По датам
Введите даты для поиска:
Полезное
Выборки
Типы документов
Приказ министерства труда и социальной защиты населения Ставропольского края от 21.04.2014 N 265 "Об утверждении нормативных актов в области обработки и защиты персональных данных министерства труда и социальной защиты населения Ставропольского края"
МИНИСТЕРСТВО ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ
СТАВРОПОЛЬСКОГО КРАЯ
ПРИКАЗ
от 21 апреля 2014 г. № 265
ОБ УТВЕРЖДЕНИИ НОРМАТИВНЫХ АКТОВ В ОБЛАСТИ ОБРАБОТКИ
И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ТРУДА И СОЦИАЛЬНОЙ
ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
В соответствии с Федеральными законами "О персональных данных", "Об информации, информационных технологиях и о защите информации", Указом Президента Российской Федерации от 6 апреля 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера", постановлениями Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 01 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных" и иными нормативными правовыми актами Российской Федерации в области персональных данных приказываю:
1. Утвердить прилагаемые:
Положение об администраторах информационной безопасности в структурных подразделениях министерства труда и социальной защиты населения Ставропольского края;
Правила обработки и защиты персональных данных в министерстве труда и социальной защиты населения Ставропольского края;
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве труда и социальной защиты населения Ставропольского края;
Правила по установке, обновлению, модификации, техническому обслуживанию программного обеспечения и программно-аппаратных средств информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края, входящих в состав автоматизированной системы министерства труда и социальной защиты населения Ставропольского края;
Порядок доступа в помещения министерства труда и социальной защиты населения Ставропольского края, в которых ведется обработка персональных данных;
Инструкцию ответственного за организацию обработки и защиту персональных данных в министерстве труда и социальной защиты населения Ставропольского края;
Инструкцию по организации антивирусного контроля в министерстве труда и социальной защиты населения Ставропольского края;
Инструкцию администраторов автоматизированной системы министерства труда и социальной защиты населения Ставропольского края;
Инструкцию по организации учета, использования, хранения и уничтожения машинных носителей персональных данных в министерстве труда и социальной защиты населения Ставропольского края;
Инструкцию по организации парольной защиты министерства труда и социальной защиты населения Ставропольского края;
Инструкцию лиц, замещающих государственные должности, должности государственной гражданской службы в министерстве труда и социальной защиты населения Ставропольского края при обработке персональных данных в информационных системах персональных данных министерства труда и социальной защиты населения Ставропольского края в составе автоматизированных рабочих мест министерства труда и социальной защиты населения Ставропольского края;
Инструкцию по организации резервного копирования информации в информационных системах персональных данных министерства труда и социальной защиты населения Ставропольского края;
Инструкцию о порядке работы в локальной вычислительной сети министерства труда и социальной защиты населения Ставропольского края при использовании информационно-телекоммуникационных сетей международного обмена;
Перечень программного обеспечения входящего в минимальный набор устанавливаемого программного обеспечения на автоматизированное рабочее место лица, замещающего государственные должности, должности государственной гражданской службы в министерстве труда и социальной защиты населения Ставропольского края;
Перечень сетевых (информационных) ресурсов входящих в состав локальной вычислительной сети министерства труда и социальной защиты населения Ставропольского края;
Форму заявки на предоставление лицам, замещающих должности государственной гражданской службы в министерстве труда и социальной защиты и населения Ставропольского края доступа к информационной среде министерства труда и социальной защиты населения Ставропольского края;
Форму заявки на исключение (изменение) прав доступа лица замещающего должность государственной гражданской службы в министерстве труда и социальной защиты и населения Ставропольского края из информационной среды министерства труда и социальной защиты населения Ставропольского края;
Форму карты персонального доступа лица, замещающего должность государственной гражданской службы в министерстве труда и социальной защиты населения Ставропольского края.
2. Начальнику отдела информационных технологий и организации предоставления государственных услуг в электронной форме Толоконникову С.В. разработать и утвердить:
матрицу доступа лиц, замещающих государственные должности, должности государственной гражданской службы в министерстве труда и социальной защиты населения Ставропольского края к автоматизированной системе министерства труда и социальной защиты населения Ставропольского края;
модели угроз для информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края;
план осуществления внутреннего контроля соответствия обработки персональных данных в министерстве труда и социальной защиты населения Ставропольского края требованиям к защите персональных данных на 2014 год;
схему локальной вычислительной сети (логическая, физическая) министерства труда и социальной защиты населения Ставропольского края;
схемы расположения автоматизированных рабочих мест, в состав которых входят информационные системы персональных данных министерства труда и социальной защиты населения Ставропольского края (схема контролируемой зоны по каждому этажу отдельно).
3. Границей контролируемой зоны министерства труда и социальной защиты населения Ставропольского края считать ограждающие конструкции помещений, в которых располагаются компоненты информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края.
4. Признать утратившими силу приказы министерства социальной защиты населения Ставропольского края:
от 29 декабря 2012 г. № 511 "Об утверждении перечня должностей служащих, необходимых для обеспечения деятельности министерства по обработке и защите персональных данных в информационных системах персональных данных министерства социальной защиты населения Ставропольского края";
от 29 декабря 2012 г. № 512 "О назначении администраторов информационной безопасности, ответственных за организацию взаимодействия структурных подразделений с администратором безопасности при обработке персональных данных в министерстве социальной защиты населения Ставропольского края";
от 29 декабря 2012 г. № 525 "Об утверждении нормативных актов в области обработки и защиты персональных данных министерства социальной защиты населения Ставропольского края".
5. Контроль за исполнением настоящего приказа возложить на первого заместителя министра Губанова В.В.
Министр
И.И.УЛЬЯНЧЕНКО
Утверждено
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ПОЛОЖЕНИЕ
ОБ АДМИНИСТРАТОРАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СТРУКТУРНЫХ
ПОДРАЗДЕЛЕНИЯХ МИНИСТЕРСТВА ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ
НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Общие положения
1.1. Настоящее Положение определяет задачи, функции, обязанности, права и ответственность администраторов информационной безопасности в структурных подразделениях министерства труда и социальной защиты населения Ставропольского края (далее соответственно - АИБ, министерство).
1.2. АИБ назначаются в соответствии утверждаемым приказом перечнем должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, являющихся администраторами информационной безопасности в структурных подразделениях министерства в целях контроля, с позиций собственников и владельцев информации, режима информационной безопасности в структурных подразделениях министерства, соответствия полномочий и прав доступа лиц, замещающих государственные должности, должности государственной гражданской службы в министерстве (далее - пользователи) к информационным ресурсам министерства в рамках их должностных обязанностей и своевременного реагирования на нештатные ситуации при обработке персональных данных, путем исключения несанкционированного, в том числе случайного, доступа к персональным данным министерства.
1.3. АИБ в своей деятельности руководствуются Федеральными законами "Об информации, информационных технологиях и о защите информации", "О персональных данных", законодательством Российской Федерации в области персональных данных, руководящими и нормативными документами Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России) и Федеральной службы безопасности Российской Федерации (ФСБ России), нормативными актами министерства в области персональных данных и эксплуатационной документацией на установленные средства защиты и средства криптографической защиты информации на автоматизированные рабочие места и информационные системы персональных данных министерства (далее соответственно - АРМ, ИСПДн).
1.4. АИБ в пределах своих функциональных обязанностей обеспечивает безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники и машинных носителей персональных данных в своем структурном подразделении.
1.5. Инструктивно-методическое руководство деятельностью АИБ осуществляется ответственным за организацию обработки и защиту персональных данных (далее - ответственное лицо) уполномочиваемым приказом министерства и администраторами автоматизированной системы министерства (далее - администраторы АС), в соответствии с утверждаемым приказом министерства перечнем должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края.
2. Основные задачи, функции и контроль АИБ
2.1. Основными задачами АИБ структурного подразделения министерства являются:
контроль за эксплуатацией технических и программных средств, систем защиты информации в своем структурном подразделении;
контроль за работой лиц, замещающих должности государственной гражданской службы в министерстве, выявления и регистрация попыток несанкционированного доступа к АРМ и защищаемым информационным ресурсам министерства (далее - НСД);
организация антивирусного контроля машинных носителей персональных данных и файлов электронной почты, поступающих из других структурных подразделений и сторонних организаций;
хранение выданных машинных носителей персональных данных;
участие в реализации мероприятий, направленных на контроль доступа пользователей министерства к информационным ресурсам министерства и эксплуатации пользователями средств и систем защиты информации.
2.2. Основными функциями АИБ структурного подразделения министерства являются:
определение, формирование и распределение полномочий пользователей, необходимых правил разграничения и контроля доступа к ИСПДн и информационным ресурсам министерства;
определение перечня ИСПДн структурного подразделения министерства, подлежащих защите, в соответствии с законодательством Российской Федерации;
обучение пользователей правилам безопасной обработки, передачи и хранения персональных данных;
доведение до пользователей их полномочий при работе с прикладным программным обеспечением не входящего в минимальный набор устанавливаемого программного обеспечения в составе АРМ пользователя, а также правил разграничения и системы контроля доступа к ИСПДн и информационным ресурсам министерства (далее - ПО);
контроль за разрешительной системой доступа пользователей к ИСПДн структурного подразделения, а также их уровень прав доступа к обрабатываемым персональным данным в ИСПДн и информационным ресурсам министерства;
формирование и подача по форме заявки, утверждаемой приказом министерства на предоставление доступа к информационной среде министерства, в случае приема нового лица на замещение должности государственной гражданской службы в структурное подразделение министерства, не позднее одного дня за выходом приказа о назначении на должность начальнику отдела информационных технологий и организации предоставления государственных услуг в электронной форме (далее - отдел информационных технологий). На основании поданной заявки оформляется карта персонального доступа к информационной среде министерства по форме, утверждаемой приказом министерства;
подача по форме заявки, утверждаемой приказом министерства, в случае увольнения лица, замещавшего должность государственной гражданской службы в министерстве или перехода его в другое структурное подразделение министерства, в отдел информационных технологий на исключение (изменение) его прав доступа из информационной среды министерства. Заявка должна быть подана в срок не позднее одного рабочего дня, следующего за днем выхода приказа об увольнении (переходе);
получение в отделе информационных технологий машинных носителей персональных данных под роспись в журнале учета машинных носителей персональных данных;
организация уничтожения информации на машинных носителях персональных данных, подлежащих списанию, передаче в другие структурные подразделения или третьим лицам;
участие в разборе фактов нарушения или угрозы нарушения безопасности защищаемой информации;
обезличивание персональных данных в соответствии с утверждаемыми приказом министерства Правилами обработки и защиты персональных данных в министерстве труда и социальной защиты населения Ставропольского края.
2.3. АИБ осуществляет контроль в своем структурном подразделении:
функционирования средств и систем защиты информации в пределах возложенных на него обязанностей;
целостности эксплуатируемого на АРМ программного обеспечения с целью выявления несанкционированных изменений в нем;
за санкционированным изменением ПО, заменой и ремонтом АРМ;
выполнения сотрудниками структурного подразделения режима информационной безопасности и соблюдения требований нормативных актов министерства в области персональных данных;
отсутствия информации, содержащей персональные данные на машинных носителях персональных данных, подлежащих списанию, передачи в другой отдел или третьим лицам, а также при обслуживании АРМ третьими лицами.
3. Обязанности АИБ
3.1. АИБ обязан:
обеспечивать функционирование и поддерживать работоспособность средств и систем защиты информации в пределах возложенных на него функций;
решать задачи и выполнять функции, установленные настоящим Положением;
знать документы, регламентирующие обеспечение информационной безопасности в министерстве, нормативные акты министерства в области персональных данных;
уведомлять ответственное лицо о выявленных нарушениях и НСД пользователей и обслуживающего персонала, принимать необходимые меры по устранению нарушений, привлекая ответственное лицо и администраторов автоматизированных систем министерства;
совместно с администраторами автоматизированных систем министерства принимать меры по восстановлению потерянной информации, а также работоспособности средств защиты информации;
оказывать консультативную помощь пользователям по вопросам использования средств и систем защиты информации.
4. Права АИБ
4.1. АИБ имеет право:
требовать от пользователей своего структурного подразделения и обслуживающего персонала безусловного соблюдения установленной технологии обработки информации и выполнения требований информационной безопасности;
запрашивать в отделе информационных технологий информацию о полномочиях и правах доступа, предоставленных на данный момент пользователям структурного подразделения;
обращаться к ответственному лицу с требованием о прекращении обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств защиты;
приостанавливать доступ пользователей к ИСПДн и прикладному ПО при нарушении ими требований информационной безопасности, отсутствии производственной необходимости доступа к данным ресурсам;
приостановить обработку информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации, а также о приостановлении работ по изменению ИСПДн и технологий при отсутствии согласованных решений по защите информации;
обращаться в отдел информационных технологий за оказанием методической помощи по обеспечению информационной безопасности;
обращаться в отдел информационных технологий с замечаниями и предложениями по совершенствованию систем защиты информации и отдельных ее компонентов.
5. Порядок действий в случае выявления
нарушений режима информационной безопасности
5.1. В случае выявления нарушений режима информационной безопасности АИБ обязан:
немедленно информировать о факте нарушения ответственное лицо и администраторов автоматизированной системы;
самостоятельно, а, при необходимости, совместно с ответственным лицом и администраторами автоматизированной системы определить и принять меры по предотвращению наступления негативных последствий нарушения;
совместно с ответственным лицом и администраторами автоматизированной системы выявить возможные причины возникновения нарушения, и принять меры по предотвращению подобных нарушений в дальнейшем;
составить по факту нарушения служебную записку на имя начальника отдела информационных технологий с указанием возможных причин нарушения и принятых мер.
5.2. В случае, когда нарушение режима безопасности повлекло материальный ущерб или НСД к информации, содержащей персональные данные, проводится служебная проверка с привлечением ответственного лица. В ходе служебной проверки устанавливаются причины возникновения нарушения, разрабатывается комплекс мер по локализации последствий, устранению причин, недопущению его впредь и усилению системы защиты от НСД и действенности контроля.
6. Ответственность АИБ
На АИБ возлагается персональная ответственность за полноту и качество проводимых им работ в соответствии с функциональными обязанностями, определенными настоящим Положением.
Первый заместитель министра
В.В.ГУБАНОВ
Утверждены
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ
СТАВРОПОЛЬСКОГО КРАЯ
1. Внутренний контроль соответствия обработки персональных данных в министерстве труда и социальной защиты населения Ставропольского края требованиям к защите персональных данных направлен на выявление и предотвращение нарушений требований законодательства Российской Федерации в области персональных данных и осуществляется путем проведения проверок условий обработки персональных данных и соответствия обработки персональных данных требованиям, установленным законодательством Российской Федерации в области персональных данных, и принятыми в соответствии с ними нормативными актами министерства труда и социальной защиты населения Ставропольского края (далее соответственно - внутренний контроль, проверки соответствия обработки персональных данных установленным требованиям, министерство).
2. Проведение проверок соответствия обработки персональных данных установленным требованиям организуется ответственным за организацию обработки и защиту персональных данных в министерстве на основании ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных в министерстве труда и социальной защиты населения Ставропольского края требованиям к защите персональных данных, утверждаемого министром труда и социальной защиты населения Ставропольского края (далее соответственно - ответственное лицо, министр).
3. Проведение внеплановых проверок соответствия обработки персональных данных установленным требованиям организуется ответственным лицом на основании поступившего в министерство письменного заявления субъекта персональных данных или его представителя о нарушениях правил обработки персональных данных в течение 3 рабочих дней со дня поступления соответствующего заявления.
4. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает соответствие установленным уровням защищенности персональных данных;
соблюдение правил хранения и доступа к документам содержащих персональные данные;
порядок и условия применения средств защиты информации и средств криптографической защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных в информационных системах персональных данных министерства;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер их защиты;
выполнение мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
выполнение мероприятий по обеспечению целостности персональных данных.
5. Проверка соответствия обработки персональных данных установленным требованиям должна быть завершена в течение месяца со дня принятия решения о ее проведении.
6. Результаты проведения проверки соответствия обработки персональных данных установленным требованиям в виде письменного доклада (далее - доклад по результатам проверки) доводятся ответственным лицом до сведения министра.
7. Доклад по результатам проверки должен содержать одно из следующих заключений:
в деятельности министерства отсутствуют нарушения требований законодательства Российской Федерации в области персональных данных;
в деятельности министерства выявлены нарушения требований законодательства Российской Федерации в области персональных данных. В этом случае в заключении также указываются: характер выявленных нарушений требований законодательства Российской Федерации в области персональных данных (с указанием конкретных статей и (или) пунктов нормативных правовых актов Российской Федерации, требования которых были нарушены); лица, замещающие государственные должности, должности государственной гражданской службы в министерстве и допустившие данные нарушения (далее - лица); предложения по пресечению и предупреждению нарушений требований законодательства Российской Федерации в области персональных данных.
8. На основании представленного доклада по результатам проверки министр принимает соответствующее решение.
9. Лица, виновные в нарушении требований законодательства Российской Федерации в области персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.
Первый заместитель министра
В.В.ГУБАНОВ
Утверждены
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ПРАВИЛА
ПО УСТАНОВКЕ, ОБНОВЛЕНИЮ, МОДИФИКАЦИИ,
ТЕХНИЧЕСКОМУ ОБСЛУЖИВАНИЮ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
И ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ИНФОРМАЦИОННЫХ СИСТЕМ
ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ТРУДА И СОЦИАЛЬНОЙ
ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ, ВХОДЯЩИХ В СОСТАВ
АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ МИНИСТЕРСТВА ТРУДА И СОЦИАЛЬНОЙ
ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Общие положения
1.1. Настоящие Правила регламентируют обеспечение безопасности информации при проведении обновлений, модификаций программного обеспечения, технического обслуживания средств, входящих в состав автоматизированной системы министерства труда и социальной защиты населения Ставропольского края (далее - министерство) и при возникновении нештатных ситуаций в работе информационных систем персональных данных министерства (далее соответственно - ПО, АРМ, ИСПДн).
1.2. Все изменения конфигурации технических и программных средств защищенных серверов ИСПДн министерства должны производиться только администраторами автоматизированной системы (далее - администраторы АС), в соответствии с утверждаемым приказом министерства перечнем должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных, по согласованию с ответственным за организацию обработки и защиту персональных данных министерства, уполномочиваемым приказом министерства (далее - ответственное лицо).
1.3. Право внесения изменений в конфигурацию программно-аппаратных средств защищенных АРМ и серверов программного обеспечения предоставляется администраторам АС, изменение конфигурации программно-аппаратных средств защищенных АРМ и серверов иными лицами запрещено.
1.4. Внесение изменений в конфигурацию системного и прикладного ПО, не требующих защиты, предоставляется лицам, замещающим должности государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края (далее - лица, ответственные за техническое обслуживание) по предварительному согласованию с начальником отдела информационных технологий и начальниками данных структурных подразделений.
2. Общий порядок действий администратора АС министерства
при обновлении общесистемного и прикладного программного
обеспечения, технического обслуживания АРМ, ИСПДн
в структурном подразделении министерства
2.1. Администраторами АС производится подготовка обновления, модификации общесистемного и прикладного ПО ИСПДн, тестирование, стендовые испытания (при необходимости) и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного ПО, внесение необходимых изменений в настройки средств защиты от несанкционированного доступа и средств контроля целостности файлов на АРМ, (обновление) и удаление системных и прикладных программных средств.
2.2. Установка или обновление подсистем ИСПДн должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
2.3. Установка и обновление ПО (системного, тестового и т.п.) на АРМ производится только с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т.п.), полученных установленным порядком, прикладного ПО - с эталонных копий программных средств, полученных из архива дистрибутивов установленного программного обеспечения.
2.4. Все добавляемые программные и аппаратные компоненты должны быть предварительно в установленном порядке проверены на работоспособность, а также отсутствие опасных функций.
2.5. После установки (обновления) ПО, администраторы АС должны произвести требуемые настройки средств управления доступом к компонентам АРМ, проверить работоспособность ПО, правильность их настройки. После завершения работ по внесению изменений в состав аппаратных средств защищенного АРМ делается соответствующая запись в Журнале учета нештатных ситуаций, выполнения профилактических работ, установки и модификации аппаратных и программных средств на автоматизированных рабочих местах, по форме приложения 1 к настоящей Инструкции, АРМ опечатывается (пломбируется, защищается специальной наклейкой) и производится соответствующая запись в Журнале учета пломб автоматизированных рабочих мест в министерстве труда и социальной защиты населения Ставропольского края, по форме устанавливаемой Инструкцией по организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации в министерстве труда и социальной защиты населения Ставропольского края.
2.6. При изъятии АРМ из состава структурного подразделения для передачи в ремонт, на склад или в другое структурное подразделение для решения иных задач осуществляется только после того, как администраторы АС предпримут необходимые меры для удаления информации, содержащей персональные данные, которая хранилась на машинных носителях.
3. Порядок проверки работоспособности системы защиты
после установки (обновления) программных средств ИСПДн
3.1. После установки (обновления) программных средств АРМ администраторы АС обязаны проверить работоспособность АРМ и правильность настройки средств защиты, установленных на АРМ.
3.2. При установке нового (обновлении существующего) ПО администраторы АС обязаны:
установить права доступа пользователей системы к файлам программного средства таким образом, как это указано в формуляре на ПО (задачу);
средствами системы Secret Net подсчитать контрольные суммы файлов программных средств;
если для пользователя, использующего установленное программное средство, установлен режим замкнутой программной среды, необходимо средствами системы Secret Net добавить в список разрешенных ему для запуска программ исполняемые модули данного пакета.
После осуществления данных действий необходимо проверить корректность функционирования системы защиты, для чего требуется произвести следующие действия:
для каждого пользователя АРМ, для которого установлен режим замкнутой программной среды, требуется проверить работоспособность установленного программного средства и сохранение режима замкнутой программной среды;
в режиме пользователя АРМ необходимо проверить возможность удаления вновь установленных (обновленных) файлов.
Первый заместитель министра
В.В.ГУБАНОВ
Приложение 1
к Правилам
по установке, обновлению, модификации
и техническому обслуживанию программного
обеспечения и аппаратных средств информационных
систем персональных данных министерства
социальной защиты населения Ставропольского края
Форма
Министерство труда и социальной защиты населения
Ставропольского края
____________________________________________________________
(наименование отдела)
ДЕЛО № __________
ЖУРНАЛ
учета нештатных ситуаций, выполнения профилактических работ,
установки и модификации аппаратных и программных
средств на автоматизированных рабочих местах
Журнал начат "___" _______ 201_ г. Журнал завершен "___" _______ 201_ г.
Ответственный за ведение журнала: _________________________________________
(наименование, должность)
_____________________ ____________________ /______________________________/
(Ф.И.О.) (подпись) (расшифровка подписи)
_____________________ ____________________ /______________________________/
(Ф.И.О.) (подпись) (расшифровка подписи)
На ____ листах
г. Ставрополь, 20__ год
№ п/п
Дата
Краткое описание выполненной работы (нештатной ситуации)
Ф.И.О. исполнителя, подпись
Примечание
1
2
3
4
5
Утвержден
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ПОРЯДОК
ДОСТУПА В ПОМЕЩЕНИЯ МИНИСТЕРСТВА ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ
НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящий Порядок разработан с целью обеспечения безопасности персональных данных, средств вычислительной техники, информационных систем персональных данных, машинных носителей персональных данных, а также обеспечения внутриобъектового режима министерства труда и социальной защиты населения Ставропольского края (далее соответственно - ИСПДн, министерство).
1.2. В настоящем Порядке используются следующие перечни, утверждаемые приказом министерства:
должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края ответственных за техническое обслуживание информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края, в том числе в данный перечень включены администраторы автоматизированной системы (далее соответственно - лица, ответственные за техническое обслуживание, администраторы АС);
государственных должностей, должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, замещение которых дает право обработки персональных данных либо доступа к персональным данным с использованием автоматизированной обработки персональных данных (далее - пользователи).
1.3. Под внутриобъектовым режимом понимается комплекс организационно-технических мероприятий, регламентирующих пребывание и перемещение лиц на охраняемых объектах министерства, в соответствии с требованиями внутреннего трудового распорядка, личной и информационной безопасности.
1.4. Под объектами охраны министерства следует понимать помещения, в которых:
ведется обработка персональных данных и (или) хранятся документы и другие носители информации, содержащие персональные данные (далее - помещения, в которых ведется обработка персональных данных);
установлены компьютеры, сервера и коммутационное оборудование, участвующее в обработке персональных данных;
хранятся машинные носители персональных данных;
хранятся резервные копии персональных данных.
1.5. Бесконтрольный доступ посторонних лиц в помещения указанные в подпункте 1.4 настоящего Порядка должен быть исключен.
1.6. К помещениям, в которых установлены криптографические средства защиты информации (КриптоПро, VipNet Client) в составе автоматизированных рабочих мест пользователей, предназначенные для шифрования персональных данных (далее соответственно - спецпомещения, криптосредства, АРМ), предъявляются ужесточенные требования по безопасности.
1.7. Все спецпомещения министерства должны быть оборудованы охранной сигнализацией и устройствами для опечатывания дверей.
1.8. Пользователи несут ответственность за соблюдение требований настоящего Порядка.
1.9. Контроль за соблюдением пользователями требований настоящего Порядка обеспечивает ответственный за организацию обработки и защиту персональных данных в министерстве, уполномочиваемый приказом министерства (далее - ответственное лицо).
2. Доступ в помещения, в которых ведется
обработка персональных данных
2.1. Доступ в помещения, в которых ведется обработка персональных данных, осуществляется с учетом требований обеспечения безопасности информации и исключения доступа к персональным данным посторонних лиц.
2.2. Министр труда и социальной защиты населения Ставропольского края (далее - министр), первый заместитель, заместители министра, а также ответственное лицо и лица, ответственные за техническое обслуживание имеют право самостоятельного доступа во все помещения министерства.
2.3. Право самостоятельного доступа пользователей в помещения, в которых ведется обработка персональных данных, а также обеспечение пользователей личными металлическими номерными печатями оформляется после подписания ими обязательства лица, замещающего должность, замещение которой дает право обработки персональных данных либо доступа к персональным данным в министерстве, по соблюдению требований законодательства Российской Федерации в области персональных данных по форме приложения, устанавливаемого Правилами обработки и защиты персональных данных в министерстве труда и социальной защиты населения Ставропольского края и инструктажа ответственного лица.
2.4. Список пользователей, имеющих право самостоятельного доступа в помещение оформляется по форме приложения 1 к настоящему Порядку и размещается на входной двери с внутренней стороны данного помещения.
2.5. Доступ посторонних лиц в помещения, в которых ведется обработка персональных данных, должен осуществляется только по служебной необходимости. На момент присутствия посторонних лиц в помещении, пользователями должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными. Например: мониторы повернуты в сторону от посторонних лиц, документы, содержащие персональные данные убраны в стол, либо находятся в непрозрачной папке (накрыты чистыми листами бумаги).
2.6. Ответственность за доступ в помещение, в котором ведется обработка персональных данных, посторонних лиц возлагается на пользователей.
2.7. В нерабочее время помещения, в которых ведется обработка персональных данных, должны закрываться пользователями на ключ и опечатываться личными металлическими номерными печатями. Ключи должны быть сданы на охрану под запись в журнале. Все окна и двери в смежные помещения должны быть надежно закрыты, съемные машинные носители персональных данных должны быть убраны в запираемые шкафы (сейфы), АРМ выключены либо заблокированы.
2.8. Уборка помещений, в которых ведется обработка персональных данных, должна производиться только в присутствии пользователей.
3. Допуск в серверные помещения
3.1. Доступ в серверные помещения разрешен ответственному лицу и лицам, ответственным за техническое обслуживание.
3.2. Уборка серверных помещений производится только в присутствии и при строгом контроле ответственного лица или лиц, ответственных за техническое обслуживание.
3.3. Серверное помещение в обязательном порядке оснащается охранной сигнализацией, системой видеонаблюдения и системой автономного питания средств охраны.
3.4. Доступ в серверные помещения посторонних лиц допускается строго по согласованию с ответственным лицом.
3.5. Самостоятельное нахождение в серверных помещениях посторонних лиц не допустимо.
4. Допуск пользователей в спецпомещения
4.1. Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.
4.2. Размещение, специальное оборудование, охрана и организация режима в спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
4.3. Для предотвращения просмотра извне спецпомещений их окна должны быть защищены.
4.4. Спецпомещения должны быть оснащены охранной сигнализацией, связанной со службой охраны здания министерства.
4.5. Для хранения ключевых документов, эксплуатационной и технической документации и инсталлирующих криптосредства носителей должно быть предусмотрено необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами. Экземпляр ключа от хранилища должен находиться у ответственного лица, второй - у администраторов АС.
4.6. По окончании рабочего дня спецпомещение и установленные в нем хранилища должны быть закрыты.
4.7. При утрате ключа от хранилища или от входной двери в спецпомещение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает ответственное лицо.
4.8. Спецпомещения и находящиеся в них опечатанные хранилища могут быть вскрыты только пользователями криптосредств, ответственным лицом или администраторами АС.
4.9. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в спецпомещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено ответственному лицу. Прибывшее ответственное лицо должен оценить возможность компрометации хранящихся ключевых и других документов и принять меры к локализации последствий компрометации персональных данных и к замене скомпрометированных криптоключей.
4.10. Размещение и монтаж криптосредств, а также другого оборудования, функционирующего с криптосредствами, в спецпомещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие посторонних лиц, не допущенных к работе с данными криптосредствами.
4.11. На время отсутствия пользователей криптосредств указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае по согласованию с ответственным за организацию обработки и защиту персональных данных необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.
Первый заместитель министра
В.В.ГУБАНОВ
Приложение 1
к Порядку
доступа в помещения министерства
труда и социальной защиты населения
Ставропольского края, в которых
ведется обработка персональных данных
Форма
УТВЕРЖДАЮ
первый заместитель министра
__________________ (Ф.И.О.)
___ __________ 20__ г.
СПИСОК
лиц _______________________________________________________
в министерстве труда и социальной защиты населения
Ставропольского края, имеющих право самостоятельного
доступа в помещение ____________________
(номер кабинета)
№ п/п
Ф.И.О.
Должность
Номер личной металлической печати
1.
СОГЛАСОВАНО СОГЛАСОВАНО
начальник отдела информационных начальник отдела _______________
технологий и организации ________________________________
предоставления государственных (наименование отдела)
услуг в электронной форме
_______________________ (Ф.И.О.) _______________________ (Ф.И.О.)
___ __________ 20__ г. ___ __________ 20__ г.
Утверждена
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ АНТИВИРУСНОГО КОНТРОЛЯ В МИНИСТЕРСТВЕ ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Общие положения
1.1. Настоящая Инструкция определяет требования к организации защиты автоматизированных рабочих мест министерства труда и социальной защиты населения Ставропольского края (далее соответственно - АРМ, министерство) от разрушающего воздействия компьютерных вирусов и устанавливает ответственность лиц, замещающих государственные должности, должности государственной гражданской службы в министерстве, эксплуатирующих информационные системы персональных данных министерства в составе АРМ, за их выполнение (далее соответственно - ИСПДн, пользователь).
1.2. В настоящей Инструкции используются следующие перечни, утверждаемые приказом министерства:
должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края, в том числе в данный перечень включены администраторы автоматизированной системы (далее - администраторы АС);
должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, являющихся администраторами информационной безопасности в структурных подразделениях министерства (далее - АИБ).
1.3. К использованию на АРМ и серверах допускаются лицензионные и сертифицированные Федеральной службой по техническому и экспортному контролю антивирусные средства.
1.4. Установка средств антивирусного контроля на АРМ и сервера осуществляется администраторами АС.
1.5. Настройка параметров средств антивирусного контроля осуществляется администраторами АС в соответствии с руководствами по применению конкретных антивирусных средств.
2. Применение средств антивирусного контроля
2.1. В целях обеспечения антивирусной защиты в ИСПДн министерства вводится антивирусный контроль.
2.2. Обновление антивирусных баз на АРМ и серверах проводится в автоматическом режиме ежедневно, не реже двух раз в день.
2.3. Администраторы АС ежедневно осуществляют контроль обновлений антивирусного программного обеспечения и его работоспособность на серверах и АРМ.
2.4. Полная антивирусная проверка проводится на АРМ и серверах в автоматическом режиме, еженедельно.
2.5. Ответственность за поддержание установленного в настоящей Инструкции порядка проведения антивирусного контроля возлагается на администраторов АС.
2.6. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы, файлы данных, исполняемые файлы, электронные архивы), получаемая и передаваемая по телекоммуникационным каналам, а также информация, содержащая персональные данные на машинных носителях персональных данных (магнитных дисках, CD и DVD-дисках, flash-накопителях, HDD и т.п.).
2.7. При обнаружении компьютерных вирусов АИБ немедленно ставят в известность администраторов АС и прекращают какие-либо действия на АРМ.
2.8. Администраторы АС проводят "лечение зараженных файлов" путем выбора соответствующего пункта меню антивирусной программы и после этого вновь проводят антивирусный контроль.
2.9. В случае обнаружения на машинном носителе персональных данных нового вируса, не поддающегося лечению, администраторы АС запрещают использование машинного носителя персональных данных и выполняет следующую последовательность действий:
перемещают инфицированный файл в соответствующую папку антивирусного средства защиты;
проверяют работоспособность АРМ;
запрещают работу на соответствующем АРМ;
в кратчайшие сроки предпринимают все меры по ликвидации последствий заражения компьютерными вирусами. В случае отказа работоспособности АРМ - выполняют восстановление соответствующего программного обеспечения.
2.10. Устанавливаемое (изменяемое) программное обеспечение на АРМ и сервера должно быть предварительно проверено администраторами АС на отсутствие вирусов.
3. Ответственность
3.1. Ответственность за организацию и проведение антивирусного контроля в структурных подразделениях министерства, эксплуатирующих АРМ, в соответствии с требованиями настоящей Инструкции возлагается на администраторов АС.
3.2. Периодический контроль, не реже одного раза в день, за состоянием антивирусной защиты, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции пользователями осуществляется администраторами АС.
Первый заместитель министра
В.В.ГУБАНОВ
Утверждена
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ИНСТРУКЦИЯ
АДМИНИСТРАТОРОВ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ МИНИСТЕРСТВА
ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Общие положения
1.1. Настоящая инструкция определяет общие функции, права и обязанности администраторов автоматизированной системы министерства труда и социальной защиты населения Ставропольского края (далее - министерство), в соответствии с утверждаемым приказом перечнем должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края (далее - администраторы АС), по вопросам обеспечения информационной безопасности при подготовке и обработке персональных данных в информационных системах персональных данных министерства, входящих в состав автоматизированных рабочих мест министерства (далее соответственно - АРМ, ИСПДн).
1.2. Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
1.3. Администраторы АС обеспечивают правильное использование и функционирование автоматизированной системы министерства, а также установленных средств защиты информации от несанкционированного доступа и средств криптографической защиты информации (далее соответственно - СЗИ, НСД, СКЗИ).
1.4. Администраторы АС имеют все права доступа ко всем ИСПДн министерства.
1.5. Администраторы АС в своей деятельности руководствуются Федеральными законами "Об информации, информационных технологиях и о защите информации", "О персональных данных", постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", руководящими и нормативными документами Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Федеральной службы безопасности Российской Федерации (ФСБ России), нормативными актами министерства в области защиты персональных данных, эксплуатационной документацией на установленные СЗИ от НСД.
2. Основные функции администратора АС
2.1. Основными функциями администраторов АС являются:
1) поддержание необходимого уровня безопасности ИСПДн министерства;
2) контроль за выполнением требований нормативных правовых актов Российской Федерации по защите персональных данных, при проведении работ на АРМ и обработке персональных данных в ИСПДн;
3) обеспечение руководства над функционированием системы парольной защиты автоматизированной системы министерства;
4) выдача пользователям персонального логина и пароля для доступа к АРМ;
5) учет и выдача пользователям индивидуальных электронных идентификаторов (E-Token и так далее);
6) работа с учетными записями пользователей (удаление, регистрация новых пользователей), их правильная настройка и разграничение прав доступа пользователей к защищаемым ресурсам ИСПДн согласно разрешительной системе доступа;
7) контроль доступа пользователей к работе на АРМ и в ИСПДн, в соответствии с перечнем государственных должностей, должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, замещение которых дает право обработки персональных данных либо доступа к персональным данным с использованием автоматизированной обработки персональных данных, утверждаемым приказом министерства;
8) просмотр системного журнала СЗИ от НСД;
9) контроль за работоспособностью СКЗИ;
10) своевременная корректировка разрешительной системы доступа:
изменение списка постоянных пользователей (ввод или удаление пользователя из ИСПДн);
изменение прав доступа к защищаемым программным ресурсам или портам ввода-вывода ИСПДн;
настройка и сопровождение подсистемы регистрации и учета действий пользователей при работе на АРМ, в том числе и в части периодического контроля за печатью файлов пользователей на принтере и соблюдением установленных правил и параметров регистрации и учета документов, бумажных и машинных носителей информации персональных данных;
11) реализация политики в части настройки средств криптографической защиты информации, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь получает возможность работать с элементами ИСПДн;
12) контроль за отсутствием на машинных носителях персональных данных остаточной информации по окончании работы пользователей;
13) осуществление контроля за регистрацией и порядком работы пользователей с машинными носителями информации, поступающими из сторонних организаций;
14) поддержание установленного порядка и правил антивирусной защиты информации, обрабатываемой на АРМ и серверах;
15) контроль за соблюдением пользователями инструкции по организации антивирусного контроля в министерстве;
16) контроль за наличием и целостностью пломб на корпусе АРМ и устройств;
17) контроль за вскрытием и ремонтом (модернизацией) АРМ, недопущением доступа посторонних лиц к информации, содержащей персональные данные во время вскрытия, ремонта, модернизации АРМ или устройств, входящих в состав АРМ, опечатыванием АРМ (устройств), с последующим составлением акта вскрытия АРМ, по форме приложения 1 к настоящей Инструкции;
18) контроль срока действия сертификатов соответствия ФСТЭК России на СЗИ от НСД, установленных на АРМ;
19) контроль за реализацией требований по обеспечению безопасности информации при использовании паролей и их своевременную смену в АРМ и ИСПДн;
20) проведение проверки целостности носителей с использованием стандартных средств операционной системы, установленных на АРМ;
21) ведение журналов министерства:
учета машинных носителей персональных данных по форме приложения 2 к настоящей Инструкции;
поэкземплярного учета средств защиты информации (СЗИ) по форме приложения 3 к настоящей Инструкции;
поэкземплярного учета средств криптографической защиты информации (СКЗИ) по форме приложения 4 к настоящей Инструкции.
3. Права администраторов АС
3.1. Администраторы АС имеют право:
1) требовать от пользователей соблюдения установленной технологии обработки информации и исполнения настоящей Инструкции;
2) участвовать в анализе ситуаций, касающихся функционирования средств защиты информации, и расследованиях фактов (попыток) НСД;
3) требовать от пользователей прекращения обработки информации в ИСПДн в случае:
нарушения установленного порядка работ;
нарушения работоспособности средств и систем защиты информации или окончания срока действия сертификатов соответствия ФСБ России или ФСТЭК России;
получения информации о возможном проведении технической разведки в отношении ИСПДн.
4. Обязанности администраторов АС
4.1. Администраторы АС обязаны:
1) знать и выполнять требования нормативных правовых актов Российской Федерации, а также нормативных актов министерства в области защиты персональных данных;
2) обеспечивать доступ пользователей к ресурсам ИСПДн в строгом соответствии с приказом министерства от __________ № __________;
3) обеспечивать установку, настройку и своевременное обновление:
ИСПДн;
программного обеспечения АРМ и серверов (операционные системы, прикладное и специальное программное обеспечение);
программно-аппаратных СЗИ от НСД;
СЗИ от НСД и средств криптографической защиты информации;
4) обеспечивать работоспособность ИСПДн;
5) обеспечивать работоспособность локальной вычислительной сети и министерства;
6) обеспечивать правильное функционирование и поддерживать работоспособность СЗИ от НСД в пределах, возложенных на него функций;
7) принимать меры в случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе средств защиты информации, по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности;
8) обеспечивать резервное копирование и восстановление баз данных ИСПДн;
9) осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных документов;
10) обеспечить установку программных средств системы антивирусной защиты ИСПДн с последующей проверкой их работоспособности;
11) обеспечить сопровождение, включающее регулярное обновление программных средств системы антивирусной защиты. При возникновении нештатных ситуаций организовать оперативное восстановление системы защиты антивирусной защиты ИСПДн;
12) осуществлять контроль за обновлением антивирусных баз на АРМ;
13) регистрировать и анализировать факты, связанные с обнаружением вредоносных программ в ИСПДн;
14) при выявлении действий вредоносных программ приостановить доступ пользователей к ресурсам ИСПДн до устранения последствий;
15) проводить периодический контроль принятых мер по защиты, в пределах, возложенных на него функций;
16) хранить, осуществлять прием и выдачу персональных паролей пользователей;
17) обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации;
18) информировать ответственного за организацию обработки и защиту персональных данных о фактах и попытках НСД к ИСПДн, о неправомерных действиях пользователей ИСПДн или иных лиц, приводящих к нарушению требований по защите информации, а также об иных нарушениях требований информационной безопасности ИСПДн;
19) обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки персональных данных, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации;
20) присутствовать при выполнении технического обслуживания элементов ИСПДн, сторонними физическими и юридическими лицами;
21) принимать меры по реагированию, в случае возникновения нештатных и аварийных ситуаций, с целью ликвидации их последствий;
22) проводить инструктаж пользователей по правилам работы на АРМ, с установленной СЗИ от НСД;
23) вносить изменения в документацию ИСПДн в соответствии с требованиями нормативных документов в части, касающейся СЗИ от НСД;
24) проводить работу по выявлению возможных каналов утечки конфиденциальной информации, вести их учет и принимать меры к их устранению;
25) контролировать целостность (неизменность, сохранность) программного обеспечения, разрешительной системы доступа, а при обнаружении фактов изменения проверяемых параметров немедленно докладывать ответственному за организацию обработки и защиту персональных данных;
26) обеспечивать своевременную корректировку полномочий сотрудников министерства в разрешительную систему доступа;
27) требовать от пользователей прекращения обработки информации в ИСПДн при появлении информации о возможном проведении технической разведки в отношении ИСПДн;
28) блокировать учетные записи пользователей на АРМ в случае окончания срока действия сертификата соответствия ФСТЭК России, ФСБ России на любое СЗИ, из используемых в ИСПДн, до момента его продления. В случае непродления сертификата соответствия ФСТЭК России на СЗИ поставить в известность орган по аттестации, проводивший аттестацию ИСПДн, для принятия совместного решения.
5. Ответственность
5.1. Администраторы АС несут дисциплинарную ответственность за неисполнение (ненадлежащее исполнение) своих обязанностей, указанных в пункте 4 настоящей Инструкции.
5.2. Администраторы АС виновные в несоблюдении требований настоящей Инструкции, несут гражданско-правовую, уголовную, дисциплинарную и иную ответственность в порядке, предусмотренном законодательством Российской Федерации.
Первый заместитель министра
В.В.ГУБАНОВ
Приложение 1
к Инструкции
администратора автоматизированной системы
министерства труда и социальной защиты
населения Ставропольского края
Форма
АКТ № __________
вскрытия автоматизированного рабочего места
№ п/п
Инвентарный номер автоматизированного рабочего места
Местонахождение автоматизированного рабочего места (подразделение, номер кабинета)
Причина вскрытия автоматизированного рабочего места
Ф.И.О. ответственного за снятие пломбы в автоматизированного рабочего места
1.
До вскрытия автоматизированного рабочего места, установлена полная сохранность пломбы серийный номер __________.
___ __________ 201_ г. ____________________ ______________________________
(подпись) (Ф.И.О.)
Приложение 2
к Инструкции
администратора автоматизированной системы
министерства труда и социальной защиты
населения Ставропольского края
Форма
Министерство труда и социальной защиты населения
Ставропольского края
____________________________________________________________
(наименование отдела)
ДЕЛО № __________
ЖУРНАЛ
учета машинных носителей персональных данных
№ п/п
Дата учета
Тип носителя
Регистрационный номер
Ф.И.О. (подпись) получившего машинный носитель
Отметка о постановке на учет (Ф.И.О., подпись, дата)
Отметка о снятии с учета (Ф.И.О., подпись, дата)
Местоположение носителя
Сведения об уничтожении носителя/стирании информации
1
2
3
4
5
6
7
8
9
Приложение 3
к Инструкции
администратора автоматизированной системы
министерства труда и социальной защиты
населения Ставропольского края
Форма
Министерство труда и социальной защиты населения
Ставропольского края
____________________________________________________________
(наименование отдела)
ДЕЛО № __________
ЖУРНАЛ
поэкземплярного учета средств защиты информации (СЗИ)
Ответственный за ведение журнала: Начат "___" __________ 201__ г.
_________________________________ Завершен "___" __________ 201__ г.
(должность, наименование отдела)
_________________________________
_________________________________ _________ /___________________/
(Ф.И.О.) (подпись) (расшифровка подписи)
_________________________________ _________ /___________________/
(Ф.И.О.) (подпись) (расшифровка подписи)
На ____ листах
г. Ставрополь, 20__ год
№ п/п
Наименование СЗИ, эксплуатационной и технической документации к ним, ключевых документов
Регистрационные номера СЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера) ключевых документов
Отметка о получении
Отметка о выдаче
Отметка о подключении (установке) СЗИ
Отметка об изъятии СЗИ из аппаратных средств, уничтожении ключевых документов
Примечание
От кого получены (Ф.И.О.)
Дата и номер сопроводительного письма
Ф.И.О. пользователя СЗИ
Дата и расписка в получении
Ф.И.О. сотрудника, производившего подключение (установку) СЗИ
Дата подключения (установки) СЗИ и подписи лиц, произведших подключение (установку)
Номера аппаратных средств, в которые установлены или к которым подключены СЗИ
Дата изъятия (уничтожения)
Ф.И.О. сотрудника, производившего изъятие (уничтожение)
Номер акта или расписка об уничтожении
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Приложение 4
к Инструкции
администратора автоматизированной системы
министерства труда и социальной защиты
населения Ставропольского края
Форма
Министерство труда и социальной защиты населения
Ставропольского края
____________________________________________________________
(наименование отдела)
ДЕЛО № __________
ЖУРНАЛ
поэкземплярного учета средств криптографической
защиты информации (СКЗИ)
Ответственный за ведение журнала: Начат "___" __________ 201__ г.
_________________________________ Завершен "___" __________ 201__ г.
(должность, наименование отдела)
_________________________________
_________________________________ _________ /___________________/
(Ф.И.О.) (подпись) (расшифровка подписи)
_________________________________ _________ /___________________/
(Ф.И.О.) (подпись) (расшифровка подписи)
На ____ листах
г. Ставрополь, 20__ год
№ п/п
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
Регистрационные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера) ключевых документов
Отметка о получении
Отметка о выдаче
Отметка о подключении (установке) СЗИ
Отметка об изъятии СЗИ из аппаратных средств, уничтожении ключевых документов
Примечание
От кого получены (Ф.И.О.)
Дата и номер сопроводительного письма
Ф.И.О. пользователя СЗИ
Дата и расписка в получении
Ф.И.О. сотрудника, производившего подключение (установку) СЗИ
Дата подключения (установки) СЗИ и подписи лиц, произведших подключение (установку)
Номера аппаратных средств, в которые установлены или к которым подключены СЗИ
Дата изъятия (уничтожения)
Ф.И.О. сотрудника, производившего изъятие (уничтожение)
Номер акта или расписка об уничтожении
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Утверждена
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ УЧЕТА, ИСПОЛЬЗОВАНИЯ, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ
МАШИННЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Общие положения
1.1. Настоящая Инструкция разработана в соответствии с Федеральными законами "Об информации, информационных технологиях и о защите информации", "О персональных данных", Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и устанавливает порядок учета, использования, хранения и уничтожения машинных носителей персональных данных в министерстве труда и социальной защиты населения Ставропольского края (далее соответственно - машинные носители, министерство).
1.2. В настоящей Инструкции используются следующие наименования перечней, утверждаемых приказом министерства:
должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края, в том числе администраторов автоматизированной системы (далее - администраторы АС);
должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, являющихся администраторами информационной безопасности в структурных подразделениях министерства (далее - АИБ).
1.3. Под машинными носителями персональных данных следует понимать:
съемные машинные носители (отчуждаемые машинные носители): дискеты, оптические и магнито-оптические диски, flash-накопители, съемные HDD и так далее;
несъемные машинные носители в составе автоматизированных рабочих мест (далее - АРМ) (например, жесткий диск - несъемный машинный носитель) лиц, замещающих государственные должности, должности государственной гражданской службы в министерстве (далее - пользователи).
2. Учет, выдача, хранение и порядок
работы с машинными носителями
2.1. Съемные машинные носители используются для записи, передачи, хранения информации, содержащей персональные данные, и предоставляются по служебной записке начальника структурного подразделения министерства на имя начальника отдела информационных технологий и организации предоставления государственных услуг в электронной форме министерства для выполнения пользователями своих должностных обязанностей.
2.2. Несъемные машинные носители в составе АРМ пользователя используются для записи, обработки, хранения информации, содержащей персональные данные и предоставляются пользователям министерства для исполнения должностных обязанностей.
2.3. Все съемные машинные носители и несъемные машинные носители в составе АРМ пользователя, используемые в министерстве, в обязательном порядке подлежат учету.
2.4. Каждый съемный машинный носитель и несъемный машинный носитель в составе АРМ пользователя должен иметь этикетку, на которой указывается его уникальный регистрационный номер. Если невозможно маркировать непосредственно машинный носитель, то маркируется упаковка, в которой хранится носитель, в этом случае регистрационный номер записывается на машинный носитель информации машинным способом.
2.5. Администраторы АС осуществляют учет и выдачу съемных машинных носителей АИБ. Факт выдачи съемных машинных носителей фиксируется в журнале учета машинных носителей персональных данных, по форме устанавливаемой Инструкцией администраторов автоматизированной системы министерства труда и социальной защиты населения Ставропольского края.
2.6. Несъемные носители в составе АРМ пользователя также учитываются в журнале учета машинных носителей персональных данных, по форме устанавливаемой Инструкцией администраторов автоматизированной системы министерства труда и социальной защиты населения Ставропольского края и выдаются пользователям в составе АРМ пользователя.
2.7. Пользователи для выполнения работ на конкретный срок получают съемные учтенные машинные носители от АИБ. По окончанию работ со съемными машинными носителями, пользователь уничтожает информацию, содержащую персональные данные, потерявшую актуальность и хранящуюся на съемных машинных носителях и сдают их АИБ, на которых возложены функции хранения съемных машинных носителей.
2.8. После уничтожения информации, содержащей персональные данные, съемные машинные носители не снимаются с учета, а используются для дальнейшей записи и передачи информации, содержащей персональные данные.
2.9. Ответственность за уничтожение информации, содержащей персональные данные, потерявшей актуальность и хранящейся на съемных машинных носителях несет пользователь, в пользовании которого они находились.
2.10. Уничтожение съемных машинных носителей и несъемных машинных носителей в составе АРМ пользователя, пришедших в негодность, или отслуживших установленный срок, производится комиссией, образуемой приказом министерства. По результатам уничтожения комиссией составляется акт об уничтожении персональных данных (машинных носителей персональных данных) по форме, утверждаемой приказом министерства.
2.11. Хранение съемных машинных носителей и несъемных машинных носителей в составе АРМ пользователя осуществляется в условиях, исключающих несанкционированное копирование, изменение или уничтожение информации, содержащей персональные данные, а также хищение съемных машинных носителей и несъемных машинных носителей в составе АРМ пользователя.
2.12. Съемные машинные носители должны храниться в сейфе или запирающемся шкафу.
2.13. Несъемные машинные носители в составе АРМ пользователя должны храниться в запирающихся помещениях министерства, исключающих несанкционированный доступ посторонних лиц.
2.14. АИБ несут персональную ответственность за сохранность съемных машинных носителей.
2.15. Пользователи несут персональную ответственность за хранение несъемных машинных носителей в составе АРМ пользователя.
2.16. При исполнении своих должностных обязанностей пользователи должны соблюдать следующие основные правила работы со съемными машинными носителями и несъемными машинными носителями в составе АРМ пользователя:
использовать съемные машинные носители и несъемные машинные носители в составе АРМ пользователя исключительно для выполнения своих должностных обязанностей;
записывать и передавать информацию, содержащую персональные данные, в обязательном порядке только на учтенные съемные машинные носители;
расценивать любое взаимодействие (обработка, прием/передача, запись, хранение информации), инициируемое пользователем между информационной системой персональных данных министерства и неучтенными (личными) машинными носителями, как несанкционированное;
выявлять факты несанкционированного или нецелевого использования съемных машинных носителей и сообщать об этом АИБ и администраторам АС, которые заблокируют или ограничат использование съемных машинных носителей;
ставить в известность АИБ и администраторов АС о фактах утраты (кражи) съемных машинных носителей и несъемных машинных носителей в составе АРМ пользователя, либо разглашения содержащейся на них информации содержащей персональные данные;
обеспечивать бережное отношение к съемным машинным носителям;
обеспечивать физическую безопасность съемных машинных носителей.
2.17. Пользователям при использовании съемных машинных носителей и несъемных машинных носителей в составе АРМ пользователя запрещается:
записывать и передавать информацию, содержащую персональные данные, на неучтенных съемных машинных носителях;
использовать съемные машинные носители и несъемные машинные носители в составе АРМ пользователя в личных целях;
передавать съемные машинные носители посторонним лицам;
оставлять без присмотра съемные машинные носители и несъемные машинные носители в составе АРМ пользователя без присмотра;
оставлять съемные машинные носители вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение посторонним лицам;
выносить съемные машинные носители персональных данных из помещений министерства для работы на дому.
2.18. Пользователь несет персональную ответственность за выполнение правил эксплуатации съемных машинных носителей при выполнении непосредственных работ с ними и предотвращении несанкционированного доступа к записанной на них информации, содержащей персональные данные.
2.19. Контроль за выполнением пользователями установленных правил эксплуатации съемных машинных носителей и несъемных машинных носителей в составе АРМ пользователя, осуществляет АИБ.
Первый заместитель министра
В.В.ГУБАНОВ
Утверждена
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ МИНИСТЕРСТВА ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Общие положения
1.1. Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены, прекращения действия, использования, хранения и удаления паролей (учетных записей) для доступа к автоматизированным рабочим местам лиц, замещающих государственные должности, должности государственной гражданской службы в министерстве труда и социальной защиты населения Ставропольского, а также доступа в информационные системы персональных данных министерства труда и социальной защиты населения Ставропольского края (далее соответственно - министерство, АРМ, пользователи, ИСПДн).
1.2. В министерстве используется двухфакторная система защиты от несанкционированного доступа (далее - НСД) к АРМ пользователей и ИСПДн министерства:
парольная защита является составной частью подсистемы управления доступом общей системы защиты в министерстве;
программно-аппаратная защита подразумевает применение дополнительных индивидуальных электронных идентификаторов (e-Token, RU-Token, i-Button и т.д.) к специальным программным средствам защиты и средствам криптографической защиты информации (КриптоПРО, Vip Net, Secret Net).
2. Правила формирования паролей
для доступа к АРМ пользователя
2.1. Пароли для доступа к АРМ генерируются и выдаются пользователям администраторами автоматизированной системы, в соответствии с утверждаемым приказом министерства перечнем должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных министерства (далее - администраторы АС), с учетом следующих требований:
пароль не должен содержать имя учетной записи пользователя или какую-либо его часть;
пароль должен состоять не менее чем из 8 символов;
в пароле должны присутствовать символы трех категорий из числа следующих четырех:
прописные буквы английского алфавита от A до Z;
строчные буквы английского алфавита от a до z;
десятичные цифры (от 0 до 9);
символы, не принадлежащие алфавитно-цифровому набору (например: !, $, #, %).
2.2. Запрещается использовать в качестве пароля:
имя входа в систему, простые пароли типа "123", "111", "qwerty" и им подобные, а также имена и даты рождения пользователя и его родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе;
один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;
комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);
пароли, которые уже использовались ранее.
3. Правила формирования паролей
для доступа к ИСПДн министерства
3.1. Формирование паролей к ИСПДн министерства, имеющим процедуру аутентификации, производится администраторами АС.
3.2. Пароли к ИСПДн министерства должны удовлетворять требованиям, указанным в пункте 2 настоящей Инструкции.
4. Порядок смены паролей для доступа
к АРМ и ИСПДн министерства
4.1. Смена паролей для доступа к ИСПДн министерства проводится администраторами АС по требованию пользователя.
4.2. Полная плановая смена паролей для доступа к АРМ проводится администраторами АС один раз в 3 месяца.
4.3. Срочная (внеплановая) полная смена паролей для доступа к АРМ и ИСПДн министерства производится в случае:
компрометации пароля для доступа к АРМ и ИСПДн министерства. Пользователь о факте компрометации сообщает администраторам АС, которые должны немедленно предпринять меры по внеплановой смене паролей в соответствии с пунктом 4.3 настоящей Инструкции;
прекращения полномочий пользователя министерства администраторами АС, которые удаляют учетную запись сразу после окончания последнего сеанса работы данного пользователя в АРМ и ИСПДн.
5. Обращение идентификаторов
5.1. Идентификаторы выдаются пользователям администраторами автоматизированных систем и учитываются в журнале поэкземплярного учета средств защиты информации (СЗИ), по форме устанавливаемой Инструкцией администраторов автоматизированной системы министерства труда и социальной защиты населения Ставропольского края.
5.2. Пользователи, получившие в пользование идентификаторы, лично обеспечивают безопасное хранение и использование идентификаторов. Оставление идентификатора без присмотра запрещается.
5.3. В случае утери идентификатора пользователи немедленно ставят об этом в известность администраторов АС, которые организуют немедленную блокировку утерянных идентификаторов.
6. Обязанности пользователя
6.1. Пользователи, использующие пароли для доступа к АРМ и ИСПДн министерства, обязаны:
четко знать и строго выполнять требования настоящей Инструкции;
своевременно сообщать администраторам АС о компрометации, несанкционированном изменении паролей для доступа к АРМ и ИСПДн министерства, несанкционированном изменении сроков действия паролей и нарушениях работы систем защиты от НСД, возникающих при работе с паролями;
хранить по окончании рабочего дня в запирающемся шкафу или сейфе выданные идентификаторы.
6.2. Под компрометацией понимается нештатная ситуация, связанная с хищением, утратой действующих паролей, передача или сообщение их лицам, не имеющим на то право, другие действия пользователей, приведшие к получению его пароля лицами, не имеющими на то права.
7. Правила хранение паролей для доступа
к АРМ и ИСПДн пользователями
При хранении паролей для доступа к АРМ и ИСПДн пользователям запрещается:
записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах, таких как монитор, обратная сторона клавиатуры, внутренности ящика стола и так далее;
сообщать другим пользователям и посторонним лицам пароль для доступа к АРМ и ИСПДн министерства и регистрировать их в системе под своим паролем, а также сообщать сведения о применяемой системе защиты от НСД.
8. Порядок применения ввода паролей
для доступа к АРМ и ИСПДн министерства
8.1. Ввод паролей для доступа к АРМ и ИСПДн министерства должен осуществляться с учетом регистра, в котором пароль был задан.
8.2. При вводе пароля для доступа к АРМ и ИСПДн министерства пользователю необходимо исключить произнесение его вслух, а также возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).
8.3. Защита с применением паролей других программно-технических средств и программных продуктов осуществляется, при их наличии, в соответствии с эксплуатационной документацией на эти средства.
Первый заместитель министра
В.В.ГУБАНОВ
Утверждена
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ИНСТРУКЦИЯ
ЛИЦ, ЗАМЕЩАЮЩИХ ГОСУДАРСТВЕННЫЕ ДОЛЖНОСТИ, ДОЛЖНОСТИ
ГОСУДАРСТВЕННОЙ ГРАЖДАНСКОЙ СЛУЖБЫ В МИНИСТЕРСТВЕ
ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ
НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ В СОСТАВЕ АВТОМАТИЗИРОВАННЫХ
РАБОЧИХ МЕСТ МИНИСТЕРСТВА ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ
НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Общие положения
1.1. Настоящая Инструкция определяет права, обязанности, контроль и ответственность лиц, замещающих государственные должности, должности государственной гражданской службы в министерстве труда и социальной защиты населения Ставропольского края при обработке персональных данных в информационных системах персональных данных в составе автоматизированных рабочих мест министерства труда и социальной защиты населения Ставропольского края, в соответствии с утверждаемым приказом перечнем государственных должностей, должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, замещение которых дает право обработки персональных данных либо доступа к персональным данным с использованием автоматизированной обработки персональных данных (далее соответственно - пользователи, ИСПДн, АРМ, министерство).
1.2. Пользователи, в рамках исполнения своих должностных обязанностей имеют доступ к следующим элементам автоматизированной системы (далее - АС) министерства, входящих в состав АРМ пользователя:
программно-аппаратным средствам защиты от несанкционированного доступа - применение дополнительных индивидуальных электронных идентификаторов (e-Token, Ru-Token, i-Button и т.д.) (далее - НСД, идентификаторы);
средствам защиты и средствам криптографической защиты информации от НСД (КриптоПРО, Vip Net, Secret Net, антивирусное ПО) (далее - СЗ и СКЗИ);
программному обеспечению, входящему в минимальный набор устанавливаемого программного обеспечения, утверждаемого приказом министерства (далее - ПО);
локальной вычислительной сети министерства и входящим в ее состав сетевым (информационным) ресурсам, утверждаемых приказом министерства;
машинным носителям персональных данных;
ИСПДн министерства, утверждаемых приказом министерства.
1.3. При эксплуатации элементов АС министерства, входящих в состав АРМ, указанных в пункте 1.2 настоящей Инструкции, пользователь подчиняется ответственному за организацию обработки и защиту персональных данных, уполномочиваемому приказом министерства (далее - ответственное лицо), администраторам автоматизированной системы и администраторам баз данных, в соответствии с утверждаемым приказом министерства перечнем должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края (далее соответственно - администраторы АС, администраторы БД).
1.4. Пользователь в своей работе руководствуется Федеральными законами "Об информации, информационных технологиях и о защите информации", "О персональных данных", законодательством Российской Федерации в области персональных данных, нормативными актами Федеральной службы по техническому и экспортному контролю (ФСТЭК России), нормативными актами министерства в области персональных данных и эксплуатационной документацией на установленные элементы АС министерства, входящих в состав АРМ пользователя.
2. Права, обязанности и контроль пользователя
2.1. Пользователь обязан:
1) четко знать и выполнять требования законодательства Российской Федерации в области персональных данных, Инструкции и других нормативных актов министерства, регламентирующих порядок действий в области персональных данных;
2) помнить пароли для входа в АРМ, выданные администраторами АС;
3) помнить пароли для входа в ИСПДн, выданные администраторами БД;
4) обеспечивать сохранность идентификатора, полученного пользователем под роспись у администраторов АС в журнале поэкземплярного учета средств защиты информации (СЗИ) и не допускать НСД к нему, а также возможность утери или использования посторонними лицами;
5) прекратить работу в ИСПДн при компрометации персонального пароля и идентификатора и сообщить о факте компрометации администраторам АС и ответственному лицу;
6) проверять в начале работы и по ее окончании целостность наклеек на корпусе АРМ (АРМ опечатывается ответственным лицом);
7) расположить экран монитора в помещении во время работы так, чтобы исключить возможность несанкционированного ознакомления с отображаемой на нем защищаемой информацией;
8) закрывать окна помещений шторами (жалюзи) при обработке персональных данных;
9) закрывать двери в помещения при обработке персональных данных;
10) обрабатывать информацию, содержащую персональные данные в ИСПДн в соответствии с должностными обязанностями;
11) проводить обезличивание обрабатываемых персональных данных совместно с администраторами АС и администраторами БД, с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных субъекта персональных данных, снижения класса ИСПДн министерства и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, в соответствии с утверждаемыми Правилами обработки и защиты персональных данных в министерстве труда и социальной защиты населения Ставропольского края;
12) обеспечивать сохранность идентификатора, не допускать НСД к нему, а также возможность утери или использования посторонними лицами;
13) обеспечивать функционирование и поддерживать работоспособность СЗ и СКЗИ в пределах возложенных на него функций;
14) в случае неисправности СЗ и СКЗИ от НСД, выявления попыток НСД к защищаемой информации, либо обнаружения следов вскрытия АРМ:
немедленно прекратить работу в ИСПДн;
ограничить доступ в помещение;
поставить в известность администраторов АС и ответственного лица.
15) блокировать при выходе в течение рабочего дня из помещения ввод-вывод информации на своем АРМ;
16) использовать при передаче, хранении и обработке информации, содержащей персональные данные только зарегистрированные и учтенные в журнале учета машинных носителей персональных данных съемные машинные носители персональных данных;
17) обеспечивать контроль за невозможностью использования в АРМ неучтенных съемных машинных носителей информации;
18) уничтожать информацию, содержащую персональные данные, хранящуюся и потерявшую актуальность с машинных носителей персональных данных;
19) не допускать "загрязнения" АРМ посторонними программными средствами.
2.2. Пользователь осуществляет контроль за:
1) эксплуатацией элементов АС министерства, входящих в состав АРМ, указанных в пункте 2.1 Инструкции;
2) выявлением попыток НСД к АРМ и элементам АС министерства, входящим в состав АРМ, в пределах возложенных на него обязанностей;
3) целостностью эксплуатируемого в составе АРМ ПО, с целью выявления несанкционированных изменений в нем;
4) за санкционированным изменением ПО, заменой и ремонтом АРМ.
2.3. Пользователь имеет право:
1) обрабатывать информацию в ИСПДн в пределах установленных прав доступа, утверждаемых приказом министерства;
2) использовать ИСПДн в составе АРМ для решения профессиональных задач;
3) обращаться к администраторам АС с просьбой об оказании технической и методической помощи в работе по обеспечению безопасности информации.
2.4. При работе на АРМ пользователю запрещается:
1) допускать присутствия в помещении, где расположено ИСПДн в составе АРМ, посторонних лиц;
2) разглашать сведения о применяемых СЗ и СКЗИ персональных данных и содержание обрабатываемых документов лицам, не имеющим отношения к проводимым работам;
3) пересылать персональные данные без использования специальных СЗ и СКЗИ по общедоступным сетям связи, в том числе через информационно-телекоммуникационную сеть "Интернет";
4) фиксировать на любых носителях пароль для входа в АРМ и ИСПДн;
5) сообщать кому-либо свой пароль доступа к АРМ и ИСПДн;
6) оставлять без присмотра и передавать идентификатор посторонним лицам;
7) оставлять работающий АРМ, без включения режима блокировки и хранителя экрана;
8) использовать в АРМ неучтенные съемные машинные носители;
9) использовать учтенные машинные носители персональных данных для хранения информации, не имеющей отношения к выполнению должностных обязанностей;
10) оставлять без присмотра учтенные съемные машинные носители персональных данных и несъемные машинные носители персональных данных входящих в состав АРМ;
11) использовать программы, с помощью которых можно получить НСД к персональным данным, использование которых квалифицируется как попытка преднамеренного НСД к обрабатываемым персональным данным;
12) изменять или тиражировать установленное в составе АРМ ПО;
13) подключать к АРМ нештатные блоки и устройства;
14) привлекать посторонних лиц для производства ремонта и настройки АРМ;
15) проводить обработку информации в ИСПДн при неработоспособных или отключенных элементах АС министерства, входящих в состав АРМ, указанных в пункте 2.1 настоящей Инструкции.
3. Ответственность пользователей
Пользователь несет ответственность за:
1) за соблюдение правил эксплуатации АРМ и ИСПДн, сохранность АРМ;
2) сохранность обрабатываемых персональных данных в элементах АС министерства, входящих в состав АРМ, указанных в пункте 2.1 настоящей Инструкции;
3) соблюдение установленных требований по безопасности информации при обработке, копировании (уничтожении) персональных данных;
4) использование машинных носителей персональных данных;
5) правильность и полноту выполнения задач, прав и обязанностей, возложенных на него;
6) выполнение требований администраторов АС и ответственного лица касательно обработки и защиты персональных данных;
7) обеспечение сохранности и неразглашение сведений о парольной защите для доступа в АРМ и ИСПДн;
8) соблюдение технологии обработки защищаемой информации, неизменность условий обработки информации (размещение и/или состав технических средств обработки и защиты информации, состав используемых ИСПДн и ПО) в соответствии с организационно-технической документацией;
9) нарушение норм, регулирующих обработку и защиту персональных данных, в том числе нарушение нормативных актов, утверждаемых министерством в области персональных данных, в виде дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.
Первый заместитель министра
В.В.ГУБАНОВ
Утверждена
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ РЕЗЕРВНОГО КОПИРОВАНИЯ ИНФОРМАЦИИ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА
ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Общие положения
1.1. Настоящая Инструкция разработана с целью определения:
действий, связанных с функционированием информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края (далее соответственно - ИСПДн, министерство);
мер и средств поддержания непрерывности работы и восстановления работоспособности ИСПДн министерства;
категории информации, подлежащей обязательному резервному копированию;
процедур резервирования данных для последующего восстановления работоспособности ИСПДн министерства при полной или частичной потере информации, вызванной сбоями или отказами аппаратного или программного обеспечения, ошибками пользователей, чрезвычайными обстоятельствами (пожаром, стихийными бедствиями и т.д.);
порядка восстановления информации в случае возникновения такой необходимости.
1.2. Действия настоящей Инструкции распространяется на:
лиц замещающих государственные должности, должности государственной гражданской службы, в соответствии с утверждаемым приказом министерства перечнем государственных должностей, должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, замещение которых дает право обработки персональных данных либо доступа к персональным данным с использованием автоматизированной обработки персональных данных (далее - пользователи), а также на основные системы обеспечения непрерывности работы и восстановления ресурсов министерства при возникновении аварийных ситуаций, в том числе:
системы жизнеобеспечения;
системы обеспечения отказоустойчивости;
системы резервного копирования и хранения данных;
системы контроля физического доступа.
1.3. Ответственными за резервное копирование информации в ИСПДн министерства являются администраторы АС, (далее - администраторы АС), в соответствии с утверждаемым приказом министерства перечнем должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края.
1.4. Контроль за процедурой резервного копирования информации в ИСПДн министерства осуществляет ответственный за организацию обработки и защиту персональных данных (далее - ответственное лицо), уполномочиваемый приказом министерства.
2. Категории информации, подлежащие резервному
копированию, и порядок хранения резервных копий
2.1. Резервному копированию подлежит информация следующих основных категорий:
информация, обрабатываемая пользователями в ИСПДн министерства, а также информация, необходимая для восстановления работоспособности ИСПДн министерства, в т.ч. систем управления базами данных (далее - СУБД) общего пользования, и справочно-информационных систем общего использования;
рабочие копии установочных компонентов программного обеспечения общего назначения и специализированного программного обеспечения ИСПДн министерства, СУБД, серверов и автоматизированных рабочих мест министерства (далее - АРМ);
информация, необходимая для восстановления серверов и систем управления базами данных ИСПДн министерства;
другая информация ИСПДн министерства, по мнению пользователей и администратора АС, являющаяся критичной для работоспособности ИСПДн.
2.2. Резервное копирование информации для каждой ИСПДн министерства осуществляется по отдельному графику резервного копирования информации в ИСПДн министерства, в соответствии с приложением 1 к настоящей Инструкции.
2.3. Хранение резервных копий персональных данных должно исключать любой несанкционированный доступ посторонних лиц к машинным носителям персональных данных.
2.4. Хранение резервных копий персональных данных необходимо осуществлять в сейфах, несгораемых шкафах или металлических шкафах с устройством опечатывания.
2.5. Доступ к местам хранения резервных копий персональных данных должен быть предоставлен только ответственному лицу и администраторам АС.
2.6. Не допускается хранение резервных копий персональных данных совместно с другими носителями информации.
2.7. На машинном носителе персональных данных, содержащем резервные копии персональных данных, не должна храниться посторонняя информация.
2.8. Одновременное хранение машинных носителей персональных данных, хранящих полную резервную копию персональных данных ИСПДн министерства, должно быть обеспечено не менее чем на двух машинных носителях персональных данных.
3. Порядок реагирования на инциденты
3.1. В настоящей Инструкции под инцидентом понимается любое происшествие, связанное со сбоем в функционировании ИСПДн министерства, а также потерей защищаемой информации.
3.2. Происшествие, вызывающее инцидент, может произойти в результате:
непреднамеренных действий пользователей;
преднамеренных действий пользователей и третьих лиц;
нарушения правил эксплуатации технических и программных средств ИСПДн министерства;
возникновение нештатных ситуаций и обстоятельств непреодолимой силы.
3.3. В кратчайшие сроки, не превышающие одного рабочего дня, администраторы АС и ответственное лицо предпринимают меры по восстановлению работоспособности ИСПДн министерства.
4. Меры обеспечения непрерывности работы и восстановления
ресурсов при возникновении инцидентов
4.1. К мерам по обеспечению непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения потери информации, такие как:
системы жизнеобеспечения ИСПДн министерства;
системы обеспечения отказоустойчивости;
системы резервного копирования и хранения данных.
4.2. Системы жизнеобеспечения ИСПДн министерства включают:
пожарные сигнализации и системы пожаротушения;
системы вентиляции и кондиционирования;
системы резервного питания.
4.3. Все помещения, в которых размещаются элементы ИСПДн и средства защиты, должны быть оборудованы средствами пожарной сигнализации и пожаротушения.
4.4. Для выполнения требований по эксплуатации программно-аппаратных средств ИСПДн министерства в помещениях, где они установлены, должны применяться системы вентиляции и кондиционирования воздуха.
4.5. Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИСПДн министерства, сетевое и коммутационное оборудование, а также автоматизированные рабочие места должны подключаться к сети электропитания через источники бесперебойного питания.
4.6. Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, которые (кроме RAID-0) применяют дублирование данных, хранимых на дисках.
5. Периодичность резервного копирования
5.1. Резервное копирование специализированного программного обеспечения производится при его получении (если это предусмотрено инструкцией по его применению и не противоречит условиям его распространения), а также при его обновлении и получении исправленных и обновленных версий.
5.2. Персональные данные, содержащиеся в постоянно изменяемых базах данных министерства, сохраняются в соответствии со следующими сроками:
ежедневно проводится копирование измененной и дополненной информации, носители с которой хранятся в течение недели;
ежемесячно производится резервное копирование на специально выделенный носитель длительного хранения, информация на котором хранится постоянно.
6. Ответственность
6.1. Ответственность за контроль над своевременным осуществлением резервного копирования и соблюдением настоящей Инструкции возлагается на ответственное лицо.
6.2. Ответственность за периодичность и полноту резервного копирования, а также состояние системы резервного копирования возлагается на администраторов АС, осуществляющих резервное копирование.
Первый заместитель министра
В.В.ГУБАНОВ
Приложение 1
к Инструкции
по организации резервного копирования
информации в информационных системах
персональных данных министерства
социальной защиты населения
Ставропольского края
___ __________ 201_ г. № ____
ГРАФИК
резервного копирования информации в информационных системах
персональных данных министерства труда и социальной защиты
населения Ставропольского края
№ п/п
Наименование информационной системы персональных
Периодичность резервного копирования информации
Место хранения
Срок хранения резервной копии
1
2
3
4
5
1.
1C зарплата и кадры
один раз в день
сейф
один квартал
2.
142 - реестр получателей компенсационных выплат
один раз в месяц
сейф
год
3.
475 - реестр получателей компенсационных выплат
один раз в месяц
сейф
год
4.
Адресная социальная помощь
по требованию
сейф
год
5.
Назначение и выплата пенсий
один раз в день
сейф
один квартал
6.
Налогоплательщик
один раз в месяц
сейф
год
7.
ОГБД Ветераны
один раз в квартал
сейф
год
8.
Отдел бухгалтерского учета и отчетности
по требованию
сейф
год
9.
Отдел кадрового обеспечения и государственной гражданской службы
один раз в неделю
сейф
один квартал
10.
Отдел организации медицинского обслуживания в подведомственных учреждениях
по требованию
сейф
год
11.
Отдел организации назначения и выплаты пособий и других социальных выплат
по требованию
сейф
год
12.
Отдел организации социального обслуживания и адресной помощи населению
по требованию
сейф
год
13.
Отдел социальной поддержки семьи и детей
по требованию
сейф
год
14.
Отдел социально-правовых гарантий
по требованию
сейф
год
15.
Отдел трудовых отношений, демографии и трудовых ресурсов
2 раза в неделю
хранилище
год
16.
ПК Катарсис
по требованию
сейф
квартал
17.
Планово-бюджетный отдел
по требованию
сейф
год
18.
ПФР-213
один раз в неделю
сейф
один квартал
19.
Регистр детей инвалидов
по требованию
сейф
год
20.
Спецавтотранспорт для инвалидов
один раз в квартал
сейф
год
21.
Стационар
один раз в неделю
сейф
квартал
22.
Система электронного документооборота "Дело"
по требованию
сейф
Год
23.
Dets - детские пособия
один раз в месяц
сейф
год
24.
Rsobes - детские пособия
один раз в месяц
сейф
один квартал
Утверждена
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ИНСТРУКЦИЯ
О ПОРЯДКЕ РАБОТЫ В ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ
СЕТИ МИНИСТЕРСТВА ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ
НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ ПРИ ИСПОЛЬЗОВАНИИ
ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ
МЕЖДУНАРОДНОГО ОБМЕНА
1.1. Общие положения
1.1. Настоящая Инструкция разработана в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации", Указом Президента Российской Федерации от 17 марта 2008 года № 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" и устанавливает условия, единый порядок использования автоматизированного рабочего места в составе локальной вычислительной сети министерства труда и социальной защиты населения Ставропольского края (далее соответственно - АРМ, ЛВС, министерство), при использовании лицами, замещающими государственные должности, должности государственной гражданской службы в министерстве информационно-телекоммуникационных сетей международного обмена (далее - пользователи, сеть "Интернет"), а также основные требования по обеспечению безопасности информации в министерстве.
1.2. Основными угрозами безопасности информации при использовании сети "Интернет" и ЛВС министерства являются:
заражение ЛВС министерства программными вирусами;
несанкционированный доступ злоумышленников к сетевым (информационным) ресурсам министерства, входящим в состав ЛВС (в том числе сетевые атаки);
внедрение в автоматизированную систему министерства программных закладок;
загрузка трафика нежелательной корреспонденцией (СПАМа);
несанкционированная передача персональных данных пользователями в сеть "Интернет";
блокировка межсетевого взаимодействия, путем нарушения целостности данных в настройках коммуникационного оборудования, обеспечивающего взаимодействие с ЛВС и сетью "Интернет";
нарушение целостности и достоверности открытых и общедоступных сетевых (информационных) ресурсов министерства, размещаемых в ЛВС министерства.
1.4. Основными методами обеспечения безопасности информации при использовании ЛВС министерства и сети "Интернет" для предотвращения указанных угроз являются:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов;
использование сертифицированных средств защиты информации, в том числе антивирусных и криптографических;
мониторинг вторжений (атак) из сети "Интернет", нарушающих или создающих предпосылки к нарушению установленных требований по защите информации, и анализ защищенности, предполагающий применение специализированных программных средств (сканеров безопасности);
контроль информации, загружаемой или передаваемой в ЛВС министерства и в сети "Интернет";
запрет обращения к нежелательным ресурсам сети "Интернет";
шифрование информации при обмене другими организациями при ее передаче по сети "Интернет", а также использование электронной подписи для контроля целостности и подтверждения подлинности отправителя и (или) получателя информации.
2. Подключение пользователей
министерства ЛВС к сети "Интернет"
Подключение пользователей ЛВС министерства к сети "Интернет", осуществляется только на основании мотивированной служебной записки от начальника структурного подразделения министерства на имя начальника отдела информационных технологий и организации предоставления государственных услуг в электронной форме.
3. Основные ограничения при работе
в ЛВС министерства и сети "Интернет"
3.1. Пользователям министерства запрещается:
осуществлять работу в ЛВС министерства и в сети "Интернет" при отключенных средствах защиты;
осуществлять передачу и хранение персональных данных с использованием сетевых (информационных) ресурсов входящих, в состав ЛВС министерства и доступных для других пользователей министерства, не входящих в перечень государственных должностей, должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, замещение которых дает право обработки персональных данных либо доступа к персональным данным с использованием автоматизированной обработки персональных данных, утверждаемый приказом министерства;
скачивать из сети "Интернет" программное обеспечение;
вносить какие-либо изменения в программное обеспечение, входящее в состав АРМ;
совершать любые попытки деструктивных действий по отношению к нормальной работе ЛВС министерства и сети "Интернет" (рассылка вирусов, сетевые атаки и т.п.);
пересылать и хранить персональные данные по открытым каналам связи (электронная почта и так далее);
применять за пределами министерства учетные записи и пароли, используемые в автоматизированной системе министерства.
4. Контроль использования ЛВС министерства и сети "Интернет"
В целях обеспечения информационной безопасности и безопасности ЛВС министерства администраторы автоматизированной системы, в соответствии с утверждаемым приказом перечнем должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных министерства труда и социальной защиты населения Ставропольского края, осуществляют контроль:
за соблюдением пользователями настоящей Инструкции;
пользователей министерства за безопасным использованием ресурсов сети "Интернет";
пользователей министерства за безопасным использованием ЛВС министерства;
посещения пользователями министерства ресурсов сети "Интернет", а также получаемых и передаваемых ими данных, в том числе и по электронной почте.
Первый заместитель министра
В.В.ГУБАНОВ
Утвержден
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ПЕРЕЧЕНЬ
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВХОДЯЩЕГО В МИНИМАЛЬНЫЙ
НАБОР УСТАНАВЛИВАЕМОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
НА АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО ЛИЦА, ЗАМЕЩАЮЩЕГО
ГОСУДАРСТВЕННЫЕ ДОЛЖНОСТИ, ДОЛЖНОСТИ ГОСУДАРСТВЕННОЙ
ГРАЖДАНСКОЙ СЛУЖБЫ В МИНИСТЕРСТВЕ ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ
СТАВРОПОЛЬСКОГО КРАЯ
№ п/п
Наименование ПО
Описание
Полномочия
1.
Windows XP/7/8/8.1
Операционная система
Пользователь
2.
MS Office (2003/2007/2010/2013)
Офисный пакет
Пользователь
3.
FAR
Файловый менеджер
Пользователь
4.
WINRAR/7ZIP
Архиватор
Пользователь
5.
World Client/Outlook Express
Почтовый клиент
Пользователь
6.
Acrobat reader/Sumatra PDF
Программа для просмотра PDF файлов
Пользователь
7.
Антивирусное ПО
Антивирусное ПО
Пользователь
8.
Гарант Клиент/КонсультантПлюс
Правовая система
Пользователь
9.
VipNet Client
Программное обеспечение для взаимодействия с внешними сетями
Пользователь
Первый заместитель министра
В.В.ГУБАНОВ
Утвержден
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ПЕРЕЧЕНЬ
СЕТЕВЫХ (ИНФОРМАЦИОННЫХ) РЕСУРСОВ, ВХОДЯЩИХ В СОСТАВ
ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ МИНИСТЕРСТВА ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
№ п.п.
Наименование ресурса
Описание
1
2
3
1.
ita
сетевой (информационный) ресурс для внутреннего использования лицами, замещающими государственные должности, должности государственной гражданской службы министерства (далее - специалисты) отдела информационных технологий и организации предоставления государственных услуг в электронной форме
2.
FAX-Inbox
общий сетевой (информационный) ресурс для просмотра принятых электронных факсов
3.
Delo
общий сетевой (информационный) ресурс для обмена электронными документами
4.
Disk_T
общий сетевой (информационный) ресурс для обмена информацией
5.
DRIVERS_Min
сетевой (информационный) ресурс для хранения дистрибутивов различного программного обеспечения
6.
fond
сетевой (информационный) ресурс для внутреннего использования специалистами отдела профессионального обучения и содействия занятости гражданам, испытывающим трудности в поиске работы
7.
FOTO
общий сетевой (информационный) ресурс для передачи и хранения графических материалов
8.
main
сетевой (информационный) ресурс для использования заместителем министра, курирующего блок труда
9.
svod
сетевой (информационный) ресурс для внутреннего использования специалистами отдела анализа рынка труда и содействия трудоустройству населения
10.
sz
сетевой (информационный) ресурс для внутреннего использования специалистами отдела анализа рынка труда и содействия трудоустройству населения
11.
zam1
сетевой (информационный) ресурс для использования заместителем министра, курирующего блок занятости
12.
Garant Client
общий сетевой (информационный) ресурс для пользования правовой системой "Гарант"
13.
1C_Buch
сетевой (информационный) ресурс для хранения баз 1C
14.
1C_CZN
сетевой (информационный) ресурс для архивов баз 1C бухгалтерии центров занятости населения.
15.
1C_ZP
сетевой (информационный) ресурс для архивов базы данных 1C Зарплаты
16.
KATHARSIS
сетевой (информационный) ресурс для хранения баз данных ПК "Катарсис"
17.
Demog_PD
сетевой (информационный) ресурс для внутреннего использования специалистами отдела демографии и трудовых ресурсов
18.
Demog
сетевой (информационный) ресурс для внутреннего использования специалистами отдела демографии и трудовых ресурсов
19.
PD_5
сетевой (информационный) ресурс для внутреннего использования специалистами отдела трудовых отношений
20.
PD_7
сетевой (информационный) ресурс для внутреннего использования специалистами отдела трудовых отношений
21.
dok
сетевой (информационный) ресурс для внутреннего использования специалистами отдела анализа рынка труда и содействия трудоустройству населения
22.
generall
общий сетевой (информационный) ресурс для обмена документами между зданиями министерства
23.
GosGar
сетевой (информационный) ресурс для внутреннего использования специалистами отдела обеспечения государственных гарантий в области занятости населения
24.
Trud_Otn
сетевой (информационный) ресурс для внутреннего использования специалистами отдела трудовых отношений
25.
Disk_L
общий сетевой (информационный) ресурс для обмена информацией
26.
IT
сетевой (информационный) ресурс для внутреннего использования специалистами отдела информационных технологий и организации предоставления государственных услуг в электронной форме
27.
Install$
общий сетевой (информационный) ресурс для хранения дистрибутивов различного программного обеспечения
28.
Prezent
общий сетевой (информационный) ресурс для передачи и хранения графического материала и презентаций
29.
Consultant/consultant
region
общий сетевой (информационный) ресурс для пользования правовой системой "КонсультантПлюс"/ "Консультант регион"
30.
faxclient
общий сетевой (информационный) ресурс для просмотра принятых электронных факсов
31.
Finereader9.0
сетевой (информационный) ресурс для установки и хранения корпоративной версии Finereader9.0
32.
аст
сетевой (информационный) ресурс для проведения тестирования и аттестации специалистов министерства
33.
KRISTA
сетевой (информационный) ресурс для работы специалистов отдела бухгалтерского учета и отчетности и планово-бюджетного отдела с базой данных министерства финансов ставропольского края
34.
ADM
сетевой (информационный) ресурс для внутреннего использования администрацией министерства
35.
OSPG
сетевой (информационный) ресурс для внутреннего использования специалистами отдела социально-правовых гарантий
36.
OONVPDSV
сетевой (информационный) ресурс для внутреннего использования специалистами отдела организации назначения и выплаты пособий и других социальных выплат
37.
OPOGGMS
сетевой (информационный) ресурс для внутреннего использования специалистами отдела пенсионного обеспечения государственных гражданских и муниципальных служащих
38.
OPMSPOJKU
сетевой (информационный) ресурс для внутреннего использования специалистами отдела предоставления мер социальной поддержки по оплате жилья и коммунальных услуг
39.
ORSII
сетевой (информационный) ресурс для внутреннего использования специалистами отдела реабилитации и социальной интеграции инвалидов
40.
OSPSD
сетевой (информационный) ресурс для внутреннего использования специалистами отдела социальной поддержки семьи и детей
41.
OOSOAPN
сетевой (информационный) ресурс для внутреннего использования специалистами отдела организации социального обслуживания и адресной помощи населению
42.
OOSON
сетевой (информационный) ресурс для внутреннего использования специалистами отдела организации стационарного обслуживания населению
43.
OOMOPU
сетевой (информационный) ресурс для внутреннего использования специалистами отдела организации медицинского обслуживания в подведомственных учреждениях
44.
OKBMO
сетевой (информационный) ресурс для внутреннего использования специалистами отдела комплексной безопасности и материального обеспечения
45.
PBO
сетевой (информационный) ресурс для внутреннего использования специалистами планово-бюджетного отдела
46.
OBUO
сетевой (информационный) ресурс для внутреннего использования специалистами отдела бухгалтерского учета и отчетности
47.
KRO
сетевой (информационный) ресурс для внутреннего использования специалистами отдела аудита и контроля за использованием межбюджетных трансфертов
48.
OPO
сетевой (информационный) ресурс для внутреннего использования специалистами отдела правового обеспечения
49.
OKOGGS
сетевой (информационный) ресурс для внутреннего использования специалистами отдела кадрового обеспечения и государственной гражданской службы
50.
OAO
сетевой (информационный) ресурс для внутреннего использования специалистами организационно-аналитического отдела
Первый заместитель министра
В.В.ГУБАНОВ
Утверждена
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
Форма
ЗАЯВКА
на предоставление лицам, замещающих должности
государственной гражданской службы в министерстве труда
и социальной защиты и населения Ставропольского края доступа
к информационной среде министерства труда и социальной
защиты населения Ставропольского края
Прошу дать на доступ __________________________________________________
(Ф.И.О., должность)
к информационной среде министерства труда и социальной защиты населения
Ставропольского края (далее - министерство) на автоматизированном рабочем
месте инвентарный номер __________, для выполнения своих служебных
обязанностей. Прошу назначить права исходя из следующих минимально
необходимых требований:
1. Использования следующих информационных систем обработки
персональных данных министерства:
№ п.п.
Наименование ИСПДн
Задачи
Полномочия
1.
2. Использование следующих сетевых (информационных) ресурсов министерства:
№ п.п.
Задачи
Полномочия
Полномочия
1.
3. Использование следующих программных продуктов, не входящих в минимальный установленный набор программного обеспечения министерства:
№ п.п.
Задачи
Роль
Полномочия
1.
Начальник _____________________ ____________________ ______________________
(наименование отдела) (подпись) (Ф.И.О.)
Утверждена
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
Форма
ЗАЯВКА
на исключение (изменение) прав доступа лица, замещающего
должность государственной гражданской службы в министерстве
труда и социальной защиты и населения Ставропольского края
из информационной среды министерства труда и социальной
защиты населения Ставропольского края
_____________________ права доступа _______________________________________
(исключить (изменить) (Ф.И.О., должность)
из информационной среды министерства труда и социальной защиты населения
Ставропольского края связи с ______________________________________________
(причина исключения (изменение) прав доступа)
Начальник _____________________ ____________________ ______________________
(наименование отдела) (подпись) (Ф.И.О.)
Утверждена
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
Форма
КАРТА
персонального доступа лица, замещающего должность
государственной гражданской службы в министерстве труда
и социальной защиты населения Ставропольского края
Разрешить доступ ______________________________________________________
(Ф.И.О., должность)
в соответствии с поданной заявкой на предоставление лицам, замещающих
должности государственной гражданской службы в министерстве труда и
социальной защиты и населения Ставропольского края, доступа к
информационной среде министерства труда и социальной защиты населения
Ставропольского края для выполнения должностных обязанностей (далее -
министерство).
Разрешить использование в соответствии с полномочиями _________________
___________________________________________________________________________
(наименование полномочия)
следующих информационных ресурсов министерства: ___________________________
___________________________________________________________________________
(наименование информационных ресурсов)
Разрешить использовать следующее программное обеспечение, не входящее
в минимальный установленный набор программного обеспечения министерства:
___________________________________________________________________________
(наименование программного обеспечения)
Разрешить (запретить) подключение дополнительных устройств внешних
носителей в связи с исполнением должностных обязанностей.
Начальник _____________________ ____________________ ______________________
(наименование отдела) (подпись) (Ф.И.О.)
С персональной картой
доступа ознакомлен ____________________ ______________________
(подпись) (Ф.И.О.)
Утверждена
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ И ЗАЩИТУ
ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ
НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Общие положения
1.1. Ответственный за организацию обработки и защиту персональных данных в министерстве труда и социальной защиты населения Ставропольского края уполномочивается приказом министерства (далее соответственно - ответственное лицо, министерство).
1.2. Ответственное лицо в своей деятельности руководствуется законодательством Российской Федерации в области персональных данных, настоящей Инструкцией, Правилами обработки и защиты персональных данных в министерстве труда и социальной защиты населения Ставропольского края, утверждаемыми приказом министерства, и иными нормативными актами министерства в области персональных данных.
1.3. Ответственное лицо является уполномоченным на поддержание достигнутого уровня защиты информационных систем персональных данных министерства, а также объектов информатизации министерства (далее - ИСПДн).
1.4. Под объектами информатизации следует понимать:
средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, локальные вычислительные сети и информационные системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления информационными, управленческими и технологическими процессами, систем связи и передачи данных, технических средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные устройства и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемых для реализации процессов ведения деятельности, обработки информации, содержащих персональные данные субъектов министерства;
технические средства и системы, не обрабатывающие непосредственно персональные данные субъектов министерства, но размещенные в помещениях, где она обрабатывается;
защищаемые помещения (выделенные помещения, в которых ведется обработка персональных данных субъектов министерства).
1.5. Ответственное лицо осуществляет методическое руководство лиц, замещающих государственные должности, должности государственной гражданской службы в министерстве (далее - уполномоченные служащие) в области персональных данных. Требования ответственного лица, связанные с выполнением им своих должностных обязанностей в области персональных данных, обязательны для исполнения всеми уполномоченными служащими министерства, имеющими доступ к персональным данным.
2. Обязанности ответственного лица
2.1. Ответственное лицо в целях реализации своих полномочий обязано:
2.1.2. Уведомлять уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) об обработке персональных данных, предусмотренных частью 3 статьи 22 Федерального закона "О персональных данных" или об изменениях сведений, указанных в ранее направленном уведомлении, а также в случае прекращения обработки персональных данных.
2.1.3. Организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в министерстве, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2.1.4. Осуществлять внутренний контроль за соблюдением требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных.
2.1.5. Обеспечивать доведение до сведения уполномоченных служащих министерства положения законодательства Российской Федерации в области персональных данных, нормативных актов по вопросам обработки персональных данных, требований к защите персональных данных.
2.1.6. Вносить предложения по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации в области персональных данных.
2.1.7. Принимать меры по восстановлению нарушенных прав субъектов персональных данных в случае нарушения в министерстве требований законодательства Российской Федерации в области персональных данных.
2.1.8. Организовать комплексную защиту объектов информатизации министерства, а именно:
организация защиты персональных данных субъектов министерства;
разработка организационных мероприятий, обеспечивающих безопасность объектов информатизации министерства, своевременное выявление и устранение возможных каналов утечки информации;
организация проведения работ по технической защите информации на объектах информатизации, в информационно-вычислительных сетях, системах и средствах связи и телекоммуникаций министерства;
реализация технических мер, обеспечивающих своевременное выявление возможных технических каналов утечки информации в структурных подразделениях министерства;
методическое руководство системой обеспечения информационной безопасности министерства;
организация контроля состояния и оценки эффективности системы обеспечения информационной безопасности и реализация мер по ее совершенствованию;
внедрение в информационную инфраструктуру министерства современных методов и средств обеспечения информационной безопасности.
2.2. Имеет право:
составлять акты при выявлении нарушений требований по защите персональных данных в министерстве, служебные записки, отчеты для рассмотрения руководством министерства;
принимать необходимые меры при обнаружении несанкционированного доступа к персональным данным, как внутри министерства, так извне, и докладывать о принятых мерах министру труда и социальной защиты населения Ставропольского края (далее - министру) с представлением информации о субъектах, нарушивших режим доступа;
вносить на рассмотрение министра предложения, акты, заключения о приостановлении работ в случае обнаружения каналов утечки (или предпосылок к утечке) информации ограниченного доступа;
давать структурным подразделениям министерства, а также уполномоченным служащим министерства обязательные для исполнения указания по вопросам, входящим в компетенцию ответственного лица;
запрашивать и получать от всех структурных подразделений министерства сведения, справочные и другие материалы, необходимые для осуществления деятельности ответственного лица;
составлять акты и другую техническую документацию о степени защищенности объектов информатизации;
готовить предложения о привлечении к проведению работ по оценке эффективности защиты персональных данных на объектах министерства (на договорной основе) учреждений и организаций, имеющих лицензию на соответствующий вид деятельности, а также предложения о закупке необходимых технических средств защиты и другой спецтехники, имеющих в обязательном порядке сертификат качества;
представлять интересы министерства при осуществлении государственного контроля и надзора за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
3. Функции ответственного лица
3.1. Для выполнения своих обязанностей ответственное лицо осуществляет следующие функции:
контроль за организацией доступа уполномоченных служащих министерства к персональным данным субъектов министерства;
разработка и внедрение организационных мероприятий и технических мер по комплексной защите персональных данных;
планирование работы по защите персональных данных в министерстве;
контроль за выполнением мероприятий по защите персональных данных, анализ материалов контроля, выявление недостатков и нарушений, в том числе разработка и реализация мер по их устранению;
обеспечение взаимодействия с контрагентами по вопросам организации и проведения проектно-изыскательских, научно-исследовательских, опытно-конструкторских и других работ по защите информации;
участие в разработке технических заданий на выполняемые исследования и работы;
контроль за выполнением плановых заданий, договорных обязательств, а также сроков, полноты и качества работ по защите персональных данных, выполняемых контрагентами;
разработка и принятие мер по обеспечению финансирования работ по защите персональных данных, в том числе выполняемых по договорам;
проведение работ по технической защите информации в министерстве, в том числе оценка эффективности принятых мер по технической защите информации;
организация мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным или передача их лицам, не имеющим права доступа к такой информации;
выявление демаскирующих признаков, возможных каналов утечки информации, в том числе по техническим каналам, разработка мер по их устранению и предотвращению;
постоянный контроль за обеспечением уровня защищенности персональных данных;
контроль за обеспечением функционирования и безопасности криптосредств;
обеспечение соответствия проводимых работ по защите персональных данных технике безопасности, правилам и нормам охраны труда.
4. Ответственность
4.1. Ответственность за надлежащее и своевременное выполнение функций, предусмотренных настоящей Инструкцией, несет лично ответственное лицо.
4.2. На ответственное лицо возлагается персональная ответственность за:
обеспечение сохранности принятых на ответственное хранение в отдел информационных технологий и организации предоставления государственных услуг в электронной форме программных, технических и других материальных средств для защиты персональных данных;
своевременное, а также качественное исполнение документов и поручений руководства министерства, ведение делопроизводства в соответствии с действующими правилами и инструкциями;
обеспечение сохранности принимаемой и достоверность передаваемой информации;
недопущение использования информации в неслужебных целях;
надлежащий контроль за режимом доступа к персональным данным субъектов министерства;
качество проводимых им работ по контролю за соблюдением уполномоченных служащих министерства к персональным данным субъектов министерства, законодательства Российской Федерации, в том числе требований к защите обрабатываемых персональных данных, нормативных актов министерства по вопросам обработки персональных данных, состояние и поддержание установленного уровня защиты информационных систем персональных данных.
Первый заместитель министра
В.В.ГУБАНОВ
Утверждены
приказом
министерства труда и социальной защиты
населения Ставропольского края
от 21 апреля 2014 г. № 265
ПРАВИЛА
ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Общие положения
1.1. Настоящие Правила разработаны с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных в министерстве труда и социальной защиты населения Ставропольского края (далее - министерство), в том числе права на неприкосновенность частной жизни, личную и семейную тайну, а также определяют:
политику министерства как оператора, осуществляющего обработку персональных данных, в том числе в отношении защиты персональных данных;
содержание, условия и порядок обработки, хранения и уничтожения персональных данных;
меры, направленные на защиту персональных данных в министерстве;
ответственность за невыполнение требований норм установленных законодательством Российской Федерации, регулирующих обработку и защиту персональных данных.
1.3. Обработка персональных данных в министерстве осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и настоящими Правилами.
1.4. Настоящие Правила разработаны в соответствии с:
Конституцией Российской Федерации;
Гражданским кодексом Российской Федерации;
Кодексом Российской Федерации об административных правонарушениях;
Трудовым кодексом Российской Федерации;
Уголовным кодексом Российской Федерации;
Федеральным законом "О государственной гражданской службе Российской Федерации";
Федеральным законом "Об информации, информационных технологиях и о защите информации";
Федеральным законом "О персональных данных";
Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации";
Федеральным законом "О противодействии коррупции";
Федеральным законом "Об организации предоставления государственных и муниципальных услуг";
Указом Президента Российской Федерации от 30 мая 2005 года № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление № 687);
Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
1.5. Понятия, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом "О персональных данных".
2. Условия, цели и порядок обработки персональных данных
2.1. Министерство является оператором, организующим и осуществляющим в соответствии с Федеральным законом "О персональных данных" обработку персональных данных субъектов персональных данных:
2.1.1. Замещающих государственные должности Ставропольского края в министерстве (далее - государственные должности), членов их семей, лиц, претендующих на замещение государственных должностей, их семей.
2.1.2. Государственных гражданских служащих Ставропольского края, замещающих должности государственной гражданской службы Ставропольского края в министерстве (далее соответственно - должности гражданской службы, гражданская служба, гражданские служащие министерства), членов их семей, лиц, претендующих на замещение должностей гражданской службы в министерстве, членов их семей.
2.1.3. Работников министерства, замещающих должности, не являющимися должностями гражданской службы (далее соответственно - работники министерства, должности работников министерства), лиц, претендующих на замещение должностей работников министерства, руководителей учреждений подведомственных министерству, лиц, претендующих на замещение должностей руководителей учреждений, подведомственных министерству.
2.1.4. Иные сторонние лица, обработка персональных данных которых осуществляется министерством в соответствии с законодательством Российской Федерации и законодательством Ставропольского края (далее - иные сторонние лица).
2.2. Автоматизированная обработка персональных данных ведется в информационных системах персональных данных министерства, перечень которых указан в приложении 1 к настоящим Правилам, в соответствии с утверждаемым министерством перечнем государственных должностей, должностей гражданской службы в министерстве, замещение которых дает право обработки персональных данных либо доступа к персональным данным с использованием автоматизированной обработки персональных данных (далее - ИСПДн).
2.3. Неавтоматизированная обработка персональных данных в министерстве ведется в соответствии с требованиями Постановления № 687 и утверждаемым министерством перечнем государственных должностей, должностей гражданской службы в министерстве, замещение которых дает право обработки персональных данных без использования средств автоматизации, либо доступа к персональным данным (далее - уполномоченные служащие министерства).
2.4. Уполномоченные служащие министерства ознакамливаются с положениями законодательства Российской Федерации и нормативными актами министерства в области персональных данных (в том числе с требованиями к защите персональных данных) и подписывают обязательство лица, замещающего должность, замещение которой дает право обработки персональных данных либо доступа к персональным данным в министерстве, по соблюдению требований законодательства Российской Федерации в области персональных данных по форме, указанной в приложении 2 к настоящим Правилам.
2.5. Обработка персональных данных субъектов персональных данных и иных сторонних лиц с использованием ИСПДн министерства осуществляется в соответствии с требованиями, установленными законодательством Российской Федерации.
2.6. Персональные данные лиц, замещающих государственные должности в министерстве, и членов их семей, лиц, претендующих на замещение государственных должностей в министерстве, и членов их семей обрабатываются в целях:
1) формирования кадровых документов для ведения реестра государственных должностей в министерстве с использованием ИСПДн программного комплекса "Кадры государственных и муниципальных служащих Ставропольского края" и осуществления всех действий министерства, связанных с реализацией своих полномочий по организации гражданской службы;
2) осуществления действий, связанных с обеспечением лицам, замещающим государственные должности, условий труда, предоставления гарантий и компенсаций, обязательным социальным страхованием, осуществлением расчетов по оплате труда и иным выплатам, связанным с замещением государственной должности, иных действий, связанных с замещением государственной должности, представлением к государственным наградам Российской Федерации и награждением наградами Ставропольского края и направленных на реализацию положений Трудового кодекса Российской Федерации, Федерального закона "О противодействии коррупции", иных нормативных правовых актов Российской Федерации, и иных нормативных правовых актов Ставропольского края в области трудовых правоотношений и наград, а также в случаях включения их в резерв управленческих кадров Ставропольского края (далее - резерв управленческих кадров), кадровый резерв на гражданской службе в соответствии с Перечнем поручений Президента Российской Федерации по итогам совещания по формированию резерва управленческих кадров 23 июля 2008 г. от 01 августа 2008 г. № Пр-1573 (далее - перечень поручений Президента РФ № Пр-1573) и нормативными правовыми актами Ставропольского края в области организации работы с резервом управленческих кадров, кадровым резервом на гражданской службе.
2.7. Персональные данные гражданских служащих министерства, членов их семей, лиц, претендующих на замещение должностей гражданской службы в министерстве, членов их семей обрабатываются в целях:
1) формирования кадровых документов для поступления на должности гражданской службы, прохождения гражданской службы и выполнения связанных с этим требований трудового законодательства Российской Федерации, законодательства Российской Федерации о государственной гражданской службе и о противодействии коррупции;
2) осуществления действий, связанных с обеспечением гражданским служащим условий труда, предоставлением гарантий и компенсаций, обязательным государственным страхованием гражданских служащих, обязательным социальным страхованием, осуществлением расчетов по оплате труда и иным выплатам, связанным с замещением должности гражданской службы, иных действий, связанных с замещением должности гражданской службы, представлением к государственным наградам Российской Федерации и награждением наградами Ставропольского края и направленных на реализацию положений Трудового кодекса Российской Федерации, законодательства Российской Федерации, Закона Ставропольского края от 17 февраля 2005 г. № 4-кз "О некоторых вопросах государственной гражданской службы Ставропольского края", постановления Правительства Ставропольского края от 15 июня 2011 г. № 231-п "Об утверждении Порядка и условий предоставления государственным гражданским служащим Ставропольского края единовременной субсидии на приобретение жилого помещения и Порядка формирования и ведения базы данных государственных гражданских служащих Ставропольского края, состоящих на учете для получения единовременной субсидии на приобретение жилого помещения и снятых с такого учета" и нормативных правовых актов Ставропольского края в области трудовых правоотношений и наград;
3) ведения реестра гражданских служащих с использованием ИСПДн программного комплекса "Кадры государственных и муниципальных служащих Ставропольского края" и осуществления всех действий министерства, связанных с реализацией своих полномочий по организации гражданской службы;
4) включения в резерв управленческих кадров, кадровый резерв на гражданской службе в соответствии с перечнем поручений Президента РФ № Пр-1573, иными нормативными правовыми актами Ставропольского края в области организации работы с резервом управленческих кадров, кадровым резервом на гражданской службе.
2.8. Персональные данные работников министерства, лиц, претендующих на замещение должностей работников министерства, руководителей подведомственных министерству учреждений, лиц, претендующих на замещение должностей руководителей подведомственных министерству учреждений, обрабатываются в целях:
1) формирования кадровых документов для поступления на должности работников министерства, руководителей подведомственных министерству учреждений и выполнения связанных с этим требований трудового законодательства Российской Федерации, а в части руководителей подведомственных министерству учреждений ~ законодательства Российской Федерации о противодействии коррупции;
2) осуществления действий, связанных с обеспечением работникам министерства, руководителям подведомственных министерству учреждений условий труда, предоставлением гарантий и компенсаций, обязательным социальным страхованием, осуществлением расчетов по оплате труда и иным выплатам, связанным с замещением должностей работников министерства и руководителей подведомственных министерству учреждений, иных действий, связанных с замещением должностей работников министерства, руководителей подведомственных министерству учреждений, представлением к государственным наградам Российской Федерации и награждением наградами Ставропольского края и направленных на реализацию положений Трудового кодекса Российской Федерации, иных нормативных правовых актов Российской Федерации и нормативных правовых актов Ставропольского;
3) включения в резерв управленческих кадров, кадровый резерв на гражданской службе в соответствии с перечнем поручений Президента РФ № Пр-1573, и иными нормативными правовыми актами Ставропольского края в области организации работы с резервом управленческих кадров, кадровым резервом на гражданской службе.
2.9. Персональные данные иных сторонних лиц обрабатываются в целях:
1) предоставления государственных услуг, исполнения государственных функций и полномочий возложенных на министерство, в соответствии с законодательством Российской Федерации, законодательством Ставропольского края;
2) организации приема граждан, обеспечения своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции министерства;
3) организации работы по формированию, ведению, подготовке и использованию резерва управленческих кадров, кадрового резерва на гражданской службе в соответствии с перечнем поручений Президента РФ № Пр-1573, и иными нормативными правовыми актами Ставропольского края в области организации работы с резервом управленческих кадров, кадровым резервом на гражданской службе.
2.10. Состав персональных данных, обрабатываемых в министерстве, указан в приложении 3 к настоящим Правилам.
2.11. При обработке персональных данных в министерстве объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных, указанным в пунктах 2.6 - 2.9 настоящих Правил.
2.12. Персональные данные субъектов персональных данных, указанных в подпунктах 2.1.1 - 2.1.4 настоящих Правил, обрабатываются на бумажных носителях и в ИСПДн министерства в структурных подразделениях министерства в соответствии с их компетенцией.
2.13. Получение министерством персональных данных осуществляется непосредственно у субъекта персональных данных. Если персональные данные возможно получить только у третьих лиц, то субъект персональных данных уведомляет министерство об этом заранее и представляет свое письменно оформленное согласие на обработку персональных данных по форме приложения 4 (далее - письменное согласие на обработку персональных данных).
2.14. Кроме случая, указанного в пункте 2.13 настоящих Правил, обработка персональных данных субъектов персональных данных, указанных в подпунктах 2.1.1 - 2.1.4 настоящих Правил, осуществляется при условии получения их письменного согласия на обработку персональных данных, если иное не установлено Федеральным законом "О персональных данных", в следующих случаях:
1) при передаче (распространении, представлении) персональных данных третьим лицам в случаях, не предусмотренных действующим трудовым законодательством Российской Федерации, законодательством Российской Федерации о государственной гражданской службе, о муниципальной службе в Российской Федерации, о государственных наградах Российской Федерации;
2) при трансграничной передаче персональных данных;
3) при принятии решений, порождающих юридические последствия в отношении лиц, указанных в подпунктах 2.1.1 - 2.1.4 настоящих Правил, или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
2.15. Обработка персональных данных субъектов персональных данных, указанных в подпунктах 2.1.1 - 2.1.4 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона "О персональных данных" осуществляется без их письменного согласия на обработку персональных данных в рамках целей обработки персональных данных, указанных в пунктах 2.6 - 2.9 настоящих Правил.
2.16. Обработка специальных категорий персональных данных субъектов персональных данных, указанных в подпунктах 2.1.1 - 2.1.3 настоящих Правил, осуществляется без их письменного согласия на обработку персональных данных в целях обработки персональных данных, указанных в пунктах 2.6 - 2.9 настоящих Правил, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона "О персональных данных" и положениями Трудового кодекса Российской Федерации, федеральных законов "О системе государственной службы Российской Федерации", "О государственной гражданской службе Российской Федерации", "О противодействии коррупции", за исключением случаев получения персональных данных соответствующего субъекта персональных данных у третьих лиц.
2.17. Согласие на обработку персональных данных субъекта персональных данных не требуется при обработке общедоступных персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации в области персональных данных.
2.18. Уполномоченные служащие министерства с учетом установленной компетенции сообщают субъекту персональных данных о составе персональных данных, обрабатываемых в министерстве, и целях их обработки. Разъяснение юридических последствий отказа субъекта персональных данных представить свои персональные данные доводится до сведения субъектов персональных данных по форме приложения 5 к настоящим Правилам.
2.19. Передача, опубликование и распространение персональных данных субъектов персональных данных допускается в случаях, установленных законодательством Российской Федерации.
3. Обработка персональных данных в рамках
межведомственного информационного взаимодействия
с применением единой системы межведомственного
электронного взаимодействия
3.1. Министерство в соответствии с законодательством Российской Федерации осуществляет обработку персональных данных в рамках межведомственного электронного информационного взаимодействия в электронном виде с федеральными органами государственной власти с применением единой системы межведомственного электронного взаимодействия (далее - СМЭВ).
3.2. Министерство в рамках СМЭВ на основании поступивших межведомственных запросов направляет информацию, включающую персональные данные субъектов персональных данных, обрабатываемые в министерстве, в следующие федеральные органы исполнительной власти:
в Пенсионный фонд Российской Федерации:
фамилию, имя, отчество и иные персональные данные в соответствии с законодательством Российской Федерации, необходимые для достижения целей обработки персональных данных, указанных в пункте 2.9 настоящих Правил;
в Федеральную миграционную службу Российской Федерации;
фамилию, имя, отчество и иные персональные данные в соответствии с законодательством Российской Федерации, необходимые для достижения целей обработки персональных данных, указанных в пункте 2.9 настоящих Правил.
3.3. Министерство в рамках СМЭВ вправе направить межведомственные запросы о предоставлении информации, включающей персональные данные субъектов, в следующие федеральные органы исполнительной власти:
в Федеральную налоговую службу - о предоставлении информации из Единого государственного реестра юридических лиц и Единого государственного реестра индивидуальных предпринимателей (сведения об учредителях - физических лицах и иные персональные данные в соответствии с законодательством Российской Федерации, необходимые для достижения целей обработки персональных данных, указанных в пункте 2.9 настоящих Правил);
в Федеральную службу государственной регистрации, кадастра и картографии - о предоставлении информации из Единого государственного реестра прав на недвижимое имущество в отношении правообладателей (фамилия, имя, отчество, дата рождения, серия и номер основного документа, удостоверяющего личность, место рождения, адрес места жительства, гражданство и иные персональные данные в соответствии с законодательством Российской Федерации, необходимые для достижения целей обработки персональных данных, указанных в пункте 2.9 настоящих Правил);
в Министерство Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий - о предоставлении сведений о пожаре (фамилия, имя, отчество, адрес возгорания и иные персональные данные в соответствии с законодательством Российской Федерации, необходимые для достижения целей обработки персональных данных, указанных в пункте 2.9 настоящих Правил);
в Пенсионный фонд Российской Федерации - о представлении сведений о пенсиях и других социальных выплатах, о страховом номере индивидуального лицевого счета гражданина в системе обязательного пенсионного страхования (фамилия, имя, отчество, размеры получаемой пенсии и других социальных выплат, страховой номер индивидуального лицевого счета и иные персональные данные в соответствии с законодательством Российской Федерации, необходимые для достижения целей обработки персональных данных, указанных в пункте 2.9 настоящих Правил).
4. Защита персональных данных субъектов персональных данных
4.1. Защита персональных данных субъектов персональных данных и иных сторонних лиц от несанкционированного доступа, неправомерного использования или утраты обеспечивается министерством в порядке, установленном законодательством Российской Федерации.
4.2. Обеспечение безопасности персональных данных субъектов персональных данных при их обработке в ИСПДн министерства осуществляется ответственным за организацию обработки и защиту персональных данных министерства (далее - ответственное лицо) уполномочиваемым приказом министерства, совместно с администраторами автоматизированной системы министерства (далее - администраторы АС), в соответствии с утверждаемым министерством перечнем должностей государственных гражданских служащих министерства, ответственных за техническое обслуживание информационных систем персональных данных министерства и администраторами информационной безопасности в структурных подразделениях министерства (далее - Администраторы ИБ), в соответствии с утверждаемым министерством перечнем должностей государственных гражданских служащих в министерстве, являющихся администраторами информационной безопасности в структурных подразделениях министерства, путем исключения несанкционированного, в том числе случайного, доступа к персональным данным субъектов персональных данных, указанным в подпунктах 2.1.1 - 2.1.4 настоящих Правил, а также принятия следующих мер по обеспечению безопасности персональных данных:
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах министерства, необходимых для выполнения требований к защите персональных данных;
применение средств криптографической защиты информации и средств защиты информации, установленных законодательством Российской Федерации в области персональных данных;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных в ИСПДн министерства;
обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности ИСПДн министерства;
принятие иных мер, предусмотренных законодательством Российской Федерации в области персональных данных.
5. Сроки обработки и хранения персональных данных
5.1. Хранение персональных данных субъектов персональных данных, указанных в подпунктах 2.1.1 - 2.1.4 настоящих Правил, должно осуществляться в форме, позволяющей определить субъекта персональных данных или иного стороннего лица, не дольше, чем этого требуют цели их обработки.
5.2. Сроки обработки и хранения в министерстве персональных данных субъектов персональных данных, указанных в подпункте 2.1.1 - 2.1.4 настоящих Правил, определяются в соответствии с законодательством Российской Федерации и законодательством Ставропольского края.
5.3. Персональные данные, предоставляемые в министерство субъектами персональных данных, указанными в подпункте 2.1.1 - 2.1.4 на бумажном носителе, хранятся в структурных подразделениях министерства, в специально оборудованных шкафах и сейфах, в соответствии с утверждаемым приказом перечнем мест хранения документов, содержащих персональные данные субъектов персональных данных министерства.
5.4. Ответственность за обеспечение сохранности документов, содержащих персональные данные субъектов персональных данных министерства, несут уполномоченные служащие министерства, назначаемые приказом министерства.
5.5. Персональные данные, обрабатываемые без использования средств автоматизации, должны обособляться от иной информации, в том числе путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
5.6. В случае достижения целей обработки персональных данных субъекта персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации в области персональных данных, а также в случае отзыва субъектом персональных данных письменного согласия на обработку его персональных данных министерство обязано незамедлительно прекратить обработку персональных данных соответствующего субъекта персональных данных и уничтожить их в срок, не превышающий 30 дней со дня достижения целей обработки персональных данных (поступления отзыва субъектом персональных данных письменного согласия на обработку его персональных данных), если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
6. Порядок уничтожения обработанных
персональных данных в министерстве
6.1. Уничтожение обработанных персональных данных в министерстве в целях исключения их дальнейшей обработки осуществляется в сроки, установленные законодательством Российской Федерации.
6.2. Документы, содержащие персональные данные, наряду с иными документами формируются в дела в структурных подразделениях министерства в соответствии с номенклатурой дел министерства и передаются на хранение в архив министерства в порядке, установленном Инструкцией по делопроизводству в министерстве, утвержденной приказом министерства от 27 ноября 2013 г. № 360.
6.3. Выделение документов с истекшими сроками хранения, в том числе документов, содержащих персональные данные, и подлежащих уничтожению, осуществляется государственным казенным архивным учреждением "Государственный архив Ставропольского края" (в рамках отдельно заключаемого договора) совместно с архивом министерства. По результатам такой работы один раз в два года составляется акт о выделении к уничтожению дел, не подлежащих хранению, включающий в себя наряду с иными документами документы, содержащие персональные данные (далее - дела, не подлежащие хранению), который подписывается специалистом организационно-аналитического отдела, в должностные обязанности которого входит организация архива министерства.
6.4. Акт о выделении к уничтожению дел, не подлежащих хранению, один раз в два года рассматривается на заседании экспертной комиссии министерства, образованной приказом министра от 25 марта 2014 г. № 224. По итогам рассмотрения на заседании экспертной комиссии министерства о выделении к уничтожению дел, не подлежащих хранению, экспертная комиссия министерства согласовывает акт о выделении к уничтожению дел, направляет на согласование ответственному лицу и в государственное казенное архивное учреждение "Государственный архив Ставропольского края" для подготовки акта о выделении к уничтожению дел к согласованию экспертно-проверочной комиссией комитета Ставропольского края по делам архивов.
6.5. Акт о выделении к уничтожению дел, не подлежащих хранению, согласованный экспертно-проверочной комиссией комитета Ставропольского края по делам архивов, утверждается министром. На основании такого акта осуществляется уничтожение дел, не подлежащих хранению, в соответствии с порядком их уничтожения, утверждаемым приказом министерства.
6.6. Уничтожение обработанных персональных данных из ИСПДн министерства осуществляется штатными средствами ИСПДн в соответствии с пунктом 5.6 настоящих Правил, администраторами АС, совместно с администраторами баз данных министерства (далее - администраторы БД), в соответствии с утверждаемым приказом министерства перечнем должностей государственных гражданских служащих министерства, ответственных за техническое обслуживание информационных систем персональных данных министерства и администраторами ИБ.
6.7. Уничтожение по окончании срока обработки персональных данных на машинных носителях персональных данных производится комиссией утверждаемой приказом министерства, путем механического нарушения целостности машинного носителя персональных данных, не позволяющего произвести считывание или восстановление персональных данных., или удалением с машинных носителей персональных данных методами и средствами гарантированного удаления остаточной информации. При этом составляется акт уничтожения персональных данных (машинных носителей персональных данных) в министерстве, по форме утверждаемой приказом министерства.
7. Условия обезличивания и правила
работы с обезличенными данными
7.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных субъекта персональных данных, снижения класса ИСПДн министерства и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
7.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
уменьшение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
обобщение (понижение) точности сведений;
деление сведений на части и обработка в разных ИСПДн;
другие способы, не запрещенные законодательством Российской Федерации.
7.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных или их уничтожение.
7.4. Обезличивание обрабатываемых персональных данных проводят уполномоченные служащие министерства, в соответствии с утверждаемым приказом министерства перечнем должностей государственных гражданских служащих в министерстве труда и социальной защиты населения Ставропольского края, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в министерстве труда и социальной защиты населения Ставропольского края, руководствуясь приказами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05 сентября 2013 г. № 966 "Об утверждении требований и методов по обезличиванию персональных данных", от 12 декабря 2013 г. "Методические рекомендации по применению Приказа Роскомнадзора от 05 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных".
7.5. Контроль за мероприятиями по проведению обезличивания обрабатываемых персональных данных проводят ответственное лицо совместно с администраторами БД.
7.6. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
7.7. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
7.8. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
парольной политики;
антивирусной политики;
правил работы с машинными носителями персональных данных;
правил резервного копирования;
правил доступа в помещения, где расположены автоматизированные рабочие места с ИСПДн министерства.
7.9. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение; хранения бумажных носителей в условиях, исключающих доступ к ним посторонних лиц; соблюдение правил доступа в помещения, в которых ведется обработка персональных данных, в соответствии с утверждаемой приказом министерства инструкцией порядка доступа в помещения министерства, в которых ведется обработка персональных данных.
8. Порядок рассмотрения запросов субъектов
персональных данных или их представителей
8.1. Запросы субъектов персональных данных или их представителей на получение информации, касающейся обработки персональных данных субъектов персональных данных, рассматриваются уполномоченными служащими министерства в соответствии с законодательством Российской Федерации в области персональных данных (далее - запросы, представитель).
8.2. Обращение субъекта персональных данных или его представителя фиксируются в журнале учета обращений субъектов для получения доступа к своим персональным данным по форме приложения 6 к настоящим Правилам.
8.3. В случае если у представителя субъекта персональных данных отсутствуют документы, подтверждающие его полномочия на получение персональных данных субъекта персональных данных, либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных представителю, обратившемуся с запросом, министерство в лице своих уполномоченных служащих вправе отказать в представлении персональных данных соответствующего субъекта персональных данных. В этом случае представителю, обратившемуся с запросом, направляется письменный мотивированный отказ в представлении информации, указанной в его запросе.
9. Ответственность уполномоченного служащего министерства
за нарушение норм, регулирующих обработку и защиту
персональных данных субъектов
Уполномоченные служащие министерства, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности, а также к дисциплинарной ответственности в соответствии с законодательством Российской Федерации.
Первый заместитель министра
В.В.ГУБАНОВ
Приложение
к Правилам
обработки и защиты персональных
данных в министерстве труда и социальной
защиты населения Ставропольского края
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
N
п/п
Наименование
Уровень
защищенности
1.
1C зарплата и кадры
4
2.
142 - реестр получателей компенсационных выплат
4
3.
475 - реестр получателей компенсационных выплат
4
4.
Адресная социальная помощь
2
5.
Назначение и выплата пенсий
4
6.
Налогоплательщик
4
7.
ОГБД Ветераны
4
8.
Отдел бухгалтерского учета и отчетности
4
9.
Отдел кадрового обеспечения и государственной гражданской службы
4
10.
Отдел организации медицинского обслуживания в подведомственных учреждениях
3
11.
Отдел организации назначения и выплаты пособий и других социальных выплат
4
12.
Отдел организации социального обслуживания и адресной помощи населению
3
13.
Отдел пенсионного обеспечения государственных гражданских и муниципальных служащих
3
14.
Отдел социальной поддержки семьи и детей
4
15.
Отдел социально-правовых гарантий
4
16.
Отдел трудовых отношений, демографии и трудовых ресурсов
3
17.
ПК Катарсис
2
18.
Планово-бюджетный отдел
4
19.
ПФР-213
->
20.
Регистр детей инвалидов
3
21.
Спецавтотранспорт для инвалидов
4
22.
Стационар
4
23.
Система электронного документооборота "Дело"
3
24.
- детские пособия
4
25.
КзоЬез - детские пособия
4
Приложение
к Правилам
обработки и защиты персональных
данных в министерстве труда и социальной
защиты населения Ставропольского края
ОБЯЗАТЕЛЬСТВО
лица, замещающего должность, замещение которой дает право
обработки персональных данных либо доступа к персональным
данным в министерстве труда и социальной защиты населения
Ставропольского края, по соблюдению требований
законодательства Российской Федерации
в области персональных данных
1. Я, ________________________________________________________________,
(Фамилия, имя, отчество)
исполняющий(ая) должностные обязанности по замещаемой должности ___________
___________________________________________________________________________
в министерстве труда и социальной защиты населения Ставропольского края
(далее - министерство), предупрежден(а) о том, что в целях исполнения мною
должностных обязанностей мне будет предоставлен доступ к персональным
данным в министерстве, в составе и целях, определяемых Правилами обработки
и защиты персональных данных в министерстве труда и социальной защиты
населения Ставропольского края, утвержденными приказом министерства от
__________________ (далее - Правила).
2. Обязуюсь при работе с персональными данными в составе, определяемом Правилами:
соблюдать требования к обработке и защите персональных данных, установленные законодательством Российской Федерации и нормативными актами министерства в области персональных данных;
не разглашать полученные при исполнении мной должностных обязанностей сведения, касающиеся субъектов персональных данных министерства;
знакомиться только с теми документами, к которым получен доступ в соответствии со служебной необходимостью;
обеспечивать сохранность закрепленных за мной носителей персональных данных;
информировать непосредственного руководителя о фактах нарушения порядка обращения с персональными данными и о попытках несанкционированного доступа к ним;
информацию о допущенных мною нарушениях установленного порядка работы, учета и хранения документов, а также о фактах разглашения сведений, содержащих персональные данные, подлежащих защите, представлять Правилам обработки и защиты персональных данных в министерстве труда и социальной защиты населения Ставропольского края
СОСТАВ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В МИНИСТЕРСТВЕ ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Персональные данные лиц, замещающих государственные должности Ставропольского края в министерстве труда и социальной защиты населения Ставропольского края (далее - министерство, государственные должности), и лиц, претендующих на замещение государственных должностей, включают в себя следующую информацию:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
дата и место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
фотографии;
номер страхового свидетельства обязательного пенсионного страхования;
идентификационный номер налогоплательщика;
номер страхового медицинского полиса обязательного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения о присвоении ученой степени, ученого звания;
медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
медицинское заключение по установленной форме об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну (при оформлении допуска к сведениям, составляющим государственную тайну);
документы, подтверждающие принадлежность налогоплательщика к категориям граждан, перечисленным в статье 218 Налогового кодекса Российской Федерации;
сведения о размере денежного содержания и иных выплат;
сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;
информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
сведения о пребывании за границей Российской Федерации;
информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
информация о наличии или отсутствии судимости;
информация об оформленных допусках к государственной тайне;
сведения о наличии государственных и иных наград;
сведения о профессиональной переподготовке и (или) повышении квалификации;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
сведения о доходах, об имуществе и обязательствах имущественного характера, сведения о расходах;
номер и вид счета;
иные персональные данные, необходимые для достижения целей обработки персональных данных, предусмотренных Правилами обработки и защиты персональных данных субъектов в министерстве труда и социальной защиты населения Ставропольского края, утверждаемыми приказом министерства (далее - Правила обработки и защиты ПДн).
2. Персональные данные членов семьи лиц, замещающих государственные должности, и лиц, претендующих на замещение государственных должностей, включают в себя следующую информацию:
фамилия, имя, отчество;
дата и место рождения;
адрес места жительства (адрес регистрации, адрес фактического проживания);
место работы (наименование и адрес организации, занимаемая должность;
в случае отсутствия основного места работы или службы - род занятий;
сведения о доходах, об имуществе и обязательствах имущественного характера, а также о расходах (супруги (супруга) и несовершеннолетних детей);
иные персональные данные, необходимые для достижения целей обработки персональных данных, предусмотренных Правилами обработки и защиты ПДн.
3. Персональные данные государственных гражданских служащих, замещающих должности гражданской службы в министерстве (далее соответственно - гражданские служащие, гражданская служба), лиц, претендующих на замещение должностей гражданской службы в министерстве, включают в себя следующую информацию:
фамилия, имя, отчество (в том числе предыдущие фамилия, имя, отчество в случае(ях) их изменения);
дата и место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
паспортные данные (вид паспорта, серия, номер, кем и когда выдан);
адрес места жительства (адрес регистрации, адрес фактического проживания);
номер контактного телефона или сведения о других способах связи;
фотографии;
сведения о семейном положении, о составе семьи, близких родственниках, о наличии иждивенцев;
сведения об уровне профессионального образования и квалификации по профессии, специальности, направлению подготовки, сведения о дополнительном профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании и (или) о квалификации);
сведения о присвоении ученой степени, ученого звания;
сведения о трудовой деятельности;
номер страхового свидетельства обязательного пенсионного страхования;
идентификационный номер налогоплательщика;
номер страхового медицинского полиса обязательного медицинского страхования;
результаты психологического тестирования;
сведения о наличии государственных и иных наград;
сведения о воинском учете и реквизиты документов воинского учета;
информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
информация о наличии или отсутствии судимости;
информация об оформленных допусках к государственной тайне;
сведения о пребывании за границей Российской Федерации;
сведения о доходах, об имуществе и обязательствах имущественного характера, сведения о расходах;
медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
медицинское заключение по установленной форме об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну (при оформлении допуска к сведениям, составляющим государственную тайну);
документы, подтверждающие принадлежность налогоплательщика к категориям граждан, перечисленным в статье 218 Налогового кодекса Российской Федерации;
сведения о размере денежного содержания и иных выплат;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
номер и вид счета;
информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
иные персональные данные, необходимые для достижения целей обработки персональных данных, предусмотренных Правилами обработки и защиты ПДн.
4. Персональные данные членов семей гражданских служащих министерства, лиц, претендующих на замещение должностей гражданской службы в министерстве, членов семей гражданских служащих, включают в себя следующую информацию:
фамилия, имя, отчество;
дата и место рождения;
паспортные данные (вид паспорта, серия, номер, кем и когда выдан);
адрес места жительства (адрес регистрации, адрес фактического проживания);
сведения о семейном положении, о наличии детей;
место работы (наименование и адрес организации, занимаемая должность;
сведения о доходах, об имуществе и обязательствах имущественного характера, а также о расходах (супруги (супруга) и несовершеннолетних детей);
персональные данные, содержащиеся в копии поквартирной карточки и (или) выписке из домовой книги, копии финансового лицевого счета на оплату жилого помещения и коммунальных услуг, выданной уполномоченной организацией, копиях документов о наличии жилых помещений в собственности и (или) жилых помещений, предоставленных по договорам социального найма;
иные персональные данные, необходимые для достижения целей обработки персональных данных, предусмотренных Правилами обработки и защиты персональных данных.
5. Персональные данные работников, замещающих в министерстве должности, не являющиеся должностями гражданской службы (далее - работники министерства) и лиц, претендующих на замещение должностей работников министерства, включают в себя следующую информацию:
фамилия, имя, отчество (в том числе предыдущие фамилия, имя, отчество в случае(ях) их изменения);
дата и место рождения;
гражданство (в том числе предыдущее в случае(ях) его изменения);
паспортные данные (вид паспорта, серия, номер, кем и когда выдан);
адрес места жительства (адрес регистрации, адрес фактического проживания);
номер контактного телефона или сведения о других способах связи;
фотографии;
сведения о семейном положении, о составе семьи;
сведения об уровне профессионального образования и квалификации по профессии, специальности, направлению подготовки, сведения о дополнительном профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании и (или) о квалификации);
сведения о присвоении ученой степени, ученого звания;
сведения о трудовой деятельности;
номер страхового свидетельства обязательного пенсионного страхования;
идентификационный номер налогоплательщика;
номер страхового медицинского полиса обязательного медицинского страхования;
сведения о наличии государственных и иных наград;
сведения о воинском учете и реквизиты документов воинского учета;
документы, подтверждающие принадлежность налогоплательщика к категориям граждан, перечисленным в статье 218 Налогового кодекса Российской Федерации;
сведения о размере заработной платы и иных выплат;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;
номер и вид счета;
информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору;
иные персональные данные, необходимые для достижения целей обработки персональных данных, предусмотренных Правилами обработки и защиты персональных данных.
6. Персональные данные иных сторонних лиц, обрабатываемые в соответствии с законодательством Российской Федерации и законодательством Ставропольского края в рамках:
1) предоставления государственных услуг и исполнения государственных функций и полномочий возложенных на министерство, в соответствии с законодательством Российской Федерации, законодательством Ставропольского края, включает в себя следующую информацию:
фамилия, имя, отчество;
дата и место рождения;
паспортные данные (вид паспорта, серия, номер, кем и когда выдан);
адрес места жительства (адрес регистрации, адрес фактического проживания);
иные персональные данные, необходимые для достижения целей обработки персональных данных в соответствии с законодательством Российской Федерации;
2) организации приема граждан, обеспечения своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции министерства, включает в себя следующую информацию:
фамилия, имя, отчество;
почтовый адрес;
адрес электронной почты;
указанный в обращении контактный телефон;
иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения;
3) организации работы по формированию, ведению, подготовке и использованию резерва управленческих кадров, кадрового резерва на гражданской службе, включают в себя следующую информацию:
фамилия, имя, отчество (в том числе предыдущие фамилия, имя, отчество в случае(ях) их изменения);
дата и место рождения;
гражданство (в том числе предыдущее в случае(ях) его изменения);
паспортные данные (вид паспорта, серия, номер, кем и когда выдан);
адрес места жительства (адрес регистрации, адрес фактического проживания);
номер контактного телефона или сведения о других способах связи;
фотографии;
сведения о семейном положении, о составе семьи, близких родственниках;
сведения об уровне профессионального образования и квалификации по профессии, специальности, направлению подготовки, сведения о дополнительном профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании и (или) о квалификации);
сведения о присвоении ученой степени, ученого звания;
сведения о трудовой деятельности;
результаты психологического тестирования;
сведения о наличии государственных и иных наград;
сведения о воинском учете и реквизиты документов воинского учета;
информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
информация о наличии или отсутствии судимости;
информация об оформленных допусках к государственной тайне;
сведения о пребывании за границей Российской Федерации;
медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
медицинское заключение по установленной форме об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну (при оформлении допуска к сведениям, составляющим государственную тайну);
иные персональные данные, необходимые для достижения целей обработки персональных данных, предусмотренных Правилами обработки и защиты ПДн.
Примечание. Сведения, содержащиеся в медицинских заключениях по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению, и об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну (при оформлении допуска к сведениям, составляющим государственную тайну), указанных в подпункте 18 пункта 1 и подпунктах 23 - 24 пункта 3, в подпунктах 18 и 19 подпункта 3 пункта 6 настоящего приложения, в информационных системах, используемых при обработке персональных данных в министерстве, не обрабатываются.
Приложение
к Правилам
обработки и защиты персональных
данных в министерстве труда и социальной
защиты населения Ставропольского края
Форма
СОГЛАСИЕ
на обработку персональных данных
Я, ___________________________________________________________________,
(фамилия, имя, отчество)
проживающий(ая) __________________________________________________________,
(адрес регистрации по месту жительства,
адрес фактического проживания)
__________________________________________________________________________;
(документ, удостоверяющий личность, серия, номер, кем выдан и дата выдачи)
даю согласие министерству труда и социальной защиты населения
Ставропольского края, расположенному по адресу: 355002, г. Ставрополь,
ул. Лермонтова, 206а, на:
1) получение моих персональных данных, необходимых для достижения
целей обработки персональных данных, предусмотренных Правилами обработки и
защиты персональных данных субъектов министерства труда и социальной
защиты населения Ставропольского края, утверждаемыми приказом министерства
труда и социальной защиты населения Ставропольского края, у третьих лиц, а
именно ____________________________________________________________________
(указать конкретных лиц, на получение персональных данных у которых
___________________________________________________________________________
субъектом персональных данных дается согласие)
__________________________________________________________________________;
2) передачу (или распространение, представление) моих персональных
данных третьим лицам в случаях, не предусмотренных законодательством
Российской Федерации, в целях _____________________________________________
___________________________________________________________________________
(указать цели, для достижения которых субъектом персональных данных
___________________________________________________________________________
дается согласие на передачу или распространение, представление
__________________________________________________________________________;
его персональных данных третьим лицам)
3) трансграничную передачу персональных данных, а именно ______________
__________________________________________________________________________.
(указать, на территорию какого иностранного государства, какому органу
власти иностранного государства, иностранному физическому лицу
или иностранному юридическому лицу субъектом персональных данных
дается согласие на трансграничную передачу его персональных данных)
Приложение
к Правилам
обработки и защиты персональных
данных в министерстве труда и социальной
защиты населения Ставропольского края
Форма
РАЗЪЯСНЕНИЕ
юридических последствий отказа субъекта персональных
данных представить свои персональные данные
1. В соответствии с требованиями Федерального закона "О персональных
данных" уведомляем Вас, что в случае Вашего отказа представить свои
персональные данные министерство труда и социальной защиты населения
Ставропольского края (далее - министерство) не сможет на законных
основаниях осуществлять обработку Ваших персональных данных, что приведет к
невозможности _____________________________________________________________
___________________________________________________________________________
(указать конкретные последствия отказа в представлении
персональных данных: невозможность поступления должность
государственной гражданской службы Ставропольского края
в министерстве (далее - должность гражданской службы),
должность, не являющуюся должностью гражданской службы,
должность руководителя подведомственного министерству учреждения)
2. В соответствии с законодательством Российской Федерации в области персональных данных Вы имеете право:
1) на получение сведений о министерстве, о месте его нахождения, о наличии в министерстве персональных данных, а также на ознакомление с такими персональными данными;
2) требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются соответственно неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав;
3) на получение при обращении или при направлении запроса информации, касающейся обработки своих персональных данных;
4) на обжалование действия или бездействия министерства в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
__________ 20__ г. _________ _____________________
(подпись) (расшифровка подписи)
Приложение
к Правилам
обработки и защиты персональных
данных в министерстве труда и социальной
защиты населения Ставропольского края
Форма
Министерство труда и социальной защиты населения
Ставропольского края
________________________________________
(наименование отдела)
ДЕЛО № __________
ЖУРНАЛ
учета обращений субъектов для получения
доступа к своим персональным данным
Ответственный за ведение журнала: Начат "___" __________ 201_ г.
Завершен "___" __________ 201_ г.
________________________________
(должность, наименование отдела)
____________________ _________ _____________________
(Ф.И.О.) (подпись) (расшифровка подписи)
____________________ _________ _____________________
(Ф.И.О.) (подпись) (расшифровка подписи)
На листах
------------------------------------------------------------------
