Приказ Минобразования Пензенской обл. от 11.03.2015 N 87/01-07 "Об утверждении Инструкции пользователя информационной системы персональных данных Министерства образования Пензенской области"
МИНИСТЕРСТВО ОБРАЗОВАНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 11 марта 2015 г. № 87/01-07
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ
СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ
ПЕНЗЕНСКОЙ ОБЛАСТИ
В целях реализации Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями), руководствуясь Положением о Министерстве образования Пензенской области, утвержденным постановлением Правительства Пензенской области от 05.08.2008 № 485-пП (с последующими изменениями), приказываю:
1. Утвердить прилагаемые:
1.1. Инструкцию пользователя информационной системы персональных данных Министерства образования Пензенской области.
1.2. Журнал учета обращений и запросов субъектов персональных данных или их представителей.
2. Контроль за исполнением настоящего приказа оставляю за собой.
И.о. Министра
А.Г.ВОРОНКОВ
Утверждена
приказом
Министерства образования
Пензенской области
от 11 марта 2015 г. № 87/01-07
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
МИНИСТЕРСТВА ОБРАЗОВАНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Инструкция пользователя информационной системы персональных данных (далее - ИСПДн) Министерства образования Пензенской области (далее - Инструкция) разработана для обеспечения защиты персональных данных в Министерстве образования Пензенской области (далее - Министерство).
1.2. В настоящей Инструкции используются основные понятия и термины, определенные Федеральными законами от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями), № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями).
1.3. Пользователь информационной системы персональных данных осуществляет обработку персональных данных (далее - ПДн) в ИСПДн. Пользователем является каждый сотрудник Министерства, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты (далее - пользователь).
1.4. Доступ пользователя к ИСПДн осуществляется в соответствии с Перечнем лиц, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных Министерства образования Пензенской области, необходим для выполнения ими служебных (трудовых) обязанностей.
1.5. ПДн не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает пользователя от взятых им обязательств по неразглашению сведений ограниченного распространения.
2. Обязанности пользователей
2.1. Основные должностные обязанности пользователя ИСПДн:
- знать и соблюдать установленные требования руководящих и организационно-распорядительных документов по режиму обработки ПДн, учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн;
- использовать ИСПДн для выполнения служебных задач в соответствии с должностным регламентом;
- использовать для доступа к ИСПДн собственную уникальную учетную запись (логин) и пароль;
- хранить в тайне свой аудентификатор, а также информацию о системе защиты, установленной в ИСПДн;
- использовать для работы только учтенные съемные накопители информации;
- контролировать обновление антивирусных баз;
- хранить в тайне сведения ограниченного распространения, ставшие им известными во время работы или иным путем, и пресекать действия других лиц, которые могут привести к разглашению такой информации.
2.2. Немедленно ставить в известность руководителя подразделения и администратора безопасности ИСПДн:
- при возникновении причин или условий возможной утечки ПДн;
- при утере носителя с ПДн или подозрении компрометации личных ключей и паролей;
- о нарушении целостности пломб (наклеек с защитной и идентификационной информацией, нарушении или несоответствии номеров печатей) на аппаратных средствах ПЭВМ или иных фактах совершения попыток несанкционированного доступа к защищенной ИСПДн;
- о несанкционированных (произведенных с нарушением установленного порядка) изменениях в конфигурации программных или аппаратных средств ИСПДн.
2.3. В случае отклонений в нормальной работе системных и прикладных программных средств, выхода из строя или неустойчивого функционирования узлов ПЭВМ, периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных в автоматизированной системе технических средств защиты ставить в известность ответственного за техническое обслуживание и (или) ответственного за обслуживание программного обеспечения.
2.4. Ставить в известность администратора безопасности ИСПДн при:
- необходимости обновления антивирусных баз;
- обновлении программного обеспечения;
- проведении регламентных работ, модернизации аппаратных средств или изменении конфигурации ИСПДн;
- необходимости вскрытия системных блоков персональных компьютеров, входящих в состав ИСПДн;
- резервном копировании информации;
- и в других случаях, связанных с обработкой и защитой ПДн.
2.5. В случае освобождения от замещаемой должности пользователь обязан вернуть все документы и материалы, относящиеся к деятельности структурного подразделения. В том числе: отчеты, инструкции, переписку, списки работников, компьютерные программы, а также все прочие материалы и копии названных материалов, имеющих какое-либо отношение к деятельности Министерства, полученные в течение срока работы.
2.6. Вынос ПЭВМ, на которых проводилась обработка ПДн, за пределы территории здания с целью их ремонта, замены и т.п. без согласования с руководителем подразделения запрещен. При принятии решения о выносе компьютеров, жесткие магнитные диски должны быть демонтированы и сданы на хранение ответственному лицу за учет служебных документов ограниченного распространения.
2.7. ПЭВМ, используемые для работы с ПДн, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра экрана видеомонитора работниками, не имеющими отношения к конкретно обрабатываемой информации.
2.8. Пользователям ИСПДн запрещается:
- передавать кому бы то ни было (в том числе родственникам) устно или письменно ПДн субъектов ПДн;
- использовать ПДн, не являющиеся общедоступными, при подготовке открытых публикаций, докладов, научных работ и т.д.;
- обрабатывать ПДн, не являющиеся общедоступными, на дому, выносить их из служебных помещений, снимать копии или производить выписки из таких документов без разрешения руководителя;
- накапливать ненужные для работы ПДн;
- передавать или принимать без расписки материальные носители с ПДн, не являющимися общедоступными;
- оставлять на рабочих столах, в столах и незакрытых сейфах материальные носители с ПДн, не являющимися общедоступными, а также оставлять после окончания работы незапертыми и неопечатанными сейфы, помещения и хранилища с документами конфиденциального характера;
- использовать компоненты программного и аппаратного обеспечения ИСПДн подразделения в неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства;
- осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;
- записывать и хранить ПДн на неучтенных носителях информации (гибких магнитных дисках и т.п.);
- оставлять включенным без присмотра свой компьютер, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок - ставить в известность руководителя своего подразделения, ответственного за техническое и (или) программное обеспечение, администратора безопасности.
3. Ответственность
2.1. Пользователь ИСПДн несет ответственность за:
- соблюдение требований настоящей инструкции, а также других нормативных документов в области обработки и защиты информации;
- разглашение информации ограниченного распространения, нарушение порядка работы с документами или машинными носителями, содержащими такую информацию, государственные гражданские служащие привлекаются к ответственности, предусмотренной действующим законодательством;
- нарушение работоспособности или вывод из строя системы защиты ИСПДн;
- преднамеренные действия, повлекшие модификацию или уничтожение ПДн в ИСПДн, и несанкционированный доступ к ПДн.
3. Права пользователя
3.1. Пользователь имеет право:
- получать помощь по вопросам эксплуатации ИСПДн от администратора безопасности ИСПДн и сотрудников, осуществляющих сетевое администрирование;
- обращаться к сотрудникам, осуществляющим сетевое администрирование, по вопросам дооснащения автоматизированного рабочего места техническими и программными средствами, не входящими в штатную конфигурацию автоматизированного рабочего места и ИСПДн, необходимыми для автоматизации деятельности в соответствии с возложенными на него должностными обязанностями;
- подавать администратору безопасности и сотрудникам, осуществляющим сетевое администрирование, предложение по совершенствованию функционирования ИСПДн.
4. Правила работы в информационно-телекоммуникационных сетях
международного информационного обмена
4.1. Работа в информационно-телекоммуникационных сетях международного информационного обмена - сети Интернет и других (далее - Сеть) на элементах ИСПДн должна проводиться только при служебной необходимости.
4.2. При работе в Сети запрещается:
- осуществлять работу при отключенных средствах защиты (антивирусных и других);
- передавать по Сети защищаемую информацию без использования средств шифрования;
- скачивать из Сети программное обеспечение и другие файлы в неслужебных целях;
- посещать сайты сомнительной репутации (сайты, содержащие нелегально распространяемое программное обеспечение, сайты знакомств, онлайн-игры и другие).
Утвержден
приказом
Министерства образования
Пензенской области
от 11 марта 2015 г. № 87/01-07
ЖУРНАЛ
учета обращений субъектов персональных данных
о соблюдении их законных прав при обработке персональных
данных в информационной системе персональных данных
Министерства образования Пензенской области
Начат "____" ___________ 201 __ г.
Окончен "____" ___________ 201 __ г.
№ п/п
ФИО субъекта
Дата обращения
Цель
Отметка об исполнении
ФИО исполнителя
Роспись
------------------------------------------------------------------
МИНИСТЕРСТВО ОБРАЗОВАНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 11 марта 2015 г. № 87/01-07
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ
СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ
ПЕНЗЕНСКОЙ ОБЛАСТИ
В целях реализации Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями), руководствуясь Положением о Министерстве образования Пензенской области, утвержденным постановлением Правительства Пензенской области от 05.08.2008 № 485-пП (с последующими изменениями), приказываю:
1. Утвердить прилагаемые:
1.1. Инструкцию пользователя информационной системы персональных данных Министерства образования Пензенской области.
1.2. Журнал учета обращений и запросов субъектов персональных данных или их представителей.
2. Контроль за исполнением настоящего приказа оставляю за собой.
И.о. Министра
А.Г.ВОРОНКОВ
Утверждена
приказом
Министерства образования
Пензенской области
от 11 марта 2015 г. № 87/01-07
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
МИНИСТЕРСТВА ОБРАЗОВАНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Инструкция пользователя информационной системы персональных данных (далее - ИСПДн) Министерства образования Пензенской области (далее - Инструкция) разработана для обеспечения защиты персональных данных в Министерстве образования Пензенской области (далее - Министерство).
1.2. В настоящей Инструкции используются основные понятия и термины, определенные Федеральными законами от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями), № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями).
1.3. Пользователь информационной системы персональных данных осуществляет обработку персональных данных (далее - ПДн) в ИСПДн. Пользователем является каждый сотрудник Министерства, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты (далее - пользователь).
1.4. Доступ пользователя к ИСПДн осуществляется в соответствии с Перечнем лиц, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных Министерства образования Пензенской области, необходим для выполнения ими служебных (трудовых) обязанностей.
1.5. ПДн не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает пользователя от взятых им обязательств по неразглашению сведений ограниченного распространения.
2. Обязанности пользователей
2.1. Основные должностные обязанности пользователя ИСПДн:
- знать и соблюдать установленные требования руководящих и организационно-распорядительных документов по режиму обработки ПДн, учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн;
- использовать ИСПДн для выполнения служебных задач в соответствии с должностным регламентом;
- использовать для доступа к ИСПДн собственную уникальную учетную запись (логин) и пароль;
- хранить в тайне свой аудентификатор, а также информацию о системе защиты, установленной в ИСПДн;
- использовать для работы только учтенные съемные накопители информации;
- контролировать обновление антивирусных баз;
- хранить в тайне сведения ограниченного распространения, ставшие им известными во время работы или иным путем, и пресекать действия других лиц, которые могут привести к разглашению такой информации.
2.2. Немедленно ставить в известность руководителя подразделения и администратора безопасности ИСПДн:
- при возникновении причин или условий возможной утечки ПДн;
- при утере носителя с ПДн или подозрении компрометации личных ключей и паролей;
- о нарушении целостности пломб (наклеек с защитной и идентификационной информацией, нарушении или несоответствии номеров печатей) на аппаратных средствах ПЭВМ или иных фактах совершения попыток несанкционированного доступа к защищенной ИСПДн;
- о несанкционированных (произведенных с нарушением установленного порядка) изменениях в конфигурации программных или аппаратных средств ИСПДн.
2.3. В случае отклонений в нормальной работе системных и прикладных программных средств, выхода из строя или неустойчивого функционирования узлов ПЭВМ, периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных в автоматизированной системе технических средств защиты ставить в известность ответственного за техническое обслуживание и (или) ответственного за обслуживание программного обеспечения.
2.4. Ставить в известность администратора безопасности ИСПДн при:
- необходимости обновления антивирусных баз;
- обновлении программного обеспечения;
- проведении регламентных работ, модернизации аппаратных средств или изменении конфигурации ИСПДн;
- необходимости вскрытия системных блоков персональных компьютеров, входящих в состав ИСПДн;
- резервном копировании информации;
- и в других случаях, связанных с обработкой и защитой ПДн.
2.5. В случае освобождения от замещаемой должности пользователь обязан вернуть все документы и материалы, относящиеся к деятельности структурного подразделения. В том числе: отчеты, инструкции, переписку, списки работников, компьютерные программы, а также все прочие материалы и копии названных материалов, имеющих какое-либо отношение к деятельности Министерства, полученные в течение срока работы.
2.6. Вынос ПЭВМ, на которых проводилась обработка ПДн, за пределы территории здания с целью их ремонта, замены и т.п. без согласования с руководителем подразделения запрещен. При принятии решения о выносе компьютеров, жесткие магнитные диски должны быть демонтированы и сданы на хранение ответственному лицу за учет служебных документов ограниченного распространения.
2.7. ПЭВМ, используемые для работы с ПДн, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра экрана видеомонитора работниками, не имеющими отношения к конкретно обрабатываемой информации.
2.8. Пользователям ИСПДн запрещается:
- передавать кому бы то ни было (в том числе родственникам) устно или письменно ПДн субъектов ПДн;
- использовать ПДн, не являющиеся общедоступными, при подготовке открытых публикаций, докладов, научных работ и т.д.;
- обрабатывать ПДн, не являющиеся общедоступными, на дому, выносить их из служебных помещений, снимать копии или производить выписки из таких документов без разрешения руководителя;
- накапливать ненужные для работы ПДн;
- передавать или принимать без расписки материальные носители с ПДн, не являющимися общедоступными;
- оставлять на рабочих столах, в столах и незакрытых сейфах материальные носители с ПДн, не являющимися общедоступными, а также оставлять после окончания работы незапертыми и неопечатанными сейфы, помещения и хранилища с документами конфиденциального характера;
- использовать компоненты программного и аппаратного обеспечения ИСПДн подразделения в неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства;
- осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;
- записывать и хранить ПДн на неучтенных носителях информации (гибких магнитных дисках и т.п.);
- оставлять включенным без присмотра свой компьютер, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок - ставить в известность руководителя своего подразделения, ответственного за техническое и (или) программное обеспечение, администратора безопасности.
3. Ответственность
2.1. Пользователь ИСПДн несет ответственность за:
- соблюдение требований настоящей инструкции, а также других нормативных документов в области обработки и защиты информации;
- разглашение информации ограниченного распространения, нарушение порядка работы с документами или машинными носителями, содержащими такую информацию, государственные гражданские служащие привлекаются к ответственности, предусмотренной действующим законодательством;
- нарушение работоспособности или вывод из строя системы защиты ИСПДн;
- преднамеренные действия, повлекшие модификацию или уничтожение ПДн в ИСПДн, и несанкционированный доступ к ПДн.
3. Права пользователя
3.1. Пользователь имеет право:
- получать помощь по вопросам эксплуатации ИСПДн от администратора безопасности ИСПДн и сотрудников, осуществляющих сетевое администрирование;
- обращаться к сотрудникам, осуществляющим сетевое администрирование, по вопросам дооснащения автоматизированного рабочего места техническими и программными средствами, не входящими в штатную конфигурацию автоматизированного рабочего места и ИСПДн, необходимыми для автоматизации деятельности в соответствии с возложенными на него должностными обязанностями;
- подавать администратору безопасности и сотрудникам, осуществляющим сетевое администрирование, предложение по совершенствованию функционирования ИСПДн.
4. Правила работы в информационно-телекоммуникационных сетях
международного информационного обмена
4.1. Работа в информационно-телекоммуникационных сетях международного информационного обмена - сети Интернет и других (далее - Сеть) на элементах ИСПДн должна проводиться только при служебной необходимости.
4.2. При работе в Сети запрещается:
- осуществлять работу при отключенных средствах защиты (антивирусных и других);
- передавать по Сети защищаемую информацию без использования средств шифрования;
- скачивать из Сети программное обеспечение и другие файлы в неслужебных целях;
- посещать сайты сомнительной репутации (сайты, содержащие нелегально распространяемое программное обеспечение, сайты знакомств, онлайн-игры и другие).
Утвержден
приказом
Министерства образования
Пензенской области
от 11 марта 2015 г. № 87/01-07
ЖУРНАЛ
учета обращений субъектов персональных данных
о соблюдении их законных прав при обработке персональных
данных в информационной системе персональных данных
Министерства образования Пензенской области
Начат "____" ___________ 201 __ г.
Окончен "____" ___________ 201 __ г.
№ п/п
ФИО субъекта
Дата обращения
Цель
Отметка об исполнении
ФИО исполнителя
Роспись
------------------------------------------------------------------