ним

7.1. Используемые или хранимые оператором средства защиты информации, эксплуатационная и техническая документация к ним подлежат поэкземплярному учету в Журнале учета применяемых средств защиты информации, эксплуатационной и технической документации к ним.

7.2. Ведение журнала осуществляется ответственным за администрирование средств защиты информации (администратором безопасности).

7.3. Все полученные экземпляры средств защиты информации, эксплуатационной и технической документации к ним должны быть выданы под расписку в журнале лицом, несущим персональную ответственность за их сохранность (раздел «Отметка о получении»). В графе «От кого получены» указывается наименование организации, отгрузившей средства защиты информации, а в графе «Дата и № сопроводительных документов» указывается номер закрывающих бухгалтерских документов на поставку средств защиты информации (акт или товарная накладная).

7.4. Все экземпляры средств защиты информации, эксплуатационной и технической документации к ним должны выдаваться пользователям, несущим персональную ответственность за их сохранность под роспись в Журнале (раздел «Отметка о выдаче»).

7.5. Программные средства учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование (графа «№ аппаратных средств, в которые установлены или к которым подключены средства защиты»).

7.6. По решению Ответственного за администрирование средств защиты информации СЗИ могут изыматься из употребления. Отметка об изъятии проставляется в графе «Примечание» с проставлением номера, даты акта об изъятии и подписи ответственного.

8. Ведение журнала учета средств криптографической защиты информации, эксплуатационной и технической документации к ним

8.1. Используемые или хранимые Оператором средства криптографической защиты информации, эксплуатационная и техническая документация к ним подлежат поэкземплярному учету в Журнале учета средств криптографической защиты информации.

8.2. Ведение Журнала осуществляется ответственным за администрирование средств защиты информации (администратором безопасности).

8.3. Все полученные экземпляры средств криптографической защиты информации, эксплуатационной и технической документации к ним должны быть выданы под расписку в Журнале лицом, несущим персональную ответственность за их сохранность (раздел «Отметка о получении»).В графе «От кого получены» указывается наименование организации, отгрузившей средства криптографической защиты информации, а в графе «Дата и №сопроводительных документов» указывается номер закрывающих бухгалтерских документов на поставку средств криптографической защиты информации (акт или товарная накладная).

8.4. Все экземпляры средств криптографической защиты, эксплуатационной и технической документации к ним должны выдаваться пользователям, несущим персональную ответственность за их сохранность, под роспись в журнале (раздел «Отметка о выдаче»).

8.5. Программные средства учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование (графа «№ аппаратных средств, в которые установлены или к которым подключены средства криптографической защиты»).

8.6. По решению ответственного за администрирование средств защиты информации СКЗИ могут изыматься из употребления. Отметка об изъятии проставляется в графе «Примечание» с проставлением номера, дата акта об изъятии и подписи ответственного.

Утвержден

постановлением администрации

Красногорского района

от 28.05.2021г. №324

Перечень

лиц, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных администрации Красногорского района, неообходимым для выполнения служебных обязанностей

Дата создания: 31.05.2021 10:11:45

Дата изменения: 31.05.2021 10:12:45