2.7. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т. п.) пользователь обязан немедленно сообщить о своих подозрениях АБ. АБ совместно с пользователем и ответственным за обеспечение безопасности персональных данных в ИСПДн должен выполнить внеочередной антивирусный контроль.
2.8. Если при проведении периодической или внеочередной антивирусной проверки информационных ресурсов ИСПДн были обнаружены вирусы или их воздействие на носители информации, АБ обязан:
1) Приостановить обработку персональных данных в ИСПДн и доложить о случившемся ответственному за эксплуатацию объекта информатизации.
2) В присутствии ответственного за обеспечение безопасности персональных данных в ИСПДн провести «лечение» файла.
3) В случае обнаружения нового вируса, не поддающегося «лечению» применяемыми антивирусными средствами, исключить из обработки зараженный вирусом файл.
4) Выполнить проверку всех МНИ в ИСПДн, которые могли стать носителями вируса.
5) По факту обнаружения зараженных вирусом файлов АБ составляет служебную записку на имя ответственного за эксплуатацию объекта информатизации, в которой указывает: предположительный источник (отправителя, владельца и т. д.) зараженного файла, тип зараженного файла, характер и степень конфиденциальности информации, тип вируса и выполненные антивирусные мероприятия, список лиц нарушивших (халатное исполнение) установленную технологию обработки данных в ИСПДн, предложения или план мероприятий по ликвидации возможных последствий вирусной атаки.
2.9. Ответственность за организацию антивирусного контроля МНИ в ИСПДн в соответствии с требованиями настоящей Инструкции возлагается на АБ.
Приложение
к постановлению
Администрации Климовского района
от 01.01.2001 г. № 000
ИНСТРУКЦИЯ
по применению парольной политики в информационных системах персональных данных администрации Климовского района
1. Общие положения
1.1. Настоящая Инструкция определяет порядок использования, генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных (ИСПДн), а также контроль действий пользователей и обслуживающего персонала систем при работе с паролями.
1.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн, а также контроль действий исполнителей и обслуживающего персонала системы при работе с паролями возлагается на администратора безопасности информации (АБ).
2. Парольная политика
2.1. Пароли для всех учетных записей пользователей ИСПДн должны выбираться с учетом следующих требований:
1) Длина пароля должна быть не менее 8 символов.
2) В числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, а также цифры.
3) При смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.
4) Пароль не должен включать в себя легко вычисляемые (угадываемые) сочетания символов (имена, фамилии, отчества, наименования АРМ, организации и т. д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER, ADM, ADMIN и т. п.).
5) Пароль должен легко запоминаться, для этого используется некоторые приемы, например: для задания пароля используется четверостишье: «Ваше благородие, госпожа удача, для кого Вы добрая, для кого иначе», далее для пароля берут первые буквы «ВбгудкВддки» и в конце добавляется число символов - 11, таким образом, получаем пароль - ВбгудкВддки11.
6) Минимальное время применения пароля - не менее 2 дней.
7) Максимальное время применения пароля - не более чем 93 дня.
8) Пароль не должен повторяться.
9) Пользователь не может неправильно ввести пароль учетной записи более 5 раз, в этом случае должна происходить блокировка учетной записи пользователя, до момента снятия блокировки АБ.
2.2. Пользователи обязаны хранить свой личный пароль в тайне от других и не передавать любым способом никому.
2.3. Хранение сотрудником (пользователем) значений своих паролей на бумажном носителе и личных идентификаторов допускается только в сейфе.
2.4. Смена пароля учетной записи пользователя должна проводиться регулярно и не реже одного раза в квартал.
2.5. Если для идентификации пользователей используются личные идентификаторы, то:
1) Привязку идентификатора к пользователю (учетной записи) выполняет администратор безопасности информации ИСПДн.
2) Пользователи получают свой идентификатор под роспись.
3) Хранить личный идентификатор допускается в сейфе.
4) Пользователям запрещается передавать свой личный идентификатор.
5) В случае утери личного идентификатора пользователь должен немедленно доложить об этом администратору безопасности информации ИСПДн.
2.6. В случае компрометации личного пароля или утери личного идентификатора учетной записи пользователя ИСПДн должны быть немедленно предприняты меры в соответствии с пп. 5 п. 2.5 настоящей Инструкции. Кроме того, АБ должно быть проведено служебное расследование по выяснению причин компрометации пароля с целью выработки новых или совершенствования принятых технических и организационных мер по устранению такой угрозы в будущем, а также выяснению величины нанесенного ущерба безопасности информации.
2.7. В случае прекращения полномочий учетной записи пользователя (увольнение, переход на другую работу, в другой отдел или помещение, а также и другие обстоятельства) учетная запись должна быть заблокирована и пароль должен быть заменен, а ее идентификатор должен быть сдан АБ сразу после окончания последнего сеанса работы данного пользователя в ИСПДн.
2.8. Владельцы личных паролей и идентификаторов должны быть ознакомлены под роспись с перечисленными выше требованиями. Для этих целей рекомендуется ввести отдельный список для каждой ИСПДн.
Приложение
к постановлению
Администрации Климовского района
от 01.01.2001 г. № 000
ИНСТРУКЦИЯ
по работе с носителями персональных данных
администрации Климовского района
1. Общие положения
1.1. Настоящая Инструкция определяет правила работы и обеспечения безопасности носителей, содержащих персональные данные субъектов.
1.2. Носители информации (накопители на жестких магнитных дисках) и съемные носители информации (USB, диски, дискеты, переносные носители на жестких магнитных дисках) подлежат учету. Каждый носитель должен быть промаркирован.
1.3. По окончании эксплуатации носителей информации необходимо производить затирание данных без возможности дальнейшего восстановления информации. Относительно дисков и дискет применяется уничтожение самого носителя любым способом, исключающим возможность его восстановления. Уничтожение носителя проводится комиссионно с оформлением акта. Акты хранятся вместе с журналом учета носителей в сейфе администратора безопасности.
1.4. Окончание эксплуатации носителя фиксируется в журнале учета с соответствующей пометкой (произведено затирание данных или уничтожение носителя).
2. Правила работы со съемными носителями
2.1. Съемные носители могут использоваться для:
1) Передачи информации, содержащей ПДн, в вышестоящие организации.
2) Переноса информации, содержащей ПДн, между подразделениями организации.
3) Хранения информации, содержащей ПДн.
2.2. Перед работой с отчуждаемым накопителем необходимо проводить проверку на вирусы антивирусными средствами. В случае обнаружения заражения файлов с персональными данными, копирование их на НЖМД АРМ категорически запрещается.
2.3. Съемные носители, на которых могут храниться и передаваться персональные данные, должны храниться в сейфе у администратора безопасности информационной системы персональных данных.
2.4. Выдача носителей производится администратором безопасности информационной системы персональных данных сотруднику под роспись в журнале учета. После использования или в конце рабочего дня носитель сдается обратно администратору безопасности для хранения в сейфе.
Приложение
к постановлению
Администрации Климовского района
от 01.01.2001 г. № 000
ПОЛОЖЕНИЕ
о комиссии по уничтожению носителей персональных данных
администрации Климовского района
1. Общие положения
1.1. Настоящее Положение о комиссии по уничтожению носителей персональных данных администрации Климовского района (далее - Администрация) регламентирует порядок работы комиссии и уничтожения носителей персональных данных.
1.2. Основной задачей комиссии является документирование уничтожения носителей персональных данных.
2. Порядок формирования комиссии
2.1. Комиссия формируется из числа штатных сотрудников Администрации и назначается распоряжением главы администрации Климовского района.
2.2. В состав комиссии входит не менее четырех человек - членов комиссии, в их числе - председатель комиссии.
2.3. Комиссия формируется из сотрудников, участвующих в процессе обработки персональных данных.
2.4. В случае изменения состава комиссии в постановление вносятся соответствующие изменения.
3. Порядок уничтожения носителей персональных данных
3.1. Носителями персональных данных являются:
1) Бумажные носители.
2) Накопители на жестких магнитных дисках (НЖМД), установленные в системных блоках рабочих мест обработки персональных данных.
3) Съемные носители (дискеты, диски, USB-носители, съемные НЖМД), используемые для переноса, передачи и (или) хранения персональных данных.
3.2. Бумажные носители персональных данных могут быть уничтожены путем сожжения или измельчения.
3.3. НЖМД, съемные НЖМД и USB-носители должны быть уничтожены путем форматирования данных и физического повреждения (разбить молотком), исключающего возможность восстановления носителя.
3.4. Дискеты и диски могут уничтожаться простым физическим повреждением без возможности восстановления носителя.
4. Порядок работы комиссии
4.1. По пришествию в негодное состояние электронных носителей персональных данных или по истечении срока хранения бумажных носителей персональных данных собирается комиссия для их уничтожения.
4.2. Комиссия производит опись уничтожаемых носителей и их уничтожение соответствующими способами, перечисленными в п. 3 настоящего Положения.
4.3. Оставшиеся после уничтожения остатки носителей, по которым невозможно восстановить персональные данные, допускается выбрасывать в отведенные для мусора места.
4.4. Результатом работы комиссии является документально оформленный Акт уничтожения, который должен содержать перечень уничтоженных носителей, способ, дату и место уничтожения и подписи членов комиссии.
4.5. Акты уничтожения хранятся вместе с Журналом учета носителей персональных данных.
Приложение
к постановлению
Администрации Климовского района
от 01.01.2001 г. № 000
АКТ
уничтожения персональных данных по достижении цели обработки
Комиссия в составе:
председатель комиссии:_________________________________________________
члены комиссии:_______________________________________________________
_______________________________________________________
_______________________________________________________
специалист, обрабатывающий ПДн: ________________________________________
составили настоящий акт в том, что « ____ » ________________ 20___ г. произведено уничтожение персональных данных или иной конфиденциальной информации, находящейся на _______________________________________________________________ _________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
______________________________________________________________________(наименование АРМ по утвержденной конфигурации, ФИО ответственного пользователя АРМ, заводской или учетный номер системного блока ПЭВМ, носителя информации, тип удаляемой конфиденциальной информации в соответствии с утвержденным ЦИК России перечнем персональных данных и иной конфиденциальной информации, способ уничтожения информации).
Председатель комиссии | ||||
(расшифровка подписи) | ||||
Члены комиссии: | ||||
(расшифровка подписи) | ||||
Специалист, обрабатывающий ПД | ||||
(расшифровка подписи) |
Приложение
к постановлению
Администрации Климовского района
от 01.01.2001 г. № 000
АКТ
уничтожения съемных носителей персональных данных
Комиссия в составе: ___________________________________________
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________
(председатель постоянно действующей комиссии, заместитель председателя комиссии, секретарь комиссии, члены комиссии, специалист, обрабатывающий ПД)
наделенная полномочиями на основании ____________________________________ от ____________________ № ____________,
провела отбор съемных носителей персональных данных, не подлежащих дальнейшему хранению:
№ п/п | Дата | Учетный номер съемного носителя | Пояснения |
Всего съемных носителей__________________________________________________
(цифрами и прописью)
На съемных носителях уничтожена конфиденциальная информация путем стирания ее на устройстве гарантированного уничтожения информации (механического уничтожения, сжигания и т. п.).
Перечисленные съемные носители уничтожены путем ____________________________________________________________________
(разрезания, демонтажа и т. п.),
измельчены и сданы для уничтожения предприятию по утилизации вторичного сырья_____________________________________ _____________________
(наименование предприятия) (дата)
Председатель комиссии | ||||
(расшифровка подписи) | ||||
Секретарь комиссии | ||||
(расшифровка подписи) | ||||
Члены комиссии: | ||||
(расшифровка подписи) |
Приложение
к постановлению
Администрации Климовского района
От 09.04.2013 г. № 000
ИНСТРУКЦИЯ
по обработке персональных данных без использования средств автоматизации в администрации Климовского района
1. Общие положения
1.1. Настоящая Инструкция разработана на основании требований Федерального закона Российской Федерации -ФЗ «О персональных данных», постановления Правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и устанавливает порядок обработки, распространения и использования персональных данных в администрации Климовского района (далее - Администрация) без использования средств автоматизации.
2. Конфиденциальность персональных данных
2.1. Оператором должна обеспечиваться конфиденциальность персональных данных работников, за исключением:
1) В случае обезличивания персональных данных.
2) В отношении общедоступных персональных данных. Общедоступные источники персональных данных могут включать с письменного согласия субъекта его фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2.2. Конфиденциальность достигается путем разграничения доступа персонала к бумажным носителям с персональными данными.
3. Условия обработки персональных данных
3.1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением следующих случаев:
1) Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
2) Обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
3) Обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных.
4) Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
5) Осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
4. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации
4.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
4.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
4.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; имя (наименование) и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных;
2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
4.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
4.6. Требования, предусмотренные пунктами 2.4 и 2.5 настоящей инструкции, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
4.7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации
5.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5.3. Учет документов по обработке персональных данных без использования автоматизированных систем должен производиться отдельным делопроизводством. На документах должна указываться пометка «Персональные данные». Документы должны храниться в надежно запираемых шкафах и сейфах. Ключи от них, а также от помещений должны находиться у ответственных за данную работу лиц.
5.4. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
