Приказ минстроя Ставропольского края от 05.04.2013 N 93 "Об утверждении Правил работы с обезличенными персональными данными, обрабатываемыми в министерстве строительства и архитектуры Ставропольского края"
МИНИСТЕРСТВО СТРОИТЕЛЬСТВА И АРХИТЕКТУРЫ
СТАВРОПОЛЬСКОГО КРАЯ
ПРИКАЗ
от 5 апреля 2013 г. № 93
ОБ УТВЕРЖДЕНИИ ПРАВИЛ РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ
ДАННЫМИ, ОБРАБАТЫВАЕМЫМИ В МИНИСТЕРСТВЕ СТРОИТЕЛЬСТВА
И АРХИТЕКТУРЫ СТАВРОПОЛЬСКОГО КРАЯ
В соответствии с Федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить прилагаемые Правила работы с обезличенными персональными данными, обрабатываемыми в министерстве строительства и архитектуры Ставропольского края.
2. Начальнику отдела делопроизводства и информатизации министерства строительства и архитектуры Ставропольского края (далее - министерство):
2.1. Довести настоящий приказ до сведения первого заместителя министра, заместителей министра, руководителей структурных подразделений министерства под роспись.
2.2. Разместить настоящий приказ на официальном сайте министерства в информационно-телекоммуникационной сети "Интернет" по адресу: www.minstroysk.ru в течение 10 дней со дня его подписания.
3. Контроль за выполнением настоящего приказа оставляю за собой.
4. Настоящий приказ вступает в силу со дня его подписания.
Министр
В.Н.КАРЛОВ
Утверждены
приказом
министерства строительства и архитектуры
Ставропольского края
от 05 апреля 2013 г. № 93
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ,
ОБРАБАТЫВАЕМЫМИ В МИНИСТЕРСТВЕ СТРОИТЕЛЬСТВА
И АРХИТЕКТУРЫ СТАВРОПОЛЬСКОГО КРАЯ
I. Общие положения
1. Настоящие Правила разработаны в соответствии с Федеральным законом "О персональных данных" (далее - Федеральный закон) и постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Настоящие Правила определяют порядок проведения мероприятий в министерстве строительства и архитектуры Ставропольского края (далее - министерство) по обезличиванию персональных данных, порядок и условия работы с обезличенными персональными данными.
II. Термины и определения
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе:
персональные данные - любая информация, относящаяся прямо или
косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
III. Цель обезличивания персональных данных
4. Целью обезличивания персональных данных в министерстве является обеспечение защиты персональных данных граждан от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
IV. Способы обезличивания персональных данных
5. Обезличивание персональных данных проводится для решения следующих задач:
ведения статистических данных;
снижения ущерба от разглашения защищаемых персональных данных;
снижения класса информационных систем персональных данных.
Кроме того, обезличивание персональных данных может быть проведено по достижении сроков обработки или в случае утраты необходимости в достижении целей обработки, если иное не предусмотрено законодательством Российской Федерации.
5.1. В случае достижения целей обработки персональных данных или в случае утраты необходимости в их достижении сотрудник министерства, обрабатывающий персональные данные:
незамедлительно прекращает обработку персональных данных;
обезличивает соответствующие персональные данные в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных или утраты необходимости в достижении этих целей.
5.2. Персональные данные не обезличиваются в случаях, если:
договором (соглашением), стороной которого выгодоприобретатель или поручитель является субъектом персональных данных, предусмотрен иной порядок обработки персональных данных;
законодательством установлены сроки обязательного архивного хранения носителей персональных данных;
в иных случаях, прямо предусмотренных Федеральным законом.
5.3. В случае выявления недостоверных персональных данных или неправомерных действий с ними сотрудник министерства, обрабатывающий персональные данные, осуществляет незамедлительное блокирование указанных персональных данных и в срок, не превышающий 3 рабочих дней с даты такого выявления, устранить допущенные нарушения.
В случае подтверждения факта недостоверности персональных данных сотрудник министерства, обрабатывающий персональные данные, на основании документов, представленных субъектом персональных данных, исправляет их и снимает блокирование.
5.4. В случае невозможности устранения допущенных нарушений сотрудник министерства, обрабатывающий персональные данные, в срок, не превышающий 10 рабочих дней с даты такого выявления неправомерности действий с персональными данными, обезличивает персональные данные.
Об устранении допущенных нарушений или об обезличивании персональных данных сотрудник министерства, обрабатывающий персональные данные, обязан уведомить субъекта персональных данных или его законного представителя по форме уведомления об устранении допущенных нарушений или уведомления об уничтожении (приложения 2, 3) и (или) уполномоченный орган по защите прав субъектов персональных данных по форме уведомления об устранении допущенных нарушений или уведомления об уничтожении.
5.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных сотрудник министерства, обрабатывающий персональные данные, прекращает обработку персональных данных в срок, не превышающий 30 рабочих дней с даты поступления такого отзыва.
Об обезличивании персональных данных сотрудник министерства, обрабатывающий персональные данные, уведомляет субъекта персональных данных или его законного представителя.
6. Способы обезличивания при условии дальнейшей обработки персональных данных:
уменьшение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
обобщение (понижение) точности некоторых сведений;
деление сведений на части и обработка в разных информационных системах;
другие способы.
6.1. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных или их уничтожение.
6.2. Для обезличивания персональных данных применимы любые способы, не запрещенные законом.
7. Перечень должностей министерства, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается приказом министра строительства и архитектуры Ставропольского края (приложение 1).
7.1. Решение о необходимости обезличивания персональных данных принимается министром. Работники министерства, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания. После этого работники министерства, обслуживающие базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных осуществляют непосредственное обезличивание выбранным способом.
V. Порядок работы с обезличенными персональными данными
8. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
9. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
9.1. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
парольной политики (приложение 4);
антивирусной политики (приложение 5);
правил работы со съемными носителями (если они используются) (приложение 6);
правил резервного копирования (приложение 7);
правил доступа в помещения, где расположены элементы информационных систем (приложение 8).
9.2. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
правил хранения бумажных носителей (документация, входящая в состав личных дел);
правил доступа к ним и в помещения, где они хранятся (как в приложении 8).
Первый заместитель министра
А.В.БУТЕНКО
Приложение 1
к Правилам
работы с обезличенными персональными
данными в министерстве строительства
и архитектуры Ставропольского края
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ СЛУЖАЩИХ МИНИСТЕРСТВА СТРОИТЕЛЬСТВА И АРХИТЕКТУРЫ
СТАВРОПОЛЬСКОГО КРАЯ, ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ
МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
№ Наименование должности
п/п
1. Министр строительства и архитектуры Ставропольского края
2. Первый заместитель министра
3. Заместитель министра
4. Начальник отдела кадров и спецработы
5. Начальник отдела правового обеспечения
6. Начальник отдела планирования и финансового анализа
7. Начальник отдела бухгалтерского учета и отчетности
8. Начальник отдела реализации национального проекта и социальных
гарантий
9. Начальник отдела по контролю и надзору за долевым строительством
многоквартирных домов и иных объектов недвижимости
10. Начальник отдела инспекции государственного строительного надзора
11. Начальник отдела делопроизводства и информатизации
12. Старший инженер отдела делопроизводства и информатизации
Первый заместитель министра
А.В.БУТЕНКО
Приложение 2
к Правилам
работы с обезличенными персональными
данными в министерстве строительства
и архитектуры Ставропольского края
УВЕДОМЛЕНИЕ ОБ УНИЧТОЖЕНИИ
Уважаемый(ая) ________________________________________________________,
(Ф.И.О.)
в связи с ___________________________________________________ сообщаем Вам,
что Ваши персональные данные _____________________________________________
(указать персональные данные)
_______________________________________________________________ уничтожены.
__________________________ __________ _____________________________________
(должность) (подпись) (Ф.И.О.)
"___" ____________ 20 __ г.
Приложение 3
к Правилам
работы с обезличенными персональными
данными в министерстве строительства
и архитектуры Ставропольского края
УВЕДОМЛЕНИЕ
об устранении допущенных нарушений
Уважаемый(ая) ________________________________________________________,
(Ф.И.О.)
в связи с _________________________________________________________________
___________________________________________________________________________
министерство строительства и архитектуры Ставропольского края сообщает Вам,
что все допущенные нарушения при обработке Ваших персональных данных
устранены.
__________________________ __________ _____________________________________
(должность) (подпись) (Ф.И.О.)
"___" ____________ 20 __ г.
Приложение 4
к Правилам
работы с обезличенными персональными
данными в министерстве строительства
и архитектуры Ставропольского края
ИНСТРУКЦИЯ
ПО КОНТРОЛЮ ПАРОЛЬНОЙ ЗАЩИТЫ В МИНИСТЕРСТВЕ СТРОИТЕЛЬСТВА
И АРХИТЕКТУРЫ СТАВРОПОЛЬСКОГО КРАЯ
I. Общие положения
1. Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных министерства строительства и архитектуры Ставропольского края (далее - министерство), а также контроль за действиями работников министерства, осуществляющих обработку персональных данных (далее - пользователи), и обслуживающего персонала системы при работе с паролями.
2. Требования настоящей Инструкции распространяются на всех должностных лиц и работников структурных подразделений министерства, использующих в работе информационную систему персональных данных министерства.
II. Порядок парольной защиты
3. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в информационной системе персональных данных возлагается на работника министерства, назначенного администратором информационной безопасности персональных данных министерства (далее - Администратор).
Контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями также возлагается на Администратора.
4. Личные пароли должны генерироваться и распределяться централизованно с учетом следующих требований:
длина пароля должна быть не менее 8 символов;
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
личный пароль пользователь не имеет права сообщать никому.
Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
5. Формирование личных паролей пользователей осуществляется централизованно. Ответственность за правильность их формирования и распределения возлагается на Администратора. Для генерации "стойких" значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления (самих пользователей, а также руководителей структурных подразделений) с паролями других работников структурных подразделений министерства.
6. Полная плановая смена паролей пользователей должна проводиться ежемесячно.
7. Внеплановая смена личного пароля или удаление учетной записи пользователя информационной системы персональных данных в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться по представлению Администратора немедленно после окончания последнего сеанса работы пользователя с системой.
8. Хранение пользователями значений своих паролей на материальном носителе допускается только в личном, опечатанном владельцем пароля сейфе либо в сейфе у руководителя подразделения (возможно вместе с персональным носителем информации и идентификатором Touch Memory).
9. Повседневный контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены и использования в подразделениях возлагается на Администратора.
Приложение 5
к Правилам
работы с обезличенными персональными
данными в министерстве строительства
и архитектуры Ставропольского края
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ
ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА СТРОИТЕЛЬСТВА И АРХИТЕКТУРЫ
СТАВРОПОЛЬСКОГО КРАЯ
I. Общие положения
1. Настоящая Инструкция определяет требования к организации защиты информационных систем персональных данных от разрушающего воздействия компьютерных вирусов и другого вредоносного программного обеспечения.
2. Требования настоящей Инструкции распространяются на всех должностных лиц и сотрудников подразделений министерства строительства и архитектуры Ставропольского края (далее - министерство), использующих в работе информационную систему персональных данных министерства.
3. В целях закрепления знаний по вопросам практического исполнения требований настоящей Инструкции, разъяснения возникающих вопросов работником министерства, назначенным администратором информационной безопасности персональных данных министерства (далее - Администратор), для работников министерства, осуществляющих обработку персональных данных (далее - пользователи), проводятся семинары и персональные инструктажи (при необходимости).
II. Применение средств антивирусной защиты
4. Антивирусный контроль дисков и файлов персональных данных после загрузки компьютера должен проводиться в автоматическом режиме (периодическое сканирование или мониторинг).
5. Периодически, не реже одного раза в неделю, должен проводиться полный антивирусный контроль всех дисков и файлов персональных данных (сканирование).
6. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам связи, на съемных носителях (магнитных дисках, CD-ROM и т.п.). Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема. Контроль исходящей информации необходимо проводить непосредственно перед отправкой (записью на съемный носитель).
7. Установка (обновление и изменение) системного и прикладного программного обеспечения осуществляется в соответствии с Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств персональных данных министерства, утверждаемой приказом министерства.
III. Функции Администратора
8. Администратор обязан:
8.1. Настраивать параметры средств антивирусного контроля в соответствии с руководствами по применению конкретных антивирусных средств.
8.2. Предварительно проверять устанавливаемое (обновляемое) программное обеспечение на отсутствие вирусов.
8.3. При необходимости производить обновление антивирусных программных средств.
8.4. Производить получение и рассылку (при необходимости) обновлений антивирусных баз.
8.5. При необходимости разрабатывать инструкции по работе пользователей с программными средствами.
8.6. Проводить работы по обнаружению и обезвреживанию вирусов.
8.7. Участвовать в работе комиссии по расследованию причин заражения персональных компьютеров и серверов.
8.8. Хранить эталонные копии антивирусных программных средств.
IV. Функции пользователей
9. Пользователи персональных данных:
9.1. Получают по локальной вычислительной сети или от администратора информационной безопасности персональных данных носители с обновлениями антивирусных баз (в случае отсутствия механизмов централизованного распространения антивирусных баз).
9.2. Проводят обновления антивирусных баз на персональных компьютерах (в случае отсутствия механизмов централизованного распространения антивирусных баз).
9.3. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник подразделения министерства самостоятельно или вместе с администратором информационной безопасности персональных данных должен провести внеочередной антивирусный контроль персонального компьютера.
9.4. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов сотрудники подразделений министерства обязаны:
приостановить работу;
немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя подразделения министерства и администратора информационной безопасности персональных данных, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;
совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь Администратора);
в случае обнаружения нового вируса, не поддающегося лечению применяемыми антивирусными средствами, передать зараженный вирусом файл на съемном носителе Администратору для дальнейшей передачи его в организацию, с которой будет заключен договор на антивирусную поддержку;
по факту обнаружения зараженных вирусом файлов составить служебную записку Администратору, в которой необходимо указать предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации и выполненные антивирусные мероприятия.
ЛИСТ ОЗНАКОМЛЕНИЯ
с инструкцией по организации антивирусной защиты
информационных систем персональных данных министерства
строительства и архитектуры Ставропольского края
№ п/п Ф.И.О. сотрудника Дата Расписка сотрудника в
ознакомления ознакомлении
Приложение 6
к Правилам
работы с обезличенными персональными
данными в министерстве строительства
и архитектуры Ставропольского края
ПРАВИЛА
РАБОТЫ СО СЪЕМНЫМИ НОСИТЕЛЯМИ ИНФОРМАЦИИ В МИНИСТЕРСТВЕ
СТРОИТЕЛЬСТВА И АРХИТЕКТУРЫ СТАВРОПОЛЬСКОГО КРАЯ
1. Настоящие Правила разработаны в соответствии с Федеральным законом "О персональных данных" (далее - Федеральный закон), постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
2. Настоящие Правила определяют порядок учета и хранения съемных носителей конфиденциальной информации, содержащей персональные данные (далее - съемные носители), в министерстве строительства и архитектуры Ставропольского края (далее - министерство) и обязательны для исполнения всеми работниками министерства, осуществляющими обработку персональных данных (далее - пользователи).
3. В информационных системах персональных данных министерства допускается использование только учтенных съемных носителей.
4. Съемные носители предоставляются пользователям с санкции и по инициативе руководителей структурных подразделений министерства в случаях:
возникновения у пользователя производственной необходимости в пользовании съемных носителей;
необходимости выполнения вновь принятым пользователем своих должностных обязанностей.
5. При использовании пользователем съемных носителей необходимо:
5.1. Использовать съемные носители исключительно для выполнения своих служебных обязанностей.
5.2. Извещать работника министерства, назначенного администратором администратора информационной безопасности информационных систем персональных данных министерства (далее - Администратор), о фактах утраты или кражи съемных носителей.
5.3. Обеспечивать физическую безопасность съемных носителей.
6. Пользователям запрещается:
6.1. Использовать съемные носители в личных целях.
6.2. Передавать съемные носители другим лицам, за исключением Администратора.
6.3. Хранить съемные носители вместе с носителями открытой информации на рабочих столах либо оставлять их без присмотра или передавать на хранение другим лицам.
6.4. Выносить съемные носители из служебных помещений для работы с ними в иных местах.
7. Учет и выдачу съемных носителей осуществляет Администратор. Факт выдачи съемного носителя конкретному пользователю фиксируется в Журнале учета съемных носителей (приложение 1).
8. Любое взаимодействие (обработка, прием/передача информации), инициированное пользователем между информационными системами персональных данных министерства и неучтенными (личными) носителями информации, рассматривается как несанкционированное.
8.1. Информация об использовании пользователем незарегистрированных носителей информации в информационных системах персональных данных министерства протоколируется, и о данном факте информируется руководитель структурного подразделения министерства.
8.2. В случае выявления фактов несанкционированного и/или нецелевого использования съемных носителей инициализируется служебная проверка, проводимая комиссией, состав которой определяется министром строительства и архитектуры Ставропольского края.
8.3. По факту выясненных обстоятельств составляется акт расследования инцидента и передается руководителю структурного подразделения министерства и начальнику отдела кадров и спецработы министерства для принятия мер согласно действующему законодательству.
9. При отправке или передаче конфиденциальной информации адресатам на съемные носители записываются только предназначенные адресатам данные.
10. В случае утраты или уничтожения съемных носителей немедленно ставится в известность руководитель соответствующего структурного подразделения. На утраченные съемные носители составляется акт. Соответствующие отметки вносятся в журнал учета съемных носителей.
11. Съемные носители, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. По результатам уничтожения съемных носителей составляется соответствующий акт (приложение 2).
12. В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т.п.) предоставленные ему съемные носители изымаются.
Приложение 1
к Правилам
работы со съемными носителями
информации в министерстве строительства
и архитектуры Ставропольского края
МИНИСТЕРСТВО СТРОИТЕЛЬСТВА И АРХИТЕКТУРЫ
СТАВРОПОЛЬСКОГО КРАЯ
ЖУРНАЛ
учета съемных носителей информации
На ___ листах
Начат "__" _____ 20__ г.
Окончен "__" _____ 20__ г.
Расписка Отметка об
Тип в Расписка Место уничтожении
Шифр съемного получении в хранения съемных
Дата, заказа, носителя Количество (Ф.И.О., обратном съемного носителей
регистрационный задачи, информации, и номер подпись, приеме носителя информации,
номер учетный машинного экземпляров дата), (Ф.И.О., информации, машинных
номер документа отметка подпись, машинного документов
об дата) документа (подпись,
отправке дата)
1 2 3 4 5 6 7 8
Приложение 2
к Правилам
работы со съемными носителями
информации в министерстве строительства
и архитектуры Ставропольского края
АКТ
об уничтожении съемных носителей конфиденциальной
информации, содержащей персональные данные
Комиссия, в составе председателя _____________________________________,
членов комиссии __________________________________________________________
__________________________________________________________________________
провела отбор съемных носителей конфиденциальной информации, содержащей персональные данные, и установила, что информация, записанная на них в процессе эксплуатации, подлежит уничтожению:
№ Регистрационный номер
п/п Дата Тип носителя носителя персональных Примечание
данных
1 2 3 4 5
Всего съемных носителей _______________________________________________
На указанных съемных носителях персональные данные уничтожены путем
___________________________________________________________________________
(стирания на устройстве гарантированного уничтожения информации и т.п.)
Перечисленные съемные носители конфиденциальной информации, содержащей
персональные данные, уничтожены путем _____________________________________
___________________________________________________________________________
(разрезания, сжигания, механического уничтожения и т.п.)
Председатель комиссии: ___________________________/___________________/
Члены комиссии: ___________________________/___________________/
___________________________/___________________/
Приложение 7
к Правилам
работы с обезличенными персональными
данными в министерстве строительства
и архитектуры Ставропольского края
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ РЕЗЕРВНОГО КОПИРОВАНИЯ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА
СТРОИТЕЛЬСТВА И АРХИТЕКТУРЫ СТАВРОПОЛЬСКОГО КРАЯ
I. Общие положения
1. Настоящая Инструкция определяет порядок осуществления резервного копирования информационных ресурсов информационных систем персональных данных министерства строительства и архитектуры Ставропольского края (далее - министерство).
2. Процесс резервного копирования обеспечивает сохранение на резервных носителях информации с целью ее восстановления при потере или порче на основном носителе и является ключевым элементом защиты от умышленной и неумышленной потери данных.
3. Конкретные информационные ресурсы, подлежащие резервному копированию, порядок их копирования приводится в Регламенте резервного копирования (приложение 1).
4. Регламент резервного копирования составляется на работником министерства, назначенный администратором администратором информационной безопасности информационных систем персональных данных министерства (далее - Администратор), и должен содержать перечень информационных ресурсов, подлежащих резервному копированию, и график осуществления резервного копирования.
5. Резервное копирование осуществляется Администратором и контролируется ответственным за обеспечение безопасности персональных данных министерства.
II. Периодичность и схема резервного копирования
6. При осуществлении резервного копирования используется два типа:
полное резервное копирование и инкрементальное резервное копирование.
7. Резервное копирование информационных ресурсов информационных систем персональных данных министерства осуществляется по трехуровневой схеме ротации по мере необходимости:
полное резервное копирование информационных ресурсов - выполняется 15 - 16 числа каждого месяца (архив хранится в течение года и является архивом Уровня 1);
полное резервное копирование информационных ресурсов - выполняется в конце каждой недели (в пятницу) (архив хранится в течение календарного месяца и является архивом Уровня 2);
полное резервное копирование информационных ресурсов - выполняется в начале каждой недели (архив хранится в течение недели и является архивом Уровня 3).
8. При инкрементальном (добавочном) резервном копировании копируются только те файлы, которые были созданы и изменены со времени осуществления последнего резервного копирования.
III. Порядок резервного копирования
9. Администратор настраивает задания для программного обеспечения, осуществляющего резервное копирование, на автоматическое выполнение в соответствии с перечнем информационных ресурсов, подлежащих резервному копированию, и графиком резервного копирования.
10. Перед выполнением задания резервного копирования Администратор проверяет доступность резервного носителя, а также наличие на нем свободного места для записи данных.
11. После завершения выполнения задачи резервного копирования Администратор извлекает резервный носитель, подписать его по формату "число, месяц, год, уровень N" и поместить в сейф.
IV. Хранение резервных копий
12. Хранение резервных копий: хранится в отдельном от копируемых информационных ресурсов помещении, оснащенном соответствующими системами вентиляции, кондиционирования и отопления для поддержки требуемых параметров температуры и влажности.
13. Резервные носители хранятся в кассетах или закрытых коробках на безопасном расстоянии от источников магнитных полей: блоков питания, телефонов, мониторов.
14. Доступ к хранилищу резервных копий имеют Администратор и ответственный за обеспечение безопасности персональных данных.
V. Восстановление после сбоя
16. В случае потери данных на основном носителе из хранилища извлекается накопитель с резервной копией информационных ресурсов, нуждающихся в восстановлении, от последнего произведенного резервного копирования.
17. В зависимости от характера и уровня повреждения информационных ресурсов Администратор восстанавливает либо весь массив резервных данных, либо отдельные поврежденные или уничтоженные файлы и папки.
Приложение 1
к Инструкции
по резервному копированию защищаемой
информации в информационных системах
персональных данных министерства строительства
и архитектуры Ставропольского края
РЕГЛАМЕНТ
резервного копирования
Информационные Уровень Тип Средства Время Форма Место
ресурсы копирования резервного копирования копирования отчетности хранения
носителя копии
Ресурс 1 Уровень 1
Уровень 2
Уровень 3
Ресурс 2 Уровень 1
Уровень 2
Уровень 3
Ресурс 3 Уровень 1
Уровень 2
Уровень 3
ЛИСТ ОЗНАКОМЛЕНИЯ
с инструкцией по резервному копированию защищаемой
информации в информационных системах персональных данных
министерства строительства и архитектуры
Ставропольского края
№ п/п Ф.И.О. сотрудника Дата Расписка сотрудника в
ознакомления ознакомлении
Приложение 8
к Правилам
работы с обезличенными персональными
данными в министерстве строительства
и архитектуры Ставропольского края
ПРАВИЛА
ДОСТУПА РАБОТНИКОВ МИНИСТЕРСТВА СТРОИТЕЛЬСТВА
И АРХИТЕКТУРЫ СТАВРОПОЛЬСКОГО КРАЯ В ПОМЕЩЕНИЯ,
В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящие Правила доступа разработаны в соответствии с Федеральным законом "О персональных данных" (далее - Федеральный закон), постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
2. Целью настоящего Порядка является исключение несанкционированного доступа к информационным системам персональных данных министерства строительства и архитектуры Ставропольского края (далее - министерство), их уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
3. Персональные данные относятся к конфиденциальной информации. Работники министерства, осуществляющие обработку персональных данных (далее - пользователи), обязаны не раскрывать третьим лицам и не распространять информацию, содержащую персональные данные, без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
4. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
5. При хранении материальных носителей персональных данных пользователями должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
Доступ в такие помещения предоставляется:
лицу, ответственному за организацию обработки персональных данных в министерстве;
пользователям;
иным лицам в случае необходимости по согласованию с руководителем структурного подразделения министерства, в котором происходит обработка персональных данных.
6. В служебных помещениях, занимаемых министерством, применяются организационные, технические и физические меры, направленные для защиты от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.
К указанным мерам относятся:
физические меры защиты: двери, снабженные замками, сейфы, решетки, шторы, расположение мониторов, безопасное уничтожение носителей, содержащих персональные данные;
технические меры защиты: применение антивирусных программ, программ защиты, установление паролей на персональных компьютерах, применение съемных носителей;
организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до пользователей важности защиты персональных данных и способы обеспечения защиты, допуск к обработке персональных данных только специально назначенных людей.
7. В нерабочее время помещения, в которых ведется обработка персональных данных, хранятся документы, содержащие персональные данные, должны закрываться на ключ.
8. Установка нового оборудования, его замена или ремонт в помещениях, в которых ведется обработка персональных данных, хранятся документы и носители информации, содержащие персональные данные, должны проводиться по согласованию с руководителем структурного подразделения министерства, в котором происходит обработка персональных данных.
9. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится лицом, ответственным за организацию обработки персональных данных.
------------------------------------------------------------------
Введите даты для поиска: