МИНИСТЕРСТВО ИНФОРМАТИЗАЦИИ И СВЯЗИ РЕСПУБЛИКИ ТАТАРСТАН
ПРИКАЗ
от 22 января 2010 г. № П-12
ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
МИНИСТЕРСТВА ИНФОРМАТИЗАЦИИ И СВЯЗИ РЕСПУБЛИКИ ТАТАРСТАН,
ОБРАБАТЫВАЮЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКОВ
В целях реализации Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" и обеспечения безопасности информационных систем Министерства информатизации и связи Республики Татарстан, обрабатывающих персональные данные работников, ПРИКАЗЫВАЮ:
1. Утвердить прилагаемое Положение
о защите персональных данных работников Министерства информатизации и связи Республики Татарстан (Приложение 1).
2. Утвердить прилагаемые Перечни лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированных систем отдела кадров и охраны труда и отдела бухгалтерского учета и отчетности (Приложения 2
и 3
соответственно).
3. Утвердить формы Соглашения
о неразглашении персональных данных сотрудника (Приложение 4) и Обязательства
о неразглашении персональных данных работников (Приложение 5).
4. Утвердить прилагаемые Инструкции по обеспечению защиты конфиденциальной информации, обрабатываемой в автоматизированных системах отдела кадров и охраны труда и отдела бухгалтерского учета и отчетности (Приложения 6
и 7
соответственно).
5. Отделу информационной безопасности (Юнусов Р.Ш.) в двухнедельный срок организовать и провести занятие по изучению требований Положения и Инструкций с сотрудниками Министерства информатизации и связи Республики Татарстан.
6. Начальнику отдела кадров и охраны труда (Афанасьева С.Н.) в двухнедельный срок заключить Соглашения о неразглашении персональных данных сотрудника и Обязательства о неразглашении персональных данных работников с сотрудниками Министерства, допущенными к работе с персональными данными работников.
7. Контроль за исполнением требований по защите информации в информационных системах, обрабатывающих персональные данные работников Министерства информатизации и связи Республики Татарстан, возложить на отдел информационной безопасности.
8. Контроль за исполнением настоящего Приказа оставляю за собой.
Министр
Ф.М.ФАЗЫЛЗЯНОВ
Приложение 1
Утверждено
Приказом
Министра информатизации
и связи Республики Татарстан
от 22 января 2010 г. № П-12
ПОЛОЖЕНИЕ
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
МИНИСТЕРСТВА ИНФОРМАТИЗАЦИИ И СВЯЗИ РЕСПУБЛИКИ ТАТАРСТАН
1. Общие положения
1.1. Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав работников на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах жизни работника.
1.2. Настоящее Положение определяет порядок работы (получения, обработки, использования, хранения и т.д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике предоставленных работником работодателю.
1.3. Положение о работе с персональными данными работников Министерства информатизации и связи Республики Татарстан (далее - Министерство) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральными законами "Об информации, информационных технологиях и защите информации" от 27 июля 2006 года № 149-ФЗ и "О персональных данных" от 27 июля 2006 года № 152-ФЗ, а также другими нормативно-правовыми актами, действующими на территории Российской Федерации.
1.4. С сотрудниками Министерства, принимаемыми на должности, регламент исполнения функциональных обязанностей по которым связан с обработкой персональных данных работников, заключаются Соглашения о неразглашении персональных данных сотрудника (далее - Соглашения) и Обязательства о неразглашении персональных данных работников (далее - Обязательства). Соглашения и Обязательства оформляются в день принятия на должность и прикладываются к трудовому договору.
1.5. Понятия, используемые в настоящем Положении:
Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование.
1.6. Настоящее Положение доводится до пользователей под роспись.
]]>
2.3. Класс защищенности АС ОБУиО от несанкционированного доступа установлен 1Г.
2.4. На АС ОБУиО может обрабатываться конфиденциальная информация с пометкой "Для служебного пользования".
2.5. Технические средства АС ОБУиО в помещениях размещаются таким образом, чтобы исключить визуальный просмотр экрана видеомонитора лицами, не имеющими отношения к конкретно обрабатываемой информации.
2.6. При эксплуатировании АС ОБУиО должна обеспечиваться длина пароля пользователя не менее 8 символов (при создании пароля руководствоваться инструкцией "Использование паролей" от 14.12.2006). Смена пароля производится не реже одного раза в месяц.
2.7. В целях предотвращения разрушения и утери обрабатываемой на АС ОБУиО информации должно осуществляться копирование необходимой информации по мере ее обновления на учтенные в установленном порядке съемные носители.
2.8. Техническое обслуживание технических средств указанной АС должно осуществляться только персоналом, допущенным к техническому обслуживанию под наблюдением сотрудника, ответственного за автоматизированное рабочее место. При проведении данных работ обработка конфиденциальной информации запрещена.
3. Порядок работы с программным обеспечением АРМ
3.1. Работа на АС ОБУиО должна осуществляться на базе общесистемного программного обеспечения, зафиксированного в Составе программного обеспечения, установленного на указанной автоматизированной системе.
3.2. Изменение рабочего программного обеспечения в автоматизированной системе проводится с санкции министра с оформлением и утверждением соответствующего протокола по согласованию с органом по аттестации.
3.3. Защита АРМ, программных средств и информации от несанкционированного доступа реализуется системой защиты от НСД, эксплуатация которой должна осуществляться в соответствии с эксплуатационными документами на систему защиты информации от НСД.
3.4. Сообщение программ контроля при загрузке или в процессе работы с системой о нарушении целостности рабочего программного обеспечения является признаком его несанкционированной модификации или проникновения программы-"вируса". В этом случае комиссионно проводится разбор и анализ ситуации с принятием решения о возможности продолжения работ на АРМ. Для проведения анализа возникших ситуаций привлекаются сотрудники отдела развития информационных услуг и технологий, а также отдела информационной безопасности. Результаты и выводы работы комиссии докладываются министру начальником отдела информационной безопасности.
3.5. Обнаруженное несанкционированное изменение (модификация) программного обеспечения пользователем регистрируется как нарушение правил работы и режима конфиденциальности на АРМ, о чем пользователь докладывает начальнику отдела информационной безопасности.
3.6. При установлении факта обнаружения программ-"вирусов" необходимые антивирусные процедуры проводятся пользователем с привлечением специалистов отдела развития информационных услуг и технологий, а также отдела информационной безопасности.
4. Порядок использования магнитных носителей информации
4.1. Обработка и хранение конфиденциальной информации на АС ОБУиО разрешается только с использованием взятых на инвентарный учет гибких магнитных дисков (ГМД) и флеш-накопителей, а также на учтенном стационарно установленном жестком магнитном диске (ЖМД).
4.2. Копирование конфиденциальной информации на ГМД, флеш-накопители, компакт-диски, не взятые на инвентарный учет, запрещено.
4.3. Учет защищаемых носителей производится с помощью маркировки. Выдача пользователям носителей информации, предназначенных для работы с конфиденциальной информацией, производится в отделе информационной безопасности, с обязательной регистрацией в журнале.
4.4. Вышедшие из строя носители информации, а также неисправный жесткий магнитный диск подлежат сдаче в отдел информационной безопасности для последующего уничтожения. Уничтожение носителей информации производится установленным порядком. Из жесткого магнитного диска для уничтожения изымаются все магнитные диски.
5. Обязанности пользователя
при подготовке документов на АРМ
5.1. Перед началом работы на АС ОБУиО с конфиденциальной информацией следует убедиться в отсутствии в помещении посторонних лиц.
5.2. При обработке конфиденциальной информации на АРМ следует руководствоваться требованиями настоящей Инструкции (разделы 2
, 3
, 4
).
5.3. Подготовка на АРМ конфиденциальных документов производится только на съемных носителях информации, предназначенных для обработки конфиденциальной информации, либо на учтенном ЖМД, в специально предназначенных для этого каталогах.
5.4. При завершении работы пользователя на АРМ необходимо провести полное выключение системы.
5.5. Пользователю запрещается:
- оставлять бесконтрольно включенную ПЭВМ, съемные носители информации и листы предварительного учета;
- изменять и тиражировать программное обеспечение;
- вести разговоры с посторонними лицами о процедурах доступа к АРМ и информации;
- набирать на клавиатуре при посторонних лицах персональный пароль и записывать его;
- сообщать устно или письменно свой персональный пароль посторонним лицам.
5.7. Сотрудники отдела информационной безопасности не реже одного раза в квартал осуществляют контроль эффективности внедренных на объекте защитных мер и средств защиты информации.
Обязательным является контроль:
- при вводе АРМ в эксплуатацию;
- после ремонта АРМ и средств защиты информации;
- при изменении условий эксплуатации АРМ и размещении технических средств.
6. Ответственность за нарушение требований инструкции
при обработке конфиденциальной информации
6.1. Лица виновные в нарушении требований настоящей Инструкции и других руководящих документов по вопросам обеспечения и соблюдения требований по защите информации, в зависимости от причиненного ущерба, привлекаются к ответственности, предусмотренной Трудовым кодексом Российской Федерации и иными федеральными законами.
