«Если вы уверены, что написанная вами инструкция по правилам выбора паролей не может быть понята неправильно, всегда найдется сотрудник, который поймет ее именно так» — один из законов Мерфи.
Введение
Система защиты информации многогранна. Она включает в себя как вопросы защиты от утечки по техническим каналам, защиты от несанкционированного доступа, так и вопросы организационного и правового обеспечения, вопросы физической защиты и многое другое.
Данная книга содержит перечень документов, которые по мнению автора необходимы для любого предприятия. Документарное обеспечение упорядычивает работу по организации системы защиты информации. В случае отсутствия инструкции работодатель не вправе требовать от сотрудников их исполнения, поэтому к разработке документов следует отнестись серьезно.
Любые совпадения имен и фамилий являются случайными. Наименования и торговые марки использованные в книге взяты из открытых источников и являются собственностью их обладателей.
Книга построена на основе курса по организационному и правовому обеспечению информационной безопасности, который автор вот уже на протяжении более 5 лет использует при подготовке специалистов по защите информации.
Приведенные документы можно условно разделить на 3 категории:
1. Роскомнадзор — в области обеспечения исполнения законодательства по защите информации.
2. ФСТЭК — в области защиты информации некриптографическими средствами.
3. ФСБ — в области защиты информации с использованием средств криптографической защиты.
Практические занятия по дисциплине «Организационное и правовое обеспечение информационной безопасности» проводятся в интерактивной форме — форме деловых игр, отражающих проведение реальных аудиторских проверок «регуляторов». Всего в семестре устанавливается несколько контрольных точек по неделям:
2-я неделя — подача уведомления в «Роскомнадзор» (передача уведомления преподавателю).
5-я неделя — аудиторская проверка «Роскомнадзора».
10-я неделя — аудиторская проверка «ФСТЭК РФ».
15-я неделя — аудиторская проверка «ФСБ РФ».
Схемы контролируемой зоны, расположения средств вычислительной техники, средств защиты, электропитания и заземления необходимо согласовывать с преподавателем.
Ко второй неделе необходимо подготовить уведомление об обработке персональных данных. Пример уведомления приведен в книге далее, к 5-ой неделе комплект документов в соответствии со спецификацией приведенной далее для Роскомнадзора, к 10 неделе комплект документов в соответствии со спецификацией приведенной далее для ФСТЭК, к 15 неделе комплект документов в соответствии со спецификацией приведенной в далее для ФСБ. В каждом варианте обязательно в организации обеспечением информационной безопасности которой занимается студент ведется автоматизированная обработка более чем 100 000 субъектов персональных данных. Обязательно есть необходимость использовать технические средства защиты информации от утечек по техническим каналам, средства защиты от несанкционированного доступа, средства криптографической защиты информации. Ответственным за обеспечение информационной безопасности в организации назначается студент. Нужно учесть, что если количество ИСПДн в организации больше одной, то некоторые документы представляются по каждой ИСПДн в отдельности. Спецификации подаваемых документов подлежат обязательному согласованию с преподавателем.
Примерный перечень средств защиты от НСД
1 Secret Net 6.5
2 Dallas Lock 7.7
3 Accord
4 Аура
5 Страж NT
Перечень средств криптографической защиты
111 АПКШ Континент клиентская часть Континент АП.
112 ФПСУ/IP клиентская часть ФПСУ/IP клиент.
113 CheckPoint Connectra клиентская часть Connectra client.
114VipNet HW 1000 клиентская часть VipNet Client.
А) Соната, ЛГШ-1000, Корунд.
Б) Барон, Вето-М, Прокруст 2000
РОСКОМНАДЗОР
Спецификация
1. Уведомление
Исх. № ____ от «___» _________ 20__ г. Экз. № __
Руководителю Управления
Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
Дальневосточное управление
О. В. Шахматовой
(Управление Роскомнадзора по Дальневосточному Федеральному округу)
ул. Ленина, д. 4 г. Хабаровск, 681000
Уведомление
об обработке (о намерении осуществлять обработку) персональных данных
Тип оператора: Государственный орган
Первичная профсоюзная организация администрации президента Российской Федерации
________________________________________________________________________
(полное и сокращенное наименования оператора)
пл. Старая, д. 4, Москва, 101000
________________________________________________________________________
(адрес местонахождения и почтовый адрес Оператора)
ИНН: 7710155192 КПП: 771001001 ОГРН: 1037739208870 ОКВЭД: 91.20 ОКПО: 584673?6
ОКФС: 52 ОКОГУ: 4220003 ОКОПФ: 20202
руководствуясь: Конституцией Российской Федерации, Налоговым кодексом РФ, Федеральным законом «О государственной гражданской службе Российской Федерации» от 27.07.2004 №79- ФЗ, Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ, Указом Президента Российской Федерации «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» от 30.05.2005 №609, Указом Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 №188.
________________________________________________________________________
(правовое основание обработки персональных данных)
с целью: регистрации сведений субъектов персональных данных, необходимых для осуществления деятельности в области государственного управления; персональных данных сотрудников (работников) и обращающихся лиц, сведений об профессиональной служебной деятельности работников.
________________________________________________________________________
(цель обработки персональных данных)
осуществляет обработку следующих категорий персональных данных:
сотрудники — фамилия, имя, отчество; год, месяц, дата и место рождения; адрес места прописки; семейное, социальное, имущественное положение; образование; профессия; доходы, ИНН, паспортные данные, данные медицинского полиса, страхового свидетельства, а также специальные категории персональных данных — состояние здоровья, биометрические персональные данные — отпечатки пальцев; обращающиеся граждане — фамилия, имя, отчество; год, месяц, дата и место рождения; адрес места прописки, ИНН, паспортные данные.
________________________________________________________________________
(категории персональных данных)
принадлежащих: работникам, лицам, делающим обращение в организацию, лицам, участвующих в конкурсах на замещение вакантных должностей, лицам, участвующих в конкурсе на зачисление в кадровый резерв, уволенным работникам, лицам, выполняющих поставки, работы, услуги по договорам, посетителям.
(категории субъектов, персональные данные которых обрабатываются)
Обработка вышеуказанных персональных данных осуществляется:
способом смешанной обработки — на бумажных, на электронных носителях и в ИСПДн с передачей по внутренней сети оператора, с передачей в сеть общего пользования Интернет;
операции с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение, уничтожение персональных данных.
________________________________________________________________________
(перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных)
Для обеспечения безопасности персональных данных принимаются следующие меры:
Ответственные должностные лица, их полномочия, обязанности и ответственность определены Положением по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, Приказом о назначении ответственных за обеспечение безопасности персональных данных в ППО администрации президента.
Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
Класс информационной системы персональных данных оператора: К1.
Для защиты персональных данных используются:
комплекс ФПСU-IP/Клиент, регистрационный номер СФ/124—3165, производителей ООО «АМИКОН», уровень криптографической защиты персональных данных КС1, уровень специальной защиты от утечки по каналам побочных излучений и наводок КС, уровень защиты от несанкционированного доступа АК3;
средства обеспечения безопасности: пароли, программно-аппаратные средства защиты информации: «Dallas Lock 7.7», «АМИКОН», «Прокруст 2000», пространственное зашумление: генератор вибро-акустический «Барон»; генератор радиоэлектронный «Вето-М», ключи доступа (применение следующих основных методов и способов защиты информации: а) управление доступом; б) регистрация и учет; в) обеспечение целостности; а также — анализ защищенности; использование средств обнаружения вторжений; защита информации от утечки по техническим каналам, защита информации от несанкционированных действий [НСД], использование межсетевых экранов, контроль отсутствия недекларированных возможностей [НДВ] программного обеспечения средств защиты информации [СЗИ] — при передаче персональных данных с использованием сети Интернет).
Ответственный за организацию обработки персональных данных: Богачев Артем Алексеевич; Тел.: +7 (914) -421-18-81; ул. Ленина, д. 60; 681010, г. Комсомольск-на-Амуре; artem@mail.ru
________________________________________________________________________
(Описание мер, предусмотренных статьями 18¹ и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименование этих средств); (Ф.И.О. физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты)
Сведения о наличии или об отсутствии трансграничной передачи персональных данных: Трансграничная передача персональных данных в процессе их обработки не осуществляется.
Сведения об обеспечении безопасности персональных данных:
На основании модели угроз безопасности информации (частной модели угроз безопасности персональных данных) разработана система защиты информации (СЗИ).
Хранение сведений организовано на электронных носителях (в ИСПДн) с использованием средств обеспечения безопасности, на бумажных носителях — в сейфах (шкафах исключающих несанкционированный доступ).
________________________________________________________________________
(сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленные Правительством Российской Федерации)
Дата начала обработки персональных данных: 15.09.2017г. (число, месяц, год)
Срок или условия прекращения обработки персональных данных: бессрочно
Руководитель _________ Путин Владимир Владимирович
(должность) (подпись) (Ф.И.О.)
«15» сентября 2017 г.
2.Положение о подразделении
УТВЕРЖДАЮ
Начальник ППО «Администрация президента»
по г. Москва
В. В. Путин
от «15» сентября 2017 г.
№ ______
Положение о подразделении по защите персональных данных
Комсомольск-на-Амуре
2017
Приказ
«15» сентября 2017г.
Г г. Комсомольск-на-Амуре
№1111
О проведении работ по защите персональных данных в первичной профсоюзной организации «Администрация президента»
В целях исполнения Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» в государственных органах:
П Р И К А З Ы В А Ю:
1) Назначить отдел информационных технологий ответственным за обеспечение защиты персональных данных, во главе с начальником отдела информационных технологий.
2) Осуществлять режим защиты персональных данных на основании принципов и положений:
а) Концепции информационной безопасности.
б) Политики информационной безопасности.
3) Осуществлять режим защиты персональных данных в отношении данных перечисленных в Перечне персональных данных, подлежащих защите.
4) Провести внутреннюю проверку, в срок до 2017 г., на предмет:
а) Классификации информационных систем обработки данных.
б) Определения режима обработки персональных данных в информационной системе.
в) Установления круга лиц участвующих в обработке персональных данных.
г) Выявления угроз безопасности персональных данных.
5) Разработать и внедрить:
а) План мероприятий по обеспечению защиты персональных данных.
б) Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.
в) План внутренних проверок.
г) Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.
д) Инструкцию администратора безопасности информационных системах персональных данных.
е) Инструкцию пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.
6) Контроль за исполнением настоящего приказа возложить на начальника отдела безопасности.
Путин В. В. _________________
(подпись)
3.Положение о порядке организации и проведения работ по обеспечению безопасности ПДн
Приложение №1
УТВЕРЖДЕНО
Приказом ППО «Администрация президента»
по г. Москва
от «15» сентября 2017 г.
№ ______
ПОЛОЖЕНИЕ
о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в первичной профсоюзной организации «Администрация президента» по г. Москва
Комсомольск-на-Амуре
2017
Оглавление
1 Основные понятия и сокращения… 3
2 Общие положения… 6
3 Классификация информационных систем персональных данных… 7
4 Основные цели и задачи защиты информации на объекте информатизации организации… 4
5 Порядок определения защищаемой информации организации… 5
6 Технические каналы утечки защищаемой информации, циркулирующей на объекте информатизации Организации… 10
7 Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных… 11
8 Организация работ по защите информации на объекте информатизации организации… 13
9 Ответственность должностных лиц организации за обеспечение защиты информации, содержащей ПДн, на объекте информатизации… 17
10 Планирование работ по защите персональных данных… 20
11 Контроль состояния защиты персональных данных… 21
12 Аттестование информационных систем персональных данных… 22
13 Взаимодействие с другими организациями… 24
1. Основные понятия и сокращения
В настоящем Положении используются следующие основные понятия и сокращения:
Автоматизированная система (АС) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Администратор АС — лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.
Администратор безопасности АС — лицо, ответственное за защиту АС от несанкционированного доступа к информации.
Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа (ВП) — программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы (ВТСС) — технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных.
Доступ к персональным данным — возможность получения персональных данных и их использования.
Защита от несанкционированного доступа — предотвращение или существенное затруднение несанкционированного доступа.
Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация — присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информация — сведения (сообщения, данные) независимо от формы их представления.
Информационная система персональных данных (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов.
Контролируемая зона (КЗ) — пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Межсетевой экран — локальное (однокомпонентное) или функционально — распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Недекларированные возможности (НДВ) — функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ {несанкционированные действия) (НСД) — доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим техническим характеристикам и функциональному предназначению.
Несанкционированный доступ к персональным данным (несанкционированные действия), (НСД) — доступ к персональным данным или действия с персональными данными, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Перехват (информации) — неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Персональные данные (ПДн) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, вероисповедание, национальность, другая информация.
Побочные электромагнитные излучения и наводки (ПЭМИН) — электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
Пользователь ИСПДн — лицо, участвующее в функционировании ИСПДн или использующее результаты ее функционирования.
Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Программная закладка — код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить персональные данные или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.
Программное (программно-математическое) воздействие (ПМВ) — несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ
Ресурс информационной системы персональных данных — именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы персональных данных.
Санкционированный доступ к персональным данным — доступ к персональным данным, не нарушающий правила разграничения доступа.
Средства вычислительной техники (СВТ) — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Система защиты информации — совокупность органов и (или) исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Система защиты персональных данных (СЗПДн) — комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности ПДн в ИСПДн.
Субъект доступа — лицо или процесс, действия которого регламентируются правилами разграничения доступа
Технический канал утечки информации — совокупность носителя персональных данных (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается информация, содержащая персональные данные.
Технические средства информационной системы персональных данных (ТСИСПДн) — средства вычислительной техники, информационновычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, приложения и т. п.), средства защиты информации.
Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации, содержащей персональные данные, по техническим каналам — неконтролируемое распространение персональных данных от носителя персональных данных через физическую среду до технического средства, осуществляющего перехват информации, содержащей персональные данные.
Целостность информации, содержащей персональные данные — способность средства вычислительной техники или информационной системы персональных данных обеспечивать неизменность информации, содержащей персональные данные, в условиях случайного и/или преднамеренного искажения (разрушения).
2. Общие положения
2.1. Положение о порядке организации и проведения работ по обеспечению безопасности ПДн при их обработке в Администрации президента России по г. Комсомольску-на-Амуре Хабаровского края (далее — Положение) относится к основополагающим документам, определяющим общие принципы организации работ по информационной безопасности ПДн в организации. Положение разработано в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ, постановлением Правительства РФ от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн», постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»; «Методикой определения актуальных угроз безопасности ПДн при их обработке в ИСПДн», утвержденной ФСТЭК России 14.02.08, «Базовой моделью угроз безопасности ПДн при их обработке в ИСПДн», утвержденной ФСТЭК России 15.02.08; Приказом ФСТЭК России от 05.02.2010 №58 (зарегистрированным в Минюсте России 19.02.2010 №16456) «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» и другими нормативными документами и определяет содержание и порядок осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн Администрации президента России по г. Комсомольску-на-Амуре Хабаровского края (далее — Организация), представляющих собой совокупность ПДн, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации.
2.2. Организация и проведение работ по обеспечению безопасности информации, содержащей ПДн, на объекте информатизации Организации проводится на основании законодательных и нормативных актов Российской Федерации в области защиты информации и настоящего Положения. Безопасность ПДн при их обработке в ИСПДн достигается путем исключения НСД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
2.3. Требования настоящего Положения являются обязательными для исполнения в Организации, а также организациями, учреждениями и предприятиями, выполняющими работы по защите информации в Организации.
2.4. Положение определяет порядок организации и проведения работ по защите информации, содержащей ПДн, на объект информатизации как в период их создания, так и в процессе повседневной эксплуатации.
2.5. Принимаемые меры по защите информации на объекте информатизации должны обеспечивать выполнение действующих требований и норм по защите информации.
При обработке ПДн в ИСПДн должно быть обеспечено:
— проведение мероприятий, направленных на предотвращение НСД к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
— своевременное обнаружение фактов НСД к ПДн;
— недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
— возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
— постоянный контроль за обеспечением уровня защищенности ПДн.
2.6. Разработка мер и обеспечение защиты информации на объекте информатизации осуществляются отделом безопасности Организации или ответственным за защиту информации работником.
Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в ИСПДн информационные технологии.
Для обеспечения безопасности ПДн при обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
Методы и способы защиты ПДн в ИСПДн устанавливаются ФСТЭК России и ФСБ России в пределах их полномочий.
Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензии ФСТЭК России и ФСБ России на право проведения соответствующих работ.
Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн оценивается при проведении государственного контроля и надзора.
Согласование планируемых мер, контроль выполнения работ на местах, соответствия принятых мер и проводимых мероприятий по защите информации действующим требованиям и нормам производит отдел безопасности или администратор информационной безопасности.
2.7. Объект информатизации Организации должен соответствовать требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России.
Размещение ИСПДн и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
2.8. Защита информации организуется в соответствии с действующими нормативными документами ФСТЭК России.
Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства. Ответственность за общее состояние и организацию работ по созданию и эксплуатации объекта информатизации возлагается на начальника Организации. Ответственность за обеспечение требований по защите информации, циркулирующей на объекте информатизации, возлагается на начальников структурных подразделений организации, эксплуатирующих объект информатизации.
2.9. Контроль выполнения требований настоящего Положения возлагается на начальника Организации.
2.10. Финансирование мероприятий по защите информации предусматривается сметами организации на планируемый год. При этом:
— расходы по защите информации при эксплуатации существующих помещений, технических систем и средств включаются в стоимость их содержания;
— затраты, связанные с защитой информации в создаваемых информационновычислительных и других технических системах, предусматриваются в стоимости создания и развития этих систем;
— расходы по защите информации при ремонте и реконструкции помещений предусматриваются в стоимости этих работ.
2.11. Настоящее положение не распространяется на ИСПДн, обрабатывающие ПДн, отнесенные в установленном порядке к сведениям, составляющим государственную тайну.
3.Классификация информационных систем персональных данных
3.1. Классификация ИСПДн в Организации осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн.
3.2. Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).
3.3. Состав, функциональное содержание методов и средств защиты зависит от вида и степени ущерба, возникающего вследствие реализации выявленных угроз безопасности ПДн. При этом ущерб возникает за счет неправомерного или случайного уничтожения, изменения, блокирования, копирования, распространения ПДн или от иных неправомерных действий с ними. В зависимости от объекта, причинение ущерба которому вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба: непосредственный и опосредованный.
3.4. Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:
— незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
— потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;
— нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например — рассылка персонифицированных рекламных предложений и т.п.).
3.5. Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.
3.6. Классификация ИСПДн проводится комиссией, назначаемой начальником Организации, в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, и иными руководящими документами по защите ПДн.
3.7. Проведение классификации ИСПДн включает в себя следующие этапы:
— сбор и анализ исходных данных по ИСПДн;
— присвоение ИСПДн соответствующего класса и его документальное оформление.
3.8. При проведении классификации ИСПДн комиссией учитываются следующие исходные данные:
— категория обрабатываемых ПДн в ИСПДн;
— объем обрабатываемых ПДн (количество субъектов ПДн, ПДн которых обрабатываются в ИСПДн);
— заданные характеристики безопасности ПДн, обрабатываемых в ИСПДн;
— структура ИСПДн;
— наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;
— режим обработки ПДн;
— режим разграничения прав доступа к ИСПДн;
— местонахождение технических средств ИСПДн.
3.9. В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
3.10. Результаты классификации ИСПДн оформляются актом, подписанными членами комиссии, и утверждается начальником Организации.
3.11. Класс ИСПДн может быть пересмотрен:
— на основе проведенных комиссией анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИСПДн;
— по результатам мероприятий по контролю и надзору уполномоченными органами за выполнением требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
4. Основные цели и задачи защиты информации на объекте информатизации Организации
4.1. В соответствии с присвоенным классом ИСПДн и моделью угроз безопасности ПДн в Организации должен выполняться комплекс организационнотехнических мероприятий по защите информации, циркулирующей в помещениях, технических системах и средствах передачи, хранения и обработки информации.
4.2. Накопление, обработка, хранение и передача защищаемой информации в Организации происходит на объекте информатизации, который представляет собой совокупность информационных ресурсов, средств и систем обработки информации, используемых» в соответствии с заданной информационной технологией, средств обеспечения, помещений, в которых они установлены, или помещений, предназначенных для ведения конфиденциальных переговоров.
К объекту информатизации в Организации относятся защищаемые, специальные помещения и средства вычислительной техники.
4.3. Целями защиты информации на объекте информатизации являются:
— предотвращение утечки информации по техническим каналам;
— предотвращение уничтожения, искажения, копирования, блокирования информации в системах информатизации за счет НСД к ней;
— соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах ее обработки;
— сохранение возможности управления процессом обработки и пользования информацией.
4.4. К основным задачам защиты информации на объекте информатизации относя гея задачи по предотвращению:
— несанкционированного доведения защищаемой информации до лиц, не имеющих права доступа к этой информации;
— получения защищаемой информации заинтересованным лицом с нарушением установленных прав или правил доступа к защищаемой информации;
— получения защищаемой информации разведкой с помощью технических средств;
— воздействия на защищаемую информацию с нарушением установленных прав или правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;
— воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств АС, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
4.5. Защита информации на объекте информатизации Организации достигается выполнением комплекса организационных мероприятий с применением сертифицированных средств защиты информации от утечки или воздействия на нее по техническим каналам путем НСД к ней, по предупреждению преднамеренных программно-технических воздействий, предпринятых с целью нарушения целостности (модификации, уничтожения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.
5. Порядок определения защищаемой информации организации
5.1. К защищаемой информации Организации относится:
— информация, содержащая ПДн работников, клиентов, граждан;
— общедоступная информация, уничтожение, изменение, блокирование которой может нанести ущерб Организации.
5.2. По результатам анализа информации обрабатываемой в Организации составляются:
— «Список сотрудников, допущенных к обработке ПДн» (с указанием названия и вида обрабатываемого документа: бумажный, электронный);
— «Перечень информационных ресурсов, содержащих ПДн, подлежащих защите в АС».
5.3. Защищаемая информация Организации может быть представлена:
— на бумажных носителях в виде отдельных документов или дел с документами;
— на машинных носителях в виде файлов, массивов; баз данных, библиотек и пр.;
— в виде речевой информации, при проведении совещаний, переговоров и пр.
5.4. С целью определения технических средств и систем, с помощью которых
обрабатывается информация, содержащая ПДн, а также помещений, где проводятся обсуждения с использованием такой информации, отделом информационных технологий, отделом безопасности или администратором информационной безопасности Организации составляются и утверждаются перечни ТС ИСПДн, защищаемых и специальных помещений.
6. Технические каналы утечки защищаемой информации, циркулирующей на объекте информатизации Организации
6.1. Технический канал утечки информации (ТКУИ) представляет собой совокупность следующих факторов:
— источника информативного сигнала;
— физической среды его распространения;
— приемника, способного зарегистрировать данный сигнал.
6.2. При ведении переговоров и использовании технических средств для обработки и передачи информации на объекте информатизации Организации возможна реализация следующих ТКУИ:
— акустического излучения информативного речевого сигнала;
— электрических сигналов, возникающих при преобразовании информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям, выходящим за пределы КЗ;
— виброакустических сигналов, возникающих при преобразовании информативного акустического сигнала за счет воздействия его на строительные конструкции и инженерно-технические коммуникации защищаемого помещения;
— НСД к обрабатываемой в АС информации и несанкционированные действия с ней;
— воздействия на технические или программные средства ИС в целях нарушения конфиденциальности, целостности и доступности информации посредством специально внедренных программных средств;
— ПЭМИН информативных сигналов от ТС ИСПДн и линий передачи информации;
— наводок информативного сигнала, обрабатываемого ТС ИСПДн, на цепи электропитания и линии связи, выходящие за пределы КЗ;
— радиоизлучений, модулированных информативным сигналом, возникающим при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;
— радиоизлучений или электрических сигналов от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации («закладочные устройства»), модулированных информативным сигналом;
— радиоизлучений или электрических сигналов от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
— просмотра информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;
— прослушивания телефонных и радиопереговоров;
— хищения технических средств с хранящейся в них информацией или носителей информации.
6.3. Перехват информации, циркулирующей на объекте информатизации, или воздействие на нее с использованием технических средств могут вестись:
— из-за границы КЗ из близлежащих строений и транспортных средств;
— из смежных помещений, принадлежащих другим организациям и расположенным в том же здании, что и объект информатизации;
— при посещении Организации посторонними лицами;
— за счет НСД к информации, циркулирующей в АС, как с помощью технических средств автоматизированной системы, так и через сети.
6.4. В качестве аппаратуры перехвата или воздействия на информацию и технические средства объекта информатизации могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства съема информации — «закладочные устройства», размещаемые внутри или вне защищаемого помещения.
6.5. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны, вследствие:
— непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемого помещения и его инженерно- технических систем;
— некомпетентных или ошибочных действий пользователей;
— непреднамеренного просмотра информации с экранов мониторов и пр.
6.6. Выявление и учет факторов, которые воздействуют или могут воздействовать на информацию, циркулирующую на объекте информатизации, проводятся в соответствии с «Базовой моделью угроз безопасности ПДн при их обработке в ИСПДн», утвержденной ФСТЭК России 15.02.2008, и составляют основу для планирования мероприятий, направленных на защиту информации на объекте информатизации.
7. Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
7.1. В целях осуществления технического обеспечения безопасности ПДн при их обработке в ИСПДн, в зависимости от класса ИСПДн в Организации реализовываются Следующие мероприятия:
— мероприятия по защите от НСД к ПДн при их обработке в ИСПДн;
— мероприятия по защите информации от утечки по техническим каналам.
7.2. Мероприятия по защите ПДн при их обработке в ИСПДн от НСД и неправомерных действий включают:
— управление доступом;
— регистрацию и учет;
— обеспечение целостности;
— контроль отсутствия НДВ;
— антивирусную защиту;
— обеспечение безопасного межсетевого взаимодействия ИСПДн;
— анализ защищенности;
— обнаружение вторжений.
7.3. Подсистему управления доступом, регистрации и учета необходимо реализовывать на базе программных средств блокирования несанкционированных действий, сигнализации и регистрации. Это специальные, не входящие в ядро какой-либо операционной системы сертифицированные программные и программно-аппаратные средства защиты самих операционных систем, электронных баз ПДн и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для ИСПДн действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и имитации.
Средства диагностики осуществляют тестирование файловой системы и баз ПДн, постоянный сбор ПДн о функционировании элементов подсистемы обеспечения безопасности ПДн.
Средства уничтожения предназначены для уничтожения остаточных данных и могут предусматривать аварийное уничтожение данных в случае угрозы НСД, которая не может быть блокирована системой.
Средства сигнализации предназначены для предупреждения операторов при их обращении к защищаемым ПДн и для предупреждения администратора при обнаружении факта НСД к ПДн, искажении программных средств защиты, выходе или выводе из строя аппаратных средств защиты и о других фактах нарушения штатного режима функционирования ИСПДн.
Средства имитации моделируют работу с нарушителями при обнаружении попытки НСД к защищаемым ПДн или программным средствам. Имитация позволяет увеличить время на определение места и характера НСД, что особенно важно в территориально распределенных сетях, и дезинформировать нарушителя о месте нахождения защищаемых ПДн.
7.4. Подсистема обеспечения целостности реализуется преимущественно операционными системами и системами управления базами данных. Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций, встраиваемые в операционные системы и системы управления базами данных, основаны на расчете контрольных сумм, уведомлении о сбое в передаче пакета сообщения, повторе передачи не принятого пакета.
7.5. Подсистема контроля отсутствия НДВ реализуется в большинстве случаев на базе систем управления базами данных, средств защиты ПДн, антивирусных средств защиты ПДн.
7.6. Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку этой информации, применяются средства антивирусной защиты, обеспечивающие:
— обнаружение и (или) блокирование деструктивных вирусных воздействий на общесистемное и прикладное программное обеспечение, реализующее обработку ПДн, а также на ПДн;
— обнаружение и удаление неизвестных вирусов;
— обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске
При выборе средств антивирусной защиты необходимо учитывать следующие факторы:
— совместимость указанных средств со штатным программным обеспечением ИСПДн;
— степень снижения производительности функционирования ИСПДн по основному назначению;
— наличие средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора сети в ИСПДн;
— возможность оперативного оповещения администратора безопасности информации в ИСПДн обо всех событиях и фактах проявления ПМВ;
— наличие подробной документации по эксплуатации средства антивирусной защиты;
возможность осуществления периодического тестирования или самотестирования средства антивирусной защиты;
— возможность наращивания состава средств защиты от ПМВ новыми дополнительными средствами без существенных ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты ПДн.
Описание порядка установки, настройки, конфигурирования и администрирования средств антивирусной защиты, а также порядка действий в случае выявления факта вирусной атаки или иных нарушений требований по защите от ПМВ должны быть включены в руководство администратора безопасности информации в ИСПДн.
7.7. Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии применяется межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами.
7.8. Подсистема анализа защищенности реализуется на основе использования средств тестирования (анализа защищенности) и контроля (аудита) безопасности ПДн.
Средства анализа защищенности применяются с целью контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяют оценить возможность проведения нарушителями атак на сетевое оборудование, контролируют безопасность программного обеспечения. Для этого они исследуют топологию сети, ищут незащищенные или несанкционированные сетевые подключения, проверяют настройки межсетевых экранов. Подобный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средства анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях.
В интересах выявления угроз НСД за счет межсетевого взаимодействия применяются системы обнаружения вторжений. Такие системы строятся с учетом особенностей реализации атак, этапов их развития и основаны на целом ряде методов обнаружения атак.
Для обнаружения вторжений в ИСПДн Организации рекомендуется использовать системы обнаружения сетевых атак, использующие как сигнатурные методы анализа, так и методы выявления аномалий.
7.9. Для защиты ПДн от утечки по техническим каналам применяются
организационные и технические мероприятия, направленные на исключение утечки акустической (речевой), видовой информации, а также утечки информации за счет ПЭМИН. При реализации технических мероприятий используются технические пассивные и активные средства защиты.
7.10. Перечень мероприятий по защите ПДн для ИСПДн Организации определяется отделом информатизации и ввода данных в зависимости от ущерба, который может быть нанесен вследствие НСД или непреднамеренного доступа к ПДн в соответствии с действующим законодательством.
8. Организация работ по защите информации на объекте информатизации организации
8.1. Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по целям, задачам, месту и времени организационных и технических мероприятий в Управлении, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.
Защита информации, циркулирующей на объекте информатизации, должна быть комплексной и дифференцированной. С этой целью для объекта информатизации создается система защиты информации.
Разработка мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн в Организации осуществляется отделом безопасности.
8.2. Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством РФ требованиям, обеспечивающим защиту ПДн.
Средства защиты ПДн, применяемые в ИСПДн, должны быть сертифицированы в соответствии с требованиями по безопасности ПДн.
8.3. Порядок организации и обеспечения безопасности ПДн в ИСПДн Управления включает в себя:
8.3.1 Оценку обстановки.
Оценка обстановки проводится работниками отдела информатизации и ввода данных и определяются возможные способы обеспечения безопасности ПДн. Она основывается на результатах комплексного обследования ИСПДн, в ходе которого, прежде всего, проводится категорирование ПДн по важности.
При оценке обстановки определяется необходимость обеспечения безопасности ПДн от угроз:
уничтожения, хищения аппаратных средств ИСПДн, носителей информации путем физического доступа к элементам ИСПДн;
— утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН);
— перехвата при передаче по проводным (кабельным) линиям связи;
хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств (в том числе ПМВ);
— воспрепятствования функционированию ИСПДн путем преднамеренного электромагнитного воздействия на ее элементы;
— непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за
ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
При оценке обстановки учитывается степень ущерба, который может быть причинен в случае неправомерного использования соответствующих ПДн.
8.3.2. Обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты ПДн проводится в соответствии с действующим законодательством.
8.3.3. Разработку замысла обеспечения безопасности ПДн (осуществляется выбор основных способов защиты ПДн).
8.3.4. Выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты.
При выборе целесообразных способов обеспечения безопасности ПДн, обрабатываемых в ИСПДн, определяются организационные меры и технические (аппаратные, программные и программно-аппаратные) сертифицированные средства защиты.
В соответствии с выявленными сектором защиты информации угрозами безопасности ПДн осуществляется планирование и проведение мероприятий, направленных на обеспечение безопасности ПДн при их обработке в ИСПДн Организации.
Модель угроз применительно к конкретной ИСПДн разрабатывается отделом безопасности в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 14.02.2008, на основе Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 15.02.2008, по представленным необходимым техническим данным об ИСПДн.
8.3.5. Решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты. Предусматривает подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения.
Контроль осуществляется отделом безопасности по выполнению требований нормативных документов по защите ПДн, а также в оценке обоснованности и эффективности принятых мер.
8.3.6. Обеспечение реализации принятого замысла защиты ПДн.
8.3.7. Планирование мероприятий по защите ПДн.
8.3.8. Организацию и проведение работ по созданию СЗПДн в рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних лицензированных организаций, решение основных задач взаимодействия.
8.3.9. Разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.
8.3.10. Развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн.
8.3.11. Доработку СЗПДн по результатам опытной эксплуатации.
8.4. Комплексная защита информации на объекте информатизации проводится по следующим основным направлениям работы:
— охрана помещений объекта;
— определение перечня информации, подлежащей защите;
— классификация ИСПДн;
— создание системы защиты информации при разработке и модернизации объекта;
— составление организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
— защита речевой информации при осуществлении конфиденциальных переговоров;
— защита информации, содержащей ПДн, при ее автоматизированной обработке, передаче с использованием технических средств, а также на бумажных или иных носителях;
— защита информации при взаимодействии абонентов с информационными сетями связи общего пользования.
8.5. Перечень необходимых мер защиты информации определяется по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации с возможным ущербом (негативным последствиям для субъектов ПДн) от ее разглашения, утраты, уничтожения, искажения, нарушения санкционированной доступности и работоспособности технических средств, обрабатывающих эту информацию, а также с учетом реальных возможностей ее перехвата и раскрываемости.
Основное внимание должно быть уделено защите информации, содержащей ПДн, в отношении которой угрозы реальны и сравнительно просто реализуемы без применения сложных технических средств перехвата информации.
К информации такого рода относится:
— речевая информация, циркулирующая в защищаемом помещении;
— информация, обрабатываемая СВТ;
— информация, выводимая на экраны мониторов;
— документированная информация, содержащая ПДн;
— информация, передаваемая по каналам связи, выходящим за пределы КЗ.
В целом обеспечение безопасности ПДн при их обработке в ИСПДн достигается реализацией совокупности организационных и технических мер, причем в интересах обеспечения безопасности ПДн в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных и методических документов по защите ПДн в автоматизированных системах, учитывая при этом, что ПДн отнесены к информации ограниченного доступа.
В связи с тем что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации.
8.6. Создание системы защиты информации объекта информатизации осуществляется по следующим стадиям:
— предпроектная стадия, включающая в себя предпроектное обследование объекта информатизации (ИСПДн), разработку аналитического обоснования необходимости создания системы защиты персональных данных (далее СЗПДн) и технического задания на ее создание;
— стадия проектирования (разработки проектов) и реализации ИСПДн, включающая в себя разработку СЗПДн в составе объекта информатизации (ИСПДн);
— стадия ввода в действие СЗПДн, включающая в себя опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации
(далее СрЗИ), а также оценку соответствия ИСПДн требованиям безопасности информации.
8.6.1. Предпроектная стадия обследования объекта информатизации (ИСПДн) включает в себя:
— установление необходимости обработки ПДн в ИСПДн;
— определение ПДн, подлежащих защите от НСД;
— определение условий расположения ИСПДн относительно границ КЗ;
— определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
— определение технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, общесистемных и прикладных программных средств, имеющихся и предлагаемых к разработке;
— определение режимов обработки ПДн в ИСПДн в целом и в отдельных ее компонентах;
— определение класса ИСПДн;
— уточнение степени участия должностных лиц в обработке ПДн, характер их взаимодействия между собой;
— определение (уточнение) угроз безопасности ПДн применительно к конкретным условиям функционирования ИСПДн (разработка частной модели угроз).
8.6.2. По результатам предпроектного обследования на основе документов ФСТЭК России, с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание на разработку СЗПДн.
8.6.3. Предпроектное обследование может быть поручено специализированной организации, имеющей соответствующую лицензию. Порядок ознакомления (при необходимости) специалистов подрядной организации с защищаемыми сведениями определяется Организацией.
8.6.4. Аналитическое обоснование необходимости создания СЗПДн должно содержать:
— информационную характеристику и организационную структуру объекта информатизации;
— характеристику комплекса ТСИСПДн и ВТСС, программного обеспечения, режимов работы, технологического процесса обработки информации;
— возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
— перечень предлагаемых к использованию сертифицированных СрЗИ;
— обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
— оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗПДн;
— ориентировочные сроки разработки и внедрения СЗПДн;
— перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.
Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с отделом безопасности или ответственным лицом и утверждается начальником Организации.
8.6.5. Техническое (частное техническое) задание на разработку СЗПДн должно содержать:
— обоснование разработки СЗПДн;
— исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;
— класс ИСПДн;
— ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
— конкретизацию мероприятий и требований к СЗПДн;
— перечень предполагаемых к использованию сертифицированных СрЗИ;
— обоснование проведения разработок собственных СрЗИ при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных СрЗИ;
— состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.
8.6.6. В целях дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства ИСПДн подразделяются на классы.
Класс АС (ИСПДн) устанавливается в соответствии с «Порядком проведения классификации ИСНДн», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 №55/86/20, и оформляется актом.
Пересмотр класса защищенности АС (ИСПДНн) производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.
8.6.7. На стадии проектирования и создания АС (ИСПДн, СЗПДн) проводятся следующие мероприятия:
— разработка задания и проекта проведения работ (в том числе строительных и строительно-монтажных) по созданию (реконструкции) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
— выполнение работ в соответствии с проектной документацией;
— обоснование и закупка совокупности используемых в ИСПДн серийно выпускаемых технических средств обработки, передачи и хранения информации;
— разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
— обоснование и закупка совокупности используемых в ИСПДн сертифицированных технических, программных и программно-технических СрЗИ и их установка;
— проведение сертификации по требованиям безопасности информации технических, программных и программно-технических СрЗИ, в случае когда на рынке отсутствуют требуемые сертифицированные СрЗИ;
— разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;
— определение подразделений и назначение лиц, ответственных за эксплуатацию СрЗИ, с их обучением по направлению обеспечения безопасности ПДн;
— разработка эксплуатационной документации на ИСПДн и СрЗИ, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
— выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.
8.6.8. На стадии ввода в действие АС (ИСПДн, СЗПДн) осуществляются:
— выполнение генерации пакета прикладных программ в комплексе с программными СрЗИ;
— опытная эксплуатация СрЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;
— приемо-сдаточные испытания СрЗИ по результатам опытной эксплуатации;
— организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;
— оценка соответствия ИСПДн требованиям безопасности ПДн.
9. Ответственность должностных лиц организации за обеспечение защиты информации, содержащей ПДн, на объекте информатизации
9.1. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите ПДн в Организации, являются:
— начальник Организации;
— начальник отдела безопасности;
— начальник отдела информационных технологий;
— системный администратор;
— администратор информационной безопасности;
— начальники отделов Организации;
— работники, допущенные к обработке ПДн в ИСПДн.
Они обязаны:
— не допускать проведения в Организации работ и мероприятий, связанных с использованием ПДн без принятия необходимых мер по защите ПДн;
— определять объекты информатизации, предназначенные для работы с ПДн, организовывать их защиту;
— контролировать работу структурных подразделений Организации и должностных лиц при обработке ПДн.
9.2. Начальник Организации несет ответственность за общую организацию работ по защите информации на объекте информатизации и созданию эффективной СЗПДн этих объектов.
9.3. Начальник отдела безопасности или администратор информационной безопасности несет ответственность за:
— руководство и координацию работ по защите информации на объекте информатизации;
— организацию выполнения требований по защите информации на объекте информатизации;
— обоснованность необходимости создания СЗПДн объекта информатизации;
— разработку организационно-распорядительных документов по защите информации на объекте информатизации;
— организацию разработки технического задания на создание СЗПДн, подготовку проектов договоров со сторонними организациями на выполнение работ по защите информации на объекте информатизации;
— организацию контроля состояния СЗПДн объекта информатизации, соблюдения работниками установленных норм и требований по защите информации;
— организацию контроля охраны помещений объекта;
— совершенствование СЗПДн.
Он имеет право:
— контролировать деятельность структурных подразделений Организации, должностных лиц по выполнению ими требований по защите ПДн;
— участвовать в работе различного рода заседаний, комиссий, экспертных групп Организации при рассмотрении вопросов защиты ПДн;
— вносить предложения начальнику Организации о приостановке работ с ПДн в случае нарушения требований по защите ПДн;
— готовить предложения о привлечении к проведению работ по защите ПДн сторонних организаций, имеющих лицензию на соответствующий вид деятельности.
9.4. Администратор информационной безопасности объекта информатизации Организации несет ответственность за:
сопровождение СрЗИ от несанкционированного доступа;
— непосредственное управление режимами работы и административную поддержку функционирования применяемых специальных программных и программно-аппаратных СрЗИ от несанкционированного доступа;
— настройку и сопровождение в процессе эксплуатации подсистемы управления доступом;
— проверку состояния используемых СрЗИ от несанкционированного доступа, правильности их настройки;
— организацию разграничения доступа;
— учет и контроль состава и полномочий пользователей;
— выполнение требований по обеспечению безопасности при организации технического обслуживания и отправке в ремонт СВТ;
— учет, хранение, прием и выдачу персональных идентификаторов и ключевых дискет ответственным исполнителям;
— контроль учета, создания, хранения и использования резервных и архивных копий массивов данных.
Он обязан:
— разрабатывать проекты годовых планов работ по защите ПДн в Организации, предусматривающих задачи структурным подразделениям по решению конкретных вопросов защиты ПДн, организацию их выполнения, а также контроль за их эффективностью;
— организовывать разработку и согласование методической документации по защите ПДн;
— согласовывать мероприятия по защите ПДн в ИСПДн с начальником Организации;
— определять степень опасности технических каналов утечки информации, различных способов НСД к ПДн, их разрушения (уничтожения) или искажения;
— определять необходимые меры по защите ПДн, организовывать их разработку и реализацию;
— организовывать аттестацию ИСПДн;
— организовывать проведение периодического контроля эффективности мер защиты ПДн, учет и анализ результатов контроля;
— организовывать расследования нарушений в области защиты ПДн и разрабатывать предложения по устранению недостатков и предупреждению подобного рода нарушений;
— анализировать состояние работ по защите ПДн и разрабатывать предложения по совершенствованию системы защиты ПДн в Организации;
— организовывать проведение занятий с работниками Организации по вопросам защиты информации.
9.5. Системный администратор объекта информатизации несет ответственность за:
— выбор типа и версии серверных и клиентских операционных систем, установку, настройку, сопровождение операционных систем серверов;
— обновление справочного и антивирусного программного обеспечения;
— реализацию совместно с администратором информационной безопасности сетевой политики безопасности;
— настройку аппаратной и программной составляющей серверного, коммутационного, телекоммуникационного оборудования, средств аппаратной безопасности сегментов, сетевого периферийного оборудования;
— регистрацию пользователей и предоставление им прав доступа к сетевым информационным ресурсам, регистрацию компьютеров в сети;
— реализацию адресной и маршрутной политики сети;
— реализацию политики антивирусной защиты;
— обеспечение работоспособности структурированной кабельной сети;
— архивирование, резервное копирование информации;
— ведение аудита системных событий и безопасности;
— оперативное управление работой сети;
— контроль физической сохранности средств и оборудования сети.
9.6. Начальники отделов, эксплуатирующих объект информатизации, несут ответственность за:
— выполнение требований по защите информации на объекте информатизации;
— осуществлять постоянный контроль за подчиненными, разъяснять и требовать от подчиненных выполнения требований нормативных правовых актов по вопросам защиты ПДн;
— ведение необходимой документации объекта информатизации;
— правильность определения пользователям своего подразделения необходимости и прав доступа к защищаемым информационным ресурсам.
9.7. Пользователи АС объекта информатизации несут ответственность за:
— соблюдение мер по защите информации и правил эксплуатации СВТ;
— обеспечение сохранности СВТ, машинных носителей информации и целостность установленного программного обеспечения;
— соблюдение установленных требований по обращению с машинными носителями информации.
9.8. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной, гражданско-правовой, административной, уголовной и иной предусмотренной законодательством РФ ответственности.
9.9. В случае замеченных нарушений требований данного положения работником, последний обязан немедленно сообщить об этом своему непосредственному руководителю, администратору информационной безопасностилибо начальнику отдела безопасности.
9.10. Отдел информационных технологий при эксплуатации и развертывании ИСПДн проводит следующие работы:
— по согласованию с начальниками отделов проводит анализ возможности решения определенных задач на ИСПДн и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств;
— установку (развертывание, обновление версий) программных средств, необходимых для решения в ИСПДн конкретных задач;
— удаление (затирание) программных пакетов, необходимость в использовании которых отпала;
— установку (развертывание) новых ИСПДн или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач.
9.11. Отдел безопасности при эксплуатации и развертывании ИСПДн проводит следующие работы:
— организовывает аттестацию и контрольные проверки ИСПДн;
— устанавливает и вводит в эксплуатацию средства защиты ПДн в соответствии с эксплуатационной и технической документацией к ним;
— организовывает в установленном порядке расследования причин и условий появления нарушений по вопросам технической защиты ПДн и разрабатывает предложения по устранению недостатков и предупреждению подобного рода нарушений;
— проводит анализ возможности решения (а также совмещения) указанных задач в конкретных ИСПДн (с точки зрения обеспечения безопасности) и принимает решение об отнесении их к той или иной группе по степени защищенности;
9.12. Любые планируемые изменения в составе основных или вспомогательных технических средств, изменения в системе электропитания, связи, заземления или конструкции ИСПДн должны быть в обязательном порядке согласовываться с отделом безопасности.
9.13. Иные права и обязанности работников Организации приведены в соответствующих положениях об отделах и должностных регламентах работников.
9.14 Права субъекта ПДн определяются гл. 3 Федерального закона «О персональных данных «от 27.07.2006 N 152-ФЗ.
9.15. Эксплуатация ИСПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписанием на эксплуатацию технических средств, а также требованиями соответствующих документов по вопросам защиты ПДн.
10. Планирование работ по защите персональных данных
10.1. Основные мероприятия и работы по защите ПДн в ИСПДн Организации являются составной частью плана основных мероприятий по защите информации в Организации, разрабатываемого на очередной календарный год.
10.2. План основных мероприятий по защите информации определяет перечень основных проводимых организационно-технических мероприятий по защите информации (в том числе ПДн) в Организации с указанием:
— сроков выполнения мероприятий;
— ответственных работников за исполнением соответствующих пунктов плана основных мероприятий по защите информации.
10.3. В план основных мероприятий по защите информации включаются:
— мероприятия по категорированию и аттестации объектов информатизации;
— работы по защите объектов информатизации от утечки информации по техническим каналам и НСД (созданию СЗСИ);
— мероприятия по контролю состояния защиты информации;
— мероприятия по обучению и повышению квалификации работников, допущенных к обработке ПДн,
10.4. План основных мероприятий по защите информации на очередной календарный год разрабатывается отделом информатизации и ввода данных.
10.5. Согласованный с заинтересованными лицами план основных мероприятий по защите информации утверждается распоряжением начальника Организации не позднее 25 декабря текущего года.
11. Контроль состояния защиты персональных данных
11.2. Контроль состояния защиты ПДн в Организации осуществляется с целью своевременного выявления и предотвращения утечки информации, содержащей ПДн по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на ПДн и оценки защиты ПДн от технических средств разведки (далее — контроль).
11.3. Контроль заключается в проверке выполнения требований действующего законодательства по вопросам защиты ПДн, в оценке обоснованности и эффективности принятых мер по защите ПДн и осуществляется отделом информатизации и ввода данных, в том числе с применением контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.
11.4. Контроль эффективности внедренных мер и средств защиты ПДн должен проводиться в соответствии с требованиями предписаний на эксплуатацию технических средств, требований эксплуатационной документации на сертифицированные средства ПДн, требований других нормативных документов не реже одного раза в год.
11.5. Обязательным является контроль средств защиты ПДн при вводе их в эксплуатацию после проведения ремонта средств защиты ПДн при изменениях условий и расположения или эксплуатации.
11.6. Контроль защиты информации организуется начальником Организации.
11.7. К проведению контрольных мероприятий могут привлекаться ответственные работники за эксплуатацию ИСПДн.
11.8. Для проведения некоторых мероприятий контроля (измерение сопротивления защитного заземления, выявление опасных каналов утечки информации, проверка исправности и работоспособности средств защиты информации, оценка эффективности защищенности информации и т.п.) в случае невозможности или экономической нецелесообразности их выполнения силами работников Организации могут привлекаться лицензированные сторонние организации.
11.9. Контроль состояния и эффективности защиты ПДн может осуществляться в соответствии с планом основных мероприятий по защите
информации на текущий год или носить внеплановый (внезапный) характер и может проводиться как с использованием контрольно-измерительной аппаратуры (оценка эффективности защищенности ИСПДн, контроль работоспособности средств защиты и т.п.), так и без ее применения (контроль соответствия условий эксплуатации ИСПДн, контроль соответствия требованиям организационнораспорядительной документации и т.п.).
11.10. Результаты периодического контроля оформляются отдельными протоколами или актами.
11.11. По всем выявленным нарушениям требований по защите ПДн администратор информационной безопасности в пределах предоставленных ему прав и своих функциональных обязанностей обязан добиваться их немедленного устранения.
11.12. Начальники отделов, в чьем ведении находятся ИСПДн, и ответственные за их эксплуатацию, обязаны принять все необходимые меры по немедленному устранению выявленных нарушений. При невозможности их немедленного устранения они обязаны прекратить работы с ПДн и организовать работы по устранению выявленных нарушений.
11.13. Исполнители, проводящие обработку ПДн в ИСПДн, обязаны выполнять требования по защите ПДн и ответственного за эксплуатацию ИСПДн по устранению допущенных ими нарушений норм и требований по защите ПДн и несут персональную ответственность за соблюдение требований по защите ПДн в ходе проведения работ.
11.14. Сопровождение системы защиты информации от НСД на стадии эксплуатации ИСПДн, включая ведение служебной информации (генерацию и смену паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием системы защиты ПДн от НСД, контроль соответствия общесистемной программной среды эталону (контроль целостности программного обеспечения) и приемку включаемых в ИСПДн новых программных средств, а также контроль за ходом технологического процесса обработки ПДн путем регистрации и анализа действий работников (пользователей) по системному журналу, осуществляется администратором безопасности ИСПДн.
11.15. Администратором безопасности ИСПДн назначается работник отдела безопасности.
11.16. Учет, хранение и выдача работникам паролей и ключей для системы защиты ПДн от НСД, оперативный контроль за действиями работников, использующих ИСПДн, осуществляют работники отдела безопасности.
11.17. Общий контроль, внеплановый контроль и методическое обеспечение работников, допущенных к обработке ПДн, осуществляется отделом безопасности.
11.18. Защита ПДн считается эффективной, если принимаемые меры защиты соответствуют установленным требованиям или нормам руководящих документов по защите ПДн.
11.19. Несоответствие мер установленным требованиям или нормам по защите ПДн является нарушением.
11.20..Нарушения по степени важности делятся по трем категориям:
— первая — невыполнение требований или норм по защите ПДн, в результате чего имелась или имеется реальная возможность их утечки по техническим каналам;
— вторая — невыполнение требований по защите ПДн, в результате чего создаются предпосылки к их утечке по техническим каналам;
— третья — невыполнение других требований по защите ПДн.
11.21. При обнаружении нарушений первой категории в ИСПДн необходимо:
— немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры;
— организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц;
— сообщить в отдел безопасности о вскрытых нарушениях и принятых мерах.
11.22. Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер отделом информационных технологий.
11.23. При обнаружении нарушений второй и третьей категорий начальники отделов обязаны принять необходимые меры по их устранению в сроки, согласованные с отделом информационных технологий и отделом безопасности.
12. Аттестование информационных систем персональных данных
12.1. Под аттестацией ИСПДн по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — Аттестата соответствия подтверждается, что объект (ИСПДн) соответствует требованиям стандартов или иных нормативных документов по защите ПДн, утвержденных ФСТЭК России, ФСБ России или другими органами государственного управления в пределах их компетенции.
12.1. Наличие действующего Аттестата соответствия дает право обработки ПДн соответствующей категории и объема в ИСПДн и на период времени, установленный в Аттестате соответствия.
12.2. ИСПДн классифицированные по 1 и 2 классу подлежат обязательной аттестации.
12.3. Аттестация по требованиям безопасности информации предшествует началу обработки ПДн и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты ПДн.
12.4. При аттестации ИСПДн подтверждается ее соответствие требованиям по защите информации от утечки по возможным физическим каналам и НСД к ней, за исключением проведения специальных проверок технических средств на отсутствие электронных «закладок».
12.5. Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия Использованного комплекса мер и средств защиты ПДн требуемому уровню безопасности ПДн.
12.6. Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккредитованным органом по аттестации из компетентных специалистов в необходимых для конкретной ИСПДн, по согласованной с заявителем программе испытаний.
12.7. Программа испытаний разрабатывается на основе анализа исходных данных об ИСПДн, представляемых отделом безопасности, моделью актуальных угроз ИСПДн «и должна включать необходимые виды испытаний, определенные методическими рекомендациями для соответствующих видов объектов
информатизации, а также определять сроки, условия и методики проведения испытаний.
12.8. Программа испытаний может уточняться и корректироваться в процессе испытаний по согласованию с заявителем и руководителем аттестационной комиссии.
12.9. Для проведения испытаний Организация представляет аттестационной комиссии следующие исходные данные и документацию:
— техническое задание на ИСПДн;
— технический паспорт на ИСПДн;
— приемо-сдаточную документацию на ИСПДн;
— акт классификации ИСПДн;
— состав технических и программных средств, входящих в ИСПДн;
— планы размещения технических средств и систем;
— состав и схемы размещения средств защиты ПДн;
— план контролируемой зоны;
— схемы прокладки линий передачи данных;
— схемы и характеристики систем электропитания и заземления технических средств;
— перечень защищаемых в ИСПДн ресурсов;
— организационно-распорядительная документация разрешительной системы доступа работников к защищаемым ресурсам ИСПДн;
— описание технологического процесса обработки ПДн в ИСПДн;
— технологические инструкции работникам (пользователям) ИСПДн и администратору безопасности ИСПДн;
— инструкции по эксплуатации средств защиты ПДн;
— предписания на эксплуатацию технических средств;
— протоколы специальных исследований технических средств;
— сертификаты соответствия требованиям безопасности ПДн на средства и системы обработки и передачи ПДн, используемые средства защиты ПДн
— данные по уровню подготовки кадров, обеспечивающих защиту ПДн;
— данные о техническом обеспечении средствами контроля эффективности защиты ПДн и их метрологической поверке;
— нормативную и методическую документацию по защите ПДн и контролю эффективности защиты ПДн.
12.10. Приведенный общий перечень исходных данных и документации может уточняться Организацией в зависимости от особенностей аттестуемой ИСПДн по согласованию с аттестационной комиссией.
12.11. Аттестационные испытания ИСПДн проводятся до полного их завершения в соответствии с программой испытаний вне зависимости от промежуточных результатов испытаний.
12.12. Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования ИСПДн и технологии обработки ПДн, могущих повлиять на характеристики, определяющие безопасность ПДн (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки ПДн, средства и меры защиты), на срок, устанавливаемый нормативными правовыми документами ФСТЭК России.
12.13. В случае изменений условий и технологии обработки ПДн ответственные за эксплуатацию ИСПДн лица обязаны известить об этом начальника отдела безопасности, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.
13. Взаимодействие с другими организациями
13.1. Взаимодействие по вопросам защиты ПДн Организации со сторонними организациями (при необходимости) организуется начальником отдела безопасности с целью:
— обеспечения Организации недостающими и вновь разработанными руководящими, нормативно-методическими и иными материалами по вопросам защиты ПДн;
— обеспечения средствами защиты ПДн;
— выполнения организационных и технических мероприятий в области защиты ПДн, на проведение которых у Организации отсутствует соответствующее разрешение либо отсутствуют технические средства и подготовленные работники (специалисты);
— выполнения организационных и технических мероприятий в области защиты ПДн, выполнение которых силами Организации экономически невыгодно;
— контроля эффективности проводимых мероприятий по защите ПДн.
13.2. Привлекаемая для оказания услуг в области защиты ПДн сторонняя организация должна иметь лицензию на соответствующий вид деятельности.
13.3. Перечень совместно выполняемых организационных и технических мероприятий в области защиты ПДн определяется с учетом планируемых работ по созданию (реконструкции) ИСПДн и включается в себя план основных мероприятий по защите ПДн.
13.4. С привлекаемой организацией Организация заключает двусторонний договор (соглашение, контракт).
Заместитель начальника
отдела безопасности А. А. Злой
Лист ознакомления сотрудников
с Положением о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в Администрации президента России по г. Москва
в Администрации президента России по г. Москва
___________________________________________________
(наименование структурного подразделения)
№ п/п Фамилия, имя, отчество работника Дата ознакомления с Положением Подпись работника
1 Литарова Ольга Николаевна 15.09.2016
2 Созинова Елена Георгиевна 15.09.2016
3 Павличенко Анна Анатольевна 15.09.2016
4 Артамонова Ляля Саматовна 15.09.2016
5 Быкова Надежда Евгеньевна 15.09.2016
6 Шишаева Елена Гуновна 15.09.2016
7 Шарапова Елена Александровна 15.09.2016
8 Родина Татьяна Николаевна 15.09.2016
9 Дюк Марина Алексеевна 15.09.2016
10 Богачев Артем алексеевич 15.09.2016
11 Злой Андрей Андреевич 15.09.2016
12 Тереньтев Александр Павлович 15.09.2016
13 Поздеев Николай Борисович 15.09.2016
14 Усиков Андрей Владимирович 15.09.2016
15 Костина Наталья Витальевна 15.09.2016
16 Черный Никита Сергеевич 15.09.2016
4.Положение обработке ПДн
Приложение №2
УТВЕРЖДЕНО
Приказом ППО «Администрация президента»
по г. Москва
от «15» сентября 2017 г.
№ ______
ПОЛОЖЕНИЕ
о персональных данных в первичной профсоюзной организации «Администрация президента» по г. Москва
Комсомольск-на-Амуре
2017
Оглавление
1 Термины и определения… 3
2 Общие положения… 4
3 Обработка персональных данных… 5
4 Защита персональных данных… 8
5 Права работников на защиту своих персональных данных… 9
6 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных… 9
7 Контроль за выполнением требований настоящего Положения… 9
1. Термины и определения
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Персональные данные работников организации — информация, которая необходима работодателю в связи с трудовыми отношениями и касается конкретного работника; сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело (если работники организации являются государственными гражданскими служащими).
Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием или без использования таких средств.
Информация ограниченного доступа — информация, доступ к которой ограничен федеральными законами.
Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
2. Общие положения
2.1. Положение о персональных данных Администрации президента России по г. Москва (далее — Положение) разработано в соответствии с: Конституцией Российской Федерации, Федеральным законом «О государственной гражданской службе Российской Федерации» от 27.07.2004 №79- ФЗ, Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ, Указом Президента Российской Федерации «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» от 30.05.2005 №609 (далее — Указ Президента Российской Федерации №609), Указом Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 №188 и другими нормативными актами.
2.2. Настоящее Положение устанавливает требования к обработке и защите персональных данных, определяет права, обязанности и ответственность начальника и работников Администрации президента России по г. Москва (далее — Инспекция).
Инспекция является оператором персональных данных.
2.3. Все права оператора по обработке (за исключением передачи, блокирования, уничтожения, обезличивания) персональных данных работников Организации, необходимые для оформления трудовых отношений, предоставляются работникам отдела кадрового обеспечения. Все остальные сотрудники допускаются к обработке персональных данных в объеме, определяемом начальником Организации.
2.4. К персональным данным, обрабатываемым в Организации, относятся:
персональные данные работников;
— персональные данные лиц, участвующих в конкурсах на замещение вакантных должностей;
— персональные данные лиц, участвующих в конкурсе на зачисление в кадровый резерв;
— персональные данные уволенных работников;
— персональные данные лиц, выполняющих поставки, работы, услуги по договорам;
— персональные данные клиентов.
2.5. Персональные данные в организации могут содержаться в следующих документах:
— личных делах работников;
— документах лиц, зачисленных в кадровый резерв;
— документах лиц, участвующих в конкурсах на замещение вакантных должностей или зачислении в кадровый резерв;
— личных делах уволенных работников;
— документах о составе семьи работника;
— документах, удостоверяющих личность;
— трудовой книжке работника;
— страховом свидетельстве государственного пенсионного страхования;
— документах воинского учета — при их наличии;
— документах и базах данных, являющихся составной частью системы оповещения;
— документах об образовании, квалификации или наличия специальных знаний или подготовки;
— медицинских справках;
— документах граждан, участвующих в конкурсе на замещение вакантной должности государственной службы в:
— документах, подтверждающих право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренных законодательством;
— документах о возрасте детей или беременности женщины для предоставления установленных законом условий труда, гарантий и компенсаций;
— платежных и других документах, предоставляемых клиентами для осуществления функций организации;
— иных документах, необходимых для определения трудовых отношений.
2.6. Персональные данные могут быть ограниченного доступа и общедоступные.
2.7. Организация обработки и защиты персональных данных возлагается на начальника Организации.
2.8. Требования настоящего Положения доводятся до всех работников Организации под роспись.
3. Обработка персональных данных
3.1. Общий порядок обработки.
3.1.1. Обработка персональных данных в отделах ведется в объеме, определяемом положениями о них.
Члены общественных организаций и комиссий, созданных для защиты прав работников и предоставления им установленных условий труда, гарантий и компенсаций в соответствии с законодательством, допускаются к сведениям, содержащим персональные данные, на основании вступивших в силу решений об их избрании. При этом они знакомятся только с теми персональными данными, которые необходимы им для выполнения возложенных на них функций.
К таким организациям и комиссиям относятся:
— профсоюзный комитет;
— ревизионная комиссия;
— комиссия по жилищно-бытовым и социальным вопросам;
— квалификационная комиссия;
— конкурсная комиссия;
— комиссии, назначаемые для проведения служебного расследования.
3.1.2. Обработка персональных данных, включаемых в личные дела работников (если работники — государственные гражданские служащие), осуществляется отделом кадрового обеспечения с соблюдением требований Указа Президента Российской Федерации №609 и (или) Трудового Кодекса Российской Федерации.
3.1.3. Начальником Организации определяются лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных (далее — уполномоченные лица).
3.2. Получение (сбор) персональных данных:
— сбор персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъекта персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
— при определении объема и содержания обрабатываемых персональных данных работодатель (уполномоченное лицо) должен руководствоваться Конституцией Российской Федерации, Федеральным законом от 27 июля 2004 года №79-ФЗ «О государственной гражданской службе Российской Федерации», Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года «О персональных данных» №152-ФЗ, Указом Президента Российской Федерации от 30 мая 2005 года №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» и другими нормативными актами;
— все персональные данные следует получать лично у субъекта персональных данных, если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (работодатель должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение);
— запрещается требовать от лиц, поступающих на работу, документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ;
— запрещается запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
— работодатель не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях, а также частной жизни — сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются;
— при принятии решений, затрагивающих интересы субъекта персональных данных, работодатель не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки;
— субъекты персональных данных и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;
— все документы, содержащие персональные данные, должны быть уничтожены установленным порядком по достижении цели, для которой они собирались и использовались;
— дела, содержащие персональные данные субъектов персональных данных, должны вестись в соответствии с требованиями действующих инструкций.
3.3. Обработка документов внутреннего пользования.
3.3.1. В Организации могут создаваться документы внутреннего использования, содержащие персональные данные работников, предназначенные для общего внутреннего пользования (телефонные справочники, справочники с днями рождений, объявления, поздравления, бирки на служебных кабинетах и т. П.). Эти документы должны уничтожаться по окончании срока их действия. Ответственность за организацию своевременного уничтожения возлагается на должностных лиц, в интересах которых они созданы, и (или) на лиц, изготовивших и разместивших их.
3.3.2. Внутренние телефонные справочники выдаются в отделы под роспись с указанием количества выданных в подразделение экземпляров. При этом старые справочники возвращаются и уничтожаются лицами, ответственными за их изготовление и выдачу.
3.3.3. Копировать и представлять посторонним лицам полученные справочники и другие документы внутреннего использования, содержащие персональные данные, запрещается.
3.3.4. Обработка персональных данных ведется работниками на рабочих местах, выделенных для исполнения ими должностных обязанностей. Членами общественных организаций и комиссий обработка персональных данных может производиться в помещениях, где происходит заседание данной общественной организации или комиссии. По окончании заседания документы, содержащие персональные данные, возвращаются в места их постоянного хранения.
3.4. Передача персональных данных:
— не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законодательством;
— внутри Организации без письменного согласия субъекта персональных данных разрешается передача (представлять) персональных данных в структурные подразделения, общественные организации и комиссии, созданные для защиты прав работников и предоставления им установленных условий труда, гарантий и компенсаций в соответствии с законодательством, необходимые им для выполнения своих функций;
— предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено; лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности (данное требование не распространяется на обмен персональными данными субъектов персональных данных в порядке, установленном федеральным законодательством);
— разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения ими конкретных функций;
— передавать персональные данные представителям субъектов персональных данных в порядке, установленном существующим законодательством, и ограничивать эту информацию данными, необходимыми для выполнения указанными представителями их функций;
— разрешать доступ к персональным данным представителям третьей стороны, ответственным за оповещение работников организации в соответствии с Инструкцией по оповещению организации, исключительно в случаях получения распоряжения на проведение оповещения;
— не передавать кому-либо персональные данные субъектов персональных данных в коммерческих целях без их письменного согласия;
— по заявлению субъекта персональных данных (в случае необходимости — письменному), не позднее трех дней со дня подачи этого заявления, выдавать заявителю справки и копии документов, в случаях, предусмотренных законодательством (копии документов должны быть заверены надлежащим образом и выдаваться работнику бесплатно);
— вести учет передачи персональных данных субъектов персональных данных третьим лицам путем ведения соответствующего журнала, содержащего сведения о поступившем запросе (кто является отправителем запроса, дата его поступления работодателю), дату ответа на запрос, данные, какая именно информация была передана, или отметку об отказе в ее предоставлении, либо ограничиваться помещением в личное дело работника выписок, копий документов и т. п., отражающих сведения о поступившем запросе и результатах его рассмотрения;
— учет передачи персональных данных разрешается не производить при передаче их в случае, установленном законом, а также при внутренних передачах, которые осуществляются в соответствии с настоящим положением.
Ответ на запрос подписывается (визируется) начальником того структурного подразделения, который отвечает за достоверность содержащихся в них сведений, если иное не предусмотрено законодательством.
3.5. Общедоступные персональные данные.
3.5.1. К общедоступным источникам персональных данных в организации относятся:
— информация о должностных лицах, размещаемая в средствах массовой информации;
— информация, размещаемая на интернет-сайте.
3.5.2. Обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом производится в объеме, согласованном с работником, и с его письменного согласия.
3.5.3. Уполномоченным лицам запрещается предоставлять сведения о работниках для общедоступных источников персональных данных.
3.6. Обязанности лиц, допущенных к обработке персональных данных.
Работники, допущенные к обработке персональных данных, обязаны:
— знать и выполнять требования настоящего Положения;
— осуществлять обработку персональных данных в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, приказов Минфина России и Федерального казначейства, содействия работнику в прохождении государственной гражданской службы Российской Федерации, в обучении и должностном росте, обеспечения личной безопасности работников и членов его семьи, а также в цепях обеспечения сохранности принадлежащего ему имущества и имущества организации, учета результатов исполнения работником должностных обязанностей;
— получать персональные данные лично у работника, в случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных;
— знакомиться только с теми персональными данными, к которым получен доступ;
— хранить в тайне известные им сведения о персональных данных, информировать своего непосредственного начальника о фактах нарушения порядка обработки персональных данных и о попытках несанкционированного доступа к ним;
— предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;
— выполнять требования по защите полученных персональных данных работника;
— соблюдать правила пользования документами, содержащими персональные данные, порядок их обработки и защиты;
— предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки персональных данных, а также о фактах их разглашения.
4. Защита персональных данных
4.1. Уполномоченные лица Организации обеспечивают конфиденциальность (защиту) персональных данных ограниченного доступа.
4.2. Защита персональных данных осуществляется выполнением комплекса организационных, организационно-технических и программных мер, определенных в «Положении о порядке организации и проведении работ по обеспечению безопасности персональных данных при их обработке в ППО «Администрации президента» по г. Москва.
4.3. Доступ к документам, содержащим персональные данные ограниченного доступа, с выдачей таковых на рабочие места без специального разрешения имеют работники, занимающие следующие должности:
— начальник Организации;
— заместители начальника Организации;
— работники отдела кадрового обеспечения, ответственных за обработку персональных данных в соответствии с их должностным регламентом;
— работники отдела безопасности.
4.4. Доступ к персональным данным, обрабатываемым в Организации без специального разрешения с ознакомлением в присутствии работников, ответственных за их обработку, имеют работники, занимающие следующие должности:
— начальники отделов — в отношении работников, числящихся в соответствующих отделах;
— члены комиссий организации и председатель профсоюзного комитета первичной организации — в отношении персональных данных работников, необходимых им для выполнения своих функций.
4.5. Начальники отделов имеют доступ ко всем документам, обрабатываемым сотрудниками отдела, содержащим персональные данные.
4.6. Организацию защиты персональных данных в отделах обеспечивают их начальники.
4.7. Организация защиты персональных данных в локальной вычислительной сети организации осуществляется в рамках действующей в организации системы защиты информации в автоматизированных системах.
4.8. Помещения для работы с персональными данными.
4.8.1. Помещения, в которых ведется обработка персональных данных, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в них посторонних лиц.
4.8.2. Документы, содержащие персональные данные, должны храниться в надежно запираемых хранилищах. Допускается хранение документов в не закрывающихся шкафах при условии, что бесконтрольный доступ посторонних лиц к данным хранилищам исключен.
4.8.3. По окончании рабочего времени помещения, предназначенные для обработки персональных данных, а также шкафы (ящики, хранилища) должны быть закрыты на ключ. Шкафы, в которых хранятся личные дела, трудовые книжки и карточки, формы 2ГС и Т2 работников, по окончании рабочего дня опечатываются.
4.8.4. Ключи от помещений опечатываются, сдаются ответственными работниками под охрану, с отметкой в Журнале приема-сдачи служебных помещений. В течение рабочего дня ключи от шкафов (ящиков, хранилищ), в которых содержатся персональные данные, а также помещений, где находятся средства вычислительной техники, предназначенные для обработки персональных данных, находятся на хранении у ответственных сотрудников.
5. Права работников на защиту своих персональных данных
В целях обеспечения защиты своих персональных данных работники имеют право:
— получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
— осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных Федеральным законом;
— требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона (работник при отказе начальника Организации или уполномоченного им лица исключить или исправить персональные данные имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения);
— требовать от начальника Организации или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;
— обжаловать в суде любые неправомерные действия или бездействие начальника Организации или уполномоченного им лица при обработке и защите персональных данных;
— вносить предложения по мерам защиты своих персональных данных.
6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
6.1. Уполномоченные лица несут ответственность за нарушение режима защиты персональных данных в соответствии с законодательством Российской Федерации.
6.2. Лица, которым сведения о персональных данных стали известны в силу их служебного положения, несут ответственность за их разглашение.
6.3. Обязательства по соблюдению конфиденциальности персональных данных остаются в силе и после окончания работы с ними вышеуказанных лиц.
6.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
7. Контроль за выполнением требований настоящего
Положения
7.1. Повседневный контроль за порядком обращения с персональными данными осуществляют начальники отделов Организации.
7.2. Периодический контроль за выполнением настоящего Положения возлагается на начальника отдела безопасности, либо администратора безопасности персональных данных.
Заместитель начальника
отдела безопасности А. А. Злой
Лист ознакомления сотрудников
с Положением об обработке персональных данных
в Администрации президента по г. Москва
___________________________________________________
(наименование структурного подразделения)
№ п/п Фамилия, имя, отчество работника Дата ознакомления с Положением Подпись работника
1 Литарова Ольга Николаевна 15.09.2016
2 Созинова Елена Георгиевна 15.09.2016
3 Павличенко Анна Анатольевна 15.09.2016
4 Артамонова Ляля Саматовна 15.09.2016
5 Быкова Надежда Евгеньевна 15.09.2016
6 Шишаева Елена Гуновна 15.09.2016
7 Шарапова Елена Александровна 15.09.2016
8 Родина Татьяна Николаевна 15.09.2016
9 Дюк Марина Алексеевна 15.09.2016
10 Богачев Артем алексеевич 15.09.2016
11 Злой Андрей Андреевич 15.09.2016
12 Тереньтев Александр Павлович 15.09.2016
13 Поздеев Николай Борисович 15.09.2016
14 Усиков Андрей Владимирович 15.09.2016
15 Костина Наталья Витальевна 15.09.2016
16 Черный Никита Сергеевич 15.09.2016
5.Положение об обработке ПДн без использования средств автоматизации
Утверждено
Приказом ППО «Администрация президента»
по г. Москва
от «15» сентября 2017 г.
№ ______
ПОЛОЖЕНИЕ
о порядке обработки персональных данных без использования средств автоматизации в первичной профсоюзной организации «Администрация президента» по г. Москва
Комсомольск-на-Амуре
2017
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Федеральным законом «О персональных данных» (далее – Федеральный закон), постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и устанавливает единый порядок обработки персональных данных в ППО «Администрации президента» г. Москва(Далее – Организация).
1.2. В целях настоящего Положения используются следующие термины и понятия:
— персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
— обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
— информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
— обработка персональных данных без использования средств автоматизации (неавтоматизированная) — обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Основные условия проведения обработки персональных данных
2.1. Обработка персональных данных осуществляется:
- после получения согласия субъекта персональных данных, составленного по форме согласно приложению №1 к настоящему Положению, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;
- после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;
- после принятия необходимых мер по защите персональных данных.
2.2. В ППО «Администрация президента» по г. Москва приказом руководителя назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных.
2.3. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашение информации, содержащей персональные данные, по форме согласно приложению №2 к настоящему Положению.
2.4. Запрещается:
- обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;
- осуществлять ввод персональных данных под диктовку.
3. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации
3.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
3.2. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации:
- при отсутствии установленных и настроенных сертифицированных средств защиты информации;
- при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.
4. Порядок обработки персональных данных без использования средств автоматизации
4.1. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
4.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
4.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
4.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных
(далее - типовые формы), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
4.5. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.
4.6. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.
4.7. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных, составленном по форме согласно приложению №3 к настоящему Положению.
К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.
4.8. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.9. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
4.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Приложение №1
к Положению о порядке обработки персональных данных в ППО «Администрация президента»
по г. Москва
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я,
паспорт серия номер , кем и когда выдан
код подразделения , проживающий по адресу:
(указывается адрес, по которому зарегистрирован федеральный государственный служащий, и почтовый индекс)
в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» даю согласие на автоматизированную, а также без использования средств автоматизации, в том числе с использованием информационных систем персональных данных, обработку Администрацией президента (далее - Оператор), расположенной по адресу: 101132, г. Москва, пл. Старая, д. 4, моих персональных данных, а именно: фамилии, имени, отчества, года, месяца, даты и места рождения, адреса, семейного, социального, имущественного положения, образования, профессии, доходов и других персональных данных, обработка которых предусмотрена Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 г. № 609, и другими нормативными правовыми актами.
Я проинформирован(а), что под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации. Конфиденциальность персональных данных обеспечивается Оператором в соответствии с законодательством Российской Федерации.
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
(дата) (подпись)
Приложение №2
к Положению о порядке обработки персональных данных в ППО «Администрация президента»
по г. Москва
ОБЯЗАТЕЛЬСТВО
о неразглашении информации, содержащей персональные данные
Я, _______________________________________________________________
(Ф. И. О.)
__________________________________________________________________
(должность)
ознакомлен (а) в соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» с Положением об обработке и защите персональных данных работников Администрации президента, Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, обязуюсь не разглашать сведения, содержащие персональные данные субъектов персональных данных, ставшие мне известными в связи с исполнением мною должностных (трудовых) обязанностей.
Я предупрежден (а) о том, что разглашение указанных сведений может повлечь уголовную, административную, гражданско-правовую, дисциплинарную или иную ответственность в соответствии с законодательством Российской Федерации.
«___» _________ 20 __ г. _____________ ______________________
дата подпись расшифровка подписи
Приложение №3
к Положению о порядке обработки персональных данных в ППО «Администрация президента»
по г.Москва
Начат «___» _________ ____ г.
Окончен «___» _________ ____ г.
На _______________ листах
ЖУРНАЛ
учета электронных носителей персональных данных
Учетный номер Дата постановки на учет Вид электронного носителя, место его хранения (размещения) Ответственный за использование и хранение Ф. И. О. подпись дата
6. Положение о ДСП
Об утверждении Положения о порядке обращения
с конфиденциальной информацией
В целях совершенствования документационного обеспечения управления, повышения его эффективности путем унификации состава и форм управленческих документов, обеспечения контроля исполнения документов, а также согласования технологий традиционного делопроизводства с электронным документооборотом в системе Администрации президента, приказываю:
1. Утвердить прилагаемое Положение о порядке обращения с конфиденциальной информацией (далее — Порядок).
2. Ввести в действие Положение с 15.09.2017.
3. Контроль за порядком обращения с конфиденциальной информацией возложить на администратора информационной безопасности А. А. Злой.
4. Контроль исполнения настоящего постановления оставляю за собой. Начальник ППО «Администрация президента»
по г. Москва В. В. Путин
1.Общие положения
1.1. Настоящее Положение определяет общий порядок обращения с конфиденциальной информацией (информацией конфиденциального характера) в первичной профсоюзной организации «Администрация президента» по г. Москва (далее Организация).
1.2. Документированная информация с ограниченным доступом по условиям правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную. В соответствии с федеральным законодательством к конфиденциальной информации относятся сведения, составляющие служебную тайну, профессиональную тайну, персональные данные, коммерческую тайну, банковскую тайну и другое.
1.3. Настоящее Положение не распространяется на порядок обращения со сведениями, составляющими государственную тайну.
1.4. Отнесение информации к конфиденциальной осуществляется в порядке, установленном законодательством Российской Федерации. Ответственность за отнесение сведений, содержащихся в документе, к конфиденциальной информации возлагается на исполнителя и должностное лицо, подписавшее или утвердившее документ.
1.5. В государственных органах организация обмена ДСП-документами осуществляется аналогично обмену документами без ограничения доступа в соответствии с индивидуальными инструкциями по делопроизводству с учетом особенностей, изложенных в настоящем Порядке.
1.6. Государственные органы, исходя из специфики своей деятельности, при работе с ДСП-документами могут принимать иные обязательные методические нормы, не нашедшие отражения в настоящем Порядке, но не противоречащие его положениям.
1.7. Требования Порядка не распространяются на организацию обмена технологическими данными, для которых должен быть установлен собственный регламент обмена.
1.8. Прием и отправка ДСП-документов организуются в следующих структурных подразделениях документационного обеспечения управления (подразделениях ДОУ):
— в Управлении делами центрального аппарата ППО «Администрация президента;
— в Отделе общего обеспечения (в Общем отделе, в Отделе общего и хозяйственного обеспечения) территориального органа ППО «Администрация президента».
1.9. Информация конфиденциального характера не может быть использована в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан.
1.10. Защита информации конфиденциального характера производится на основании федеральных законов, стандартов, нормативно-методических документов Гостехкомиссии России по защите информации, а также настоящего Положения.
1.11. Ответственность за организацию работ по защите конфиденциальной информации возлагается на администратора информационной безопасности А. А. Яшина
2. Обязанности должностных лиц Организации по защите информации конфиденциального характера и ответственность за разглашение конфиденциальной информации
2.1. Руководитель и должностные лица Организации обязаны:
— принимать меры по защите информации конфиденциального характера, в пределах своей компетенции;
— определять порядок подготовки, учета и хранения документов конфиденциального характера, а также машинных носителей информации (дискет, жестких магнитных дисков, CD-ROM и т.д.) с конфиденциальной информацией;
— определять порядок обработки конфиденциальной информации с помощью средств вычислительной техники;
— определять порядок передачи информации конфиденциального характера другим органам и организациям, а также между структурными подразделениями Организации;
2.2. При приеме на работу каждый работник Организации предупреждается об ответственности за разглашение сведений конфиденциального характера, ставших ему известными в связи с выполнением им своих служебных обязанностей.
2.3. Допуск к конфиденциальной информации предусматривает оформленные в трудовом договоре обязательства работника перед работодателем по нераспространению доверенной конфиденциальной информации.
2.4. Работники Организации несут персональную ответственность за разглашение сведений конфиденциального характера и обязаны соблюдать правила обращения со сведениями конфиденциального характера и не разглашать их, в том числе другим работникам структурных подразделений, за исключением случаев, когда это вызвано служебной необходимостью, соблюдая при этом установленные правила.
2.5. Работники Организации не могут использовать в личных целях сведения конфиденциального характера, ставшие им известными вследствие выполнения служебных обязанностей.
2.6. За разглашение информации конфиденциального характера, а также нарушение порядка обращения с машинными носителями информации и документами, содержащими такую информацию, за нарушение режима защиты, обработки и порядка использования этой информации, работник может быть привлечен к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.
2.7. По фактам разглашения конфиденциальной информации руководителем Организации назначается служебное разбирательство.
2.8. Если действиями (бездействием) работника, связанными с нарушением правил обращения с конфиденциальной информацией, причинен материальный ущерб, возмещение ущерба производится в порядке, предусмотренном законодательством Российской Федерации.
3. Порядок обращения с документами и машинными носителями информации, содержащими конфиденциальную информацию
3.1. Учет документов конфиденциального характера
3.1.1. Учет документов конфиденциального характера осуществляется в соответствии с разработанной в Организации инструкцией по делопроизводству.
— Конфиденциальная информация, содержащаяся в документах, имеющих обращение в Организации, является служебной информацией ограниченного распространения.
— На документах, содержащих конфиденциальную информацию, в необходимых случаях, проставляется пометка «Для служебного пользования», Необходимость проставления пометки «Для служебного пользования» на документах, изданиях и машинных носителях информации, содержащих информацию конфиденциального характера, определяется исполнителем и должностным лицом, подписывающим или утверждающим документ. Указанная пометка и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания, а также на первой странице сопроводительного письма к таким документам.
— Прием и учет (регистрация) документов, содержащих информацию, конфиденциального характера, осуществляются, как правило, структурными подразделениями, которым поручен прием и учет несекретной документации.
3.1.6. Документы с пометкой «Для служебного пользования»:
— учитываются поэкземплярно; на обороте последнего листа каждого экземпляра документа должно быть указано количество отпечатанных экземпляров, фамилия исполнителя и его контактный телефон, фамилия машинистки (если документ печатался в машинописном бюро), дата печатания документа; отпечатанные и подписанные документы вместе с черновиками передаются для регистрации работнику, осуществляющему их учет; черновики уничтожаются этим работником с отражением факта уничтожения в учетных формах;
— учитываются, как правило, отдельно от несекретной документации, при незначительном объеме таких документов разрешается вести их учет совместно с другими несекретными документами; к регистрационному индексу документа добавляется пометка «ДСП»;
— передаются работникам подразделений под расписку;
— пересылаются сторонним организациям фельдъегерской связью, заказными или ценными почтовыми отправлениями;
— размножаются (тиражируются) только с письменного разрешения руководителя Организации.
— хранятся в надежно запираемых и опечатываемых шкафах (ящиках, хранилищах).
3.1.7. При необходимости направления документов с пометкой «Для служебного пользования» в несколько адресов составляется указатель рассылки, в котором поадресно проставляются номера экземпляров отправляемых документов. Указатель рассылки подписывается исполнителем или руководителем структурного подразделения, готовившего документ.
3.1.8. Исполненные документы с пометкой «Для служебного пользования» группируются в дела в соответствии с номенклатурой дел несекретного делопроизводства. При этом на обложке дела, в которое помещены такие документы, также проставляется пометка «Для служебного пользования».
3.1.9. Уничтожение дел, документов с пометкой «Для служебного пользования», утративших свое практическое значение и не имеющих исторической ценности, производится по акту. В учетных формах об этом делается отметка со ссылкой на соответствующий акт.
Передача документов и дел с пометкой «Для служебного пользования» от одного работника другому осуществляется с разрешения соответствующего руководителя.
При смене работника, ответственного за учет документов с пометкой «Для служебного пользования», составляется акт приема-передачи этих документов, который утверждается соответствующим руководителем.
Проверка наличия документов, дел, изданий с пометкой «Для служебного пользования» проводится не реже одного раза в год комиссиями, назначаемыми приказом Минздрава. В состав таких комиссий обязательно включаются работники, ответственные за учет и хранение этих материалов.
3.2. Особенности учета машинных носителей информации, содержащих электронные документы, конфиденциального характера.
3.2.1. На съемных машинных носителях информации (дискетах, магнитооптических дисках и т.д.), содержащих электронные документы конфиденциального характера, проставляется пометка «Для служебного пользования» (ДСП).
Учет (регистрация) отпечатанных с помощью средств вычислительной техники документов, содержащих информацию конфиденциального характера, осуществляется, в порядке, определенном для бумажных носителей информации.
Машинные носители информации с конфиденциальной информацией учитываются как правило структурными подразделениями, которым поручен учет и прием несекретной документации по журналу учета машинных носителей информации. Учетные реквизиты (учетный номер, дата регистрации, пометка «ДСП» и т.д.) проставляются на машинных носителях информации в удобном для просмотра месте.
3.2.2. Машинные носители информации с пометкой «ДСП»:
— регистрируются в подразделении, которому поручен учет документов с пометкой «ДСП», с проставлением учетных реквизитов;
— передаются другим исполнителям под расписку в журнале учета машинных носителей информации или по карточке учета;
— уничтожаются по акту.
3.2.3. Порядок рассылки, уничтожения, передачи, проверки наличия машинных носителей информации, проведения расследований по фактам утраты машинных носителей информации, снятия пометки «Для служебного пользования» с машинных носителей информации и т. д. является таким же, как и для документов конфиденциального характера.
4. Организация работ при обработке конфиденциальной информации на средствах вычислительной техники (далее — СВТ)
4.1. Настоящий раздел Положения устанавливает требования к
организации работ при обработке конфиденциальной информации с помощью СВТ Лица, осуществляющие обработку информации конфиденциального характера на средствах вычислительной техники, несут ответственность за соблюдение ими порядка обращения с конфиденциальной информацией.
Обеспечение защиты конфиденциальной информации при обработке ее на средствах вычислительной техники в Организации осуществляется в соответствии с требованиями Сборника руководящих документов Гостехкомиссии России по защите информации от несанкционированного доступа и Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, одобренными решением коллегии Гостехкомиссии России от 02.03.2001 №7.2 (СТР-К).
4.5. В Организации разрабатывается инструкция по защите информации, обрабатываемой на средствах вычислительной техники, в которой отражаются особенности использования СВТ для обработки информации. Данная инструкция должна определять:
— порядок допуска к работе на СВТ и регистрации пользователей;
— порядок изменения состава и конфигурации технических и программных средств;
— обязанности пользователей при работе на СВТ;
— обязанности должностных лиц по поддержанию работоспособности СВТ;
— порядок разграничения доступа к информационным ресурсам;
— порядок взаимодействия с информационными сетями общего пользования (Интернет), пользования электронной почтой;
— порядок работы с базами данных;
— порядок антивирусного обеспечения;
— порядок контроля выполнения мероприятий по обеспечению защиты информации, обрабатываемой на СВТ.
При необходимости состав проводимых мероприятий по защите информации может быть дополнен в соответствии с решаемыми задачами и конкретными условиями применения средств вычислительной техники.
5. Порядок обмена информацией конфиденциального характера
5.1. Обмен ДСП-документами в электронном виде
5.1.1. Обмен ДСП-документами в электронном виде осуществляется по электронной почте (далее — ЭП), созданной и функционирующей в рамках действующей системы телекоммуникаций Администрации президента, с использованием средств криптографической защиты информации (далее — СКЗИ).
ДСП-документы, отправляемые и принимаемые по ЭП с использованием СКЗИ, должны быть подписаны электронной цифровой подписью (далее — ЭЦП) лица, подписавшего соответствующий бумажный ДСП-документ.
5.1.2. Целью обмена ДСП-документами по ЭП с использованием СКЗИ является повышение оперативности внутриведомственного информационного взаимодействия центрального аппарата и территориальных органов Администрации президента за счет сокращения времени их доставки.
5.1.3. Официальные электронные почтовые ящики (далее — ЭПЯ) устанавливаются в подразделениях ДОУ, в которых назначаются работники, ответственные за прием и отправку ДСП-документов в электронном виде (далее — операторы ЭПЯ).
5.2. Прием, обработка и регистрация ДСП-документов
5.2.1. Прием, обработка и регистрация ДСП-документов, поступивших в бумажном виде и на небумажных носителях в качестве приложения к сопроводительному письму на бумажном носителе.
5.2.1.1. Прием и обработка ДСП-документов осуществляется в подразделениях ДОУ аналогично приему и обработке документов без ограничения доступа в соответствии с индивидуальными инструкциями по делопроизводству с учетом особенностей, изложенных в настоящем разделе.
5.2.1.2. Если в государственном органе функционирует система электронного документооборота (далее — СЭД) работник подразделения ДОУ, ответственный за регистрацию ДСП-документов, для каждого документа выполняет следующие действия:
— в СЭД в БД «Канцелярия Экспедиция» создает регистрационную карточку (РК), в которой заполняются поля: «От кого», «Исходящий №» и «Дата исходящего», а также поле «Кому», в которое вносится наименование структурного подразделения или должностного лица, которому будет направлен документ;
— регистрирует РК. При регистрации РК в соответствующие поля автоматически проставляются регистрационный номер и дата регистрации полученной корреспонденции, РК входящего документа автоматически пересылается адресату в соответствии с информацией в поле «Кому»;
— в правой нижней части лицевой стороны первого листа полученного документа (либо на конверте корреспонденции, которая не вскрывается в Отделе) проставляется штамп, на котором указывается дата регистрации документа и его входящий номер. При этом к входящему номеру документа добавляется пометка «дсп»;
— передает ДСП-документ секретарям (делопроизводителям) приемных и структурных подразделений.
Передача ДСП-документов производится под роспись получателя документов в реестрах (приложение 1), которые формируются средствами СЭД, распечатываются и подшиваются в дело в подразделениях ДОУ.
5.2.1.3. Если в государственном органе СЭД не функционирует, работник подразделения ДОУ, ответственный за регистрацию ДСП-документов, для каждого документа выполняет следующие действия:
— регистрирует ДСП-документ в «Журнале регистрации входящих документов «Для служебного пользования» (приложение 2);
— в правой нижней части лицевой стороны первого листа полученного документа (либо на конверте корреспонденции, которая не вскрывается в Отделе) проставляется штамп, на котором указывается дата регистрации документа и его входящий номер. При этом к входящему номеру документа добавляется пометка «дсп»;
— передает ДСП-документ секретарям (делопроизводителям) приемных и структурных подразделений.
Передача ДСП-документов производится под роспись получателя документов в «Журнале регистрации входящих документов «Для служебного пользования», который находится в подразделениях ДОУ.
5.2.2. Прием, обработка и регистрация ДСП-документов, поступивших в электронном виде.
5.2.2.1. Из поступившего сообщения оператор извлекает архивный файл на жесткий диск, разархивирует его с помощью программы Winrar и проверяет:
— наличие файла документа, файла ЭЦП к документу, файлов приложений (при их наличии) и файла списка рассылки;
— соответствие оформления файлов установленным требованиям;
— правильность адресата;
— подлинность ЭЦП и соответствие ее должностному лицу, подписавшему электронный документ.
При наличии ошибок дальнейшая обработка ДСП-документа не осуществляется, а отправителю сообщения направляется мотивированный отказ в приеме ДСП-документа.
5.2.2.2. Оператор ЭПЯ:
— распечатывает файл документа и файлы приложений (при необходимости);
— вписывает в распечатанный документ исходящий регистрационный номер, дату регистрации и номер экземпляра;
— на бумажной копии документа ставит штамп «Дубликат. ЭЦП подтверждена» и подпись.
Если в адрес государственного органа направлено несколько экземпляров, распечатывается и обрабатывается необходимое количество экземпляров ДСП-документа согласно списку рассылки.
Приложения большого объема не распечатываются. При этом на документе ставится отметка: «Приложения в эл. виде можно получить в комн. №…».
5.2.2.3. Распечатанный ДСП-документ с приложениями регистрируется в соответствии с пунктом 3.1.
Срок хранения поступивших почтовых сообщений на жестком диске составляет 10 рабочих дней, включая дату поступления.
При необходимости работник структурного подразделения, которому поступает документ, может получить ДСП-документ и приложения к нему в электронном виде на переносном магнитном носителе.
5.3. Подготовка и оформление резолюций по ДСП-документам руководителем (заместителем руководителя) государственного органа, рассылка их в структурные подразделения
5.3.1. Обработку ДСП-документов осуществляют секретари (делопроизводители) приемных руководителя (заместителя руководителя) государственного органа.
5.3.2. Подготовка и оформление резолюций по ДСП-документам осуществляется аналогично подготовке и оформлению резолюций по документам без ограничения доступа в соответствии с индивидуальными инструкциями по делопроизводству с учетам особенностей, изложенных в настоящем разделе.
5.3.3. Если в государственном органе функционирует СЭД, секретарь (делопроизводитель) приемной для каждого документа выполняет следующие действия:
— размножает по резолюции копии ДСП-документов. Копиям ДСП-документов к номерам экземпляров через дробь присваиваются дополнительные номера (/1, /2, /3 и т.д.);
— заносит в РК входящих ДСП-документов резолюции руководителя (заместителя руководителя) государственного органа и рассылает РК исполнителям.
— передает ДСП-документы секретарям (делопроизводителям) структурных подразделений.
Передача ДСП-документов производится под роспись получателя документов в реестрах (приложение 1), которые формируются средствами СЭД, распечатываются и подшиваются в дело у секретаря (делопроизводителя) приемной.
5.3.4. Если СЭД в государственном органе не функционирует, секретарь (делопроизводитель) приемной для каждого документа выполняет следующие действия:
— размножает по резолюции копии ДСП-документов. Копиям ДСП-документов к номерам экземпляров через дробь присваиваются дополнительные номера (/1, /2, /3 и т.д.);
— передает ДСП-документы секретарям (делопроизводителям) структурных подразделений.
Передача ДСП-документов производится под роспись получателя документов в «Журнале учета входящих документов «Для служебного пользования» (приложение 3), который ведется в каждой приемной.
5.3.5. Если в государственном органе функции делопроизводителя приемной руководителя (заместителя руководителя) выполняет работник подразделения ДОУ, допускается:
— передача ДСП-документов из подразделения ДОУ делопроизводителю приемной для доклада руководителю (заместителю руководителя) осуществляется без росписи в реестре (пункт 3.1.2) или в «Журнале регистрации входящих документов «Для служебного пользования» (пункт 3.1.3);
— передача ДСП-документов секретарям (делопроизводителям) структурных подразделений после доклада руководителю (заместителю руководителя) осуществляется под роспись в реестре (пункт 3.1.2) или в «Журнале регистрации входящих документов «Для служебного пользования» (пункт 3.1.3).
В этом случае «Журнал учета входящих документов «Для служебного пользования» в приемной руководителя (заместителя руководителя) государственного органа не ведется.
5.4. Работа с входящими ДСП-документами в структурных подразделениях государственного органа
5.4.1. Обработку ДСП-документов осуществляют секретари (делопроизводители) структурных подразделений государственного органа.
5.4.2. Секретарь (делопроизводитель) структурного подразделения государственного органа фиксирует ДСП-документы в «Журнале учета входящих документов «Для служебного пользования» (приложение 3), который ведется в каждом структурном подразделении.
5.4.3. Работа с ДСП-документами осуществляется аналогично работе с документами без ограничения доступа в соответствии с индивидуальными инструкциями по делопроизводству с учетом особенностей, изложенных в настоящем разделе.
5.4.4.. Передача ДСП-документов исполнителям производится под роспись получателя документов в «Журнале учета входящих документов «Для служебного пользования».
Возврат ДСП-документов секретарям (делопроизводителям) структурных подразделений производится под роспись секретаря (делопроизводителя) в «Журнале учета входящих документов «Для служебного пользования».
5.5. Подготовка и регистрация исходящих ДСП-документов
5.5.1. Оформление, согласование, подписание и регистрация исходящих ДСП-документов осуществляется аналогично оформлению, согласованию, подписанию и регистрации документов без ограничения доступа в соответствии с индивидуальными инструкциями по делопроизводству с учетам особенностей, изложенных в настоящем разделе:
— на ДСП-документах (в необходимых случаях — и на проектах) в правом верхнем углу первой страницы документа проставляется (печатается) пометка ограничения доступа к документу «Для служебного пользования»;
— каждому ДСП-документу присваивается номер экземпляра, который печатается ниже пометки «Для служебного пользования»;
— в конце регистрационного номер ДСП-документа добавляется пометка «ДСП» (для бумажного документа) или «ДСП@» (для электронного документа);
— пометка «Для служебного пользования» проставляется на обложке дела, в которое помещается ДСП-документ.
5.5.2. Если в государственном органе функционирует СЭД на каждый ДСП-документ должна быть создана РК исходящего документа в которой:
— должны быть заполнены все необходимые поля;
— переключатель «ДСП документ» должен быть включен;
— в поле «Документ» электронный образ документа не вкладывается.
Регистрация исходящих ДСП-документов осуществляется с использованием СЭД.
5.5.3. Если в государственном органе СЭД не функционирует, все ДСП-документы регистрируются в «Журнале регистрации исходящих документов «Для служебного пользования» (приложение 4).
5.5.4. На документах, содержащих сведения, составляющие служебную тайну государственных органов, направляемых государственным органом налогоплательщику или государственному агенту в соответствии с законодательством о налогах и сборах, пометка «Для служебного пользования» не печатается и не проставляется.
5.6. Отправка исходящих ДСП-документов
5.6.1. Отправка исходящих ДСП-документов в электронном виде.
5.6.1.1. Для отправки ДСП-документа исполнитель предоставляет оператору ЭПЯ:
— переносной магнитный носитель с файлами: документа, ЭЦП к документу, приложений (при их наличии) и списка рассылки;
— подлинник отправляемого документа на бумажном носителе (экземпляр №1);
— список рассылки на бумажном носителе.
В списке рассылки (образец приведен в приложении 5) необходимо указать дату и номер ДСП-документа, подлежащего рассылке, а также номер экземпляра для каждого адресата. Кроме того, в Списке рассылке указывается исполнитель и его телефон. Список рассылки подписывает руководитель структурного подразделения, подготовившего ДСП-документ.
5.6.1.2. Перед отправкой оператор ЭПЯ проверяет:
— наличие РК исходящего документа в СЭД в базе данных «Исходящие» в представлении «01.Поступившие/По электронной почте СЭД» (если в государственном органе функционирует СЭД);
— соответствие оформления РК исходящего документа установленным требованиям;
— отсутствие вредоносных программ (вирусов) на переносном магнитном носителе с файлами;
— наличие и соответствие оформления всех элементов, перечисленных в пункте 7.1.1, установленным требованиям;
— подлинность ЭЦП и соответствие ее должностному лицу, подписавшему документ на бумажном носителе.
При наличии ошибок, отправка ДСП-документа не осуществляется. В случае, если в государственном органе функционирует СЭД, РК исходящего документа средствами СЭД возвращается в канцелярию структурного подразделения, подготовившего ДСП-документ.
5.6.1.3. При отсутствии ошибок оператор ЭПЯ:
— копирует с переносного магнитного носителя на жесткий диск файлы, перечисленные в пункте 7.1.1;
— проставляет на оборотной стороне последнего листа подлинника ДСП-документа (экземпляр №1) штамп «Электронный документ соответствует подлиннику».
Исполнитель ДСП-документа расписывается в штампе.
5.6.1.4. Все файлы, перечисленные в пункте 7.1.1, архивируются с помощью программы Winrar (версия не ниже 2.6).
5.6.1.5. Оператор ЭПЯ создает почтовое сообщение и отправляет его по ЭП, оснащенной СКЗИ.
При создании почтового сообщения необходимо учитывать следующее:
— адреса, в которые направляется сообщение, заполняются в соответствии со списком рассылки;
— краткое содержание сообщения («Тема») составляется из даты регистрации ДСП-документа и его исходящего регистрационного номера (например, «от 24.06.2005 №18-0-09/000123дсп@»);
— к почтовому сообщению прикрепляется архивный файл.
5.6.1.6. Если в государственном органе функционирует СЭД оператор ЭПЯ отправляет РК исходящего документа по СЭД, при этом в РК в поле «Краткое содержание» пишет фразу «Отправлено по ЭП с СКЗИ».
5.6.1.7. Подлинник представленного для отправки ДСП-документа (экземпляр №1) на бумажном носителе формируется в дело подразделения ДОУ или структурного подразделения согласно утвержденной на текущий год сводной номенклатуре дел государственного органа.
5.6.2. Отправка исходящих ДСП-документов в бумажном виде осуществляется аналогично отправке документов без ограничения доступа в соответствии с индивидуальными инструкциями по делопроизводству.
5.6.2.1. Пересылка ДСП-документов в пределах Российской Федерации осуществляется фельдъегерской связью, заказными или ценными почтовыми отправлениями.
5.6.2.2. Пересылка ДСП-документов в пределах близлежащих населенных пунктов может осуществляться курьером. При этом документы должны быть упакованы таким образом, чтобы исключить возможность ознакомления с ним в процессе доставки и нарушения целостности упаковки.
Пересылка небумажных носителей, содержащих ДСП-документы, осуществляется в контейнерах, обеспечивающих сохранность носителей и исключающих несанкционированный доступ к носителю.
Приложение №1
РЕЕСТР приёма/передачи документов ДСП
Приложение №2
к Порядку обмена документами, содержащими конфиденциальную информацию
Журнал
регистрации входящих документов «Для служебного пользования»
Приложение №3
к Порядку обмена документами, содержащими конфиденциальную информацию
Журнал
учета входящих документов «Для служебного пользования»
Приложение 4
к Порядку обмена документами, содержащими конфиденциальную информацию
Журнал
регистрации исходящих документов «Для служебного пользования»
7. Положение о разграничении прав доступа к обрабатываемым персональным данным
УТВЕРЖДЕНО
Приказом ППО «Администрация президента»
по г. Москва
от «15» сентября 2017 г.
№ ______
ПОЛОЖЕНИЕ
о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных первичной профсоюзной организации «Администрация президента»
по г. Москва
Комсомольск-на-Амуре
2017
Общие положения
В данном документе представлен список лиц ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа к обрабатываемым персональным данным.
Разграничение прав осуществляется на основании Отчета по результатам проведения внутренней проверки, а так же исходя из характера и режима обработки персональных данных в ИСПДн.
Список лиц ответственных за обработку персональных данных в информационных системах персональных данных, а так же их уровень прав доступа для каждой ИСПДн представлен в Приложении №1, №2.
Приложение 1
ИСПДн-1 (ПДн заявителей)
УТВЕРЖДЕНО
Приказом ППО «Администрация президента»
по г. Москва
от «15» сентября 2017 г.
№ ______
Перечень групп, участвующих в обработке персональных данных в ИСПДн
Перечень лиц, получивших доступ к персональным данным
Отдел ввода и обработки данных
Приложение 2
ИСПДн-2 (ПДн сотрудников Организации)
УТВЕРЖДЕНО
Приказом ППО «Администрация президента»
по г. Москва
от «15» сентября 2017 г.
№ ______
Перечень групп, участвующих в обработке персональных данных в ИСПДн
Перечень лиц, получивших доступ к персональным данным
Отдел кадрового обеспечения
Отдел безопасности
Отдел информационных технологий
8. Распоряжение Об утверждении перечня сотрудников, допущенных к обработке Пдн
Об утверждении перечня сотрудников, допущенных к обработке персональных данных и перечня помещений, предназначенных для обработки персональных данных
В соответствии с Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных». Постановлением Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Рекомендациями ФСТЭК по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Мероприятиями по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных и документов ППО «Администрация президента» по защите персональных данных, о б я з ы в а ю:
1.Утвердить Перечень сотрудников, допущенных к обработке персональных данных в ППО «Администрация президента» по г. Москва (Приложение №1 к настоящему приказу).
2.Утвердить Перечень помещений ППО «Администрация президента» по г. Москва, предназначенных для обработки персональных данных (Приложение №2 к настоящему приказу).
3.Начальникам отделов Организации ознакомить сотрудников отдела с Перечнем сотрудников, допущенных к обработке персональных данных и перечня помещений, предназначенных для обработки персональных данных под роспись.
4.Контроль за исполнением настоящего приказа оставляю за собой.
Начальника ППО «Администрация президента»
по г. Москва В. В. Путин
Приложение 1
УТВЕРЖДЕНО
Приказом ППО «Администрация президента»
по г. Москва
от «____» сентябрь 2017 г.
№ ______
Перечень закрепленных ПЭВМ, предназначенных для обработки персональных данных и назначении лиц допущенных к обработке.
Приложение 2
УТВЕРЖДЕНО
Приказом ППО «Администрация президента»
по г. Москва
от «____» сентябрь 2017 г.
№ ______
9. Перечень сотрудников
Приложение 1
УТВЕРЖДЕНО
Приказом ППО «Администрация президента»
по г. Москва
от «____» сентябрь 2017 г.
№ ______
Перечень сотрудников, допущенных к обработке персональных данных в ППО «Администрация президента» по г. Москва.
Заместитель начальника отдела безопасности А. А. Злой
10. Перечень помещений
Приложение №2
УТВЕРЖДЕНО
Приказом ППО «Администрация президента»
от «____» сентября 2017 г.
№ ______
Перечень помещений ППО «Администрация президента» по г. Москва, предназначенных для обработки персональных данных.
Заместитель начальника отдела безопасности А. А. Злой
11. Приказ о пропускных внутренних режимах
МИНЮСТ РОССИИ
ПЕРВИЧНАЯ ПРОФСОЮЗНАЯ ОРГАНИЗАЦИЯ «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА»
ППО «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА» ПО Г. МОСКВЕ
ПЕРВИЧНАЯ ПРОФСОЮЗНАЯ ОРГАНИЗАЦИЯ «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА» ПО Г. МОСКВЕ (ППО «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА ПО Г. МОСКВЕ)
ПРИКАЗ»
2017 г.
№
г. Комсомольск-на-Амуре
Об утверждении Положения об обеспечении пропускного и внутриобъектового режимов
В целях обеспечения пропускного и внутриобъектового режимов в зданиях ППО «Администрация президента» по г. Москве (далее Организация) в соответствии с требованиями приказа Администрации президента от 06.10.2011 № ММВ-7-4/627@ «Об утверждении Типового положения об обеспечении пропускного и внутриобъектового режимов в административных зданиях и приказа ППО «Администрация президента» России по Хабаровскому краю от 14.09.2017 №322@, п р и к а з ы в а ю:
1.Утвердить прилагаемое Положение об обеспечении пропускного и внутриобъектового режимов в административных зданиях первичной профсоюзной организации «Администрация президента» (далее Положение).
2. Вести в действие Положение, утвержденное пунктом 1 настоящего приказа с 15.09.2017 года.
3. Отделу кадров и безопасности организовать пропускной и внутриобъектовый режимы в зданиях Организации в соответствии с Положением.
4. Контроль за исполнением настоящего приказа оставляю за собой.
Начальник ППО «Администрация президента»
по г. Москве В. В. Путин
12. Положение пропускного режима
УТВЕРЖДЕНО
Приказом ППО «Администрация президента»
от «15» сентября 2017 г.
№ ______
ПОЛОЖЕНИЕ
об обеспечении пропускного и внутриобъектового режимов в административном здании первичной профсоюзной организации «Администрация президента» по г. Москва
Комсомольск-на-Амуре
2017
1. Общие положения
1.1. Настоящее Положение устанавливает порядок охраны и организацию пропускного и внутриобъектового режимов в административных зданиях первичной профсоюзной организации «Администрация президента» по г. Москва (далее — Организация) для работников и посетителей, а также вноса и выноса материальных ценностей.
1.2. Внутриобъектовый режим — порядок, обеспечиваемый совокупностью мероприятий и правил, выполняемых лицами, находящимися на охраняемом объекте, в соответствии с требованиями внутреннего трудового распорядка и пожарной безопасности.
1.3. Пропускной режим — совокупность правил, регламентирующих порядок входа (выхода) лиц, вноса (выноса) документов и товарно-материальных ценностей в здание (из здания), а также мероприятий по реализации этих правил.
1.4. Пропускной режим предназначен для исключения:
— проникновения посторонних лиц в здание, в том числе в защищаемые, режимные и выделенные помещения;
— вноса в здание взрывоопасных, пожароопасных, отравляющих веществ и других несанкционированных посторонних предметов;
— выноса из здания без соответствующего разрешения материальных и электронных носителей, сведения которых подлежат защите в органах ППО «Администрации президента»;
— выноса материальных ценностей без правильно оформленных разрешительных документов;
— хищения материальных ценностей.
1.5. Пропускной режим предусматривает:
— организацию поста охраны с контрольно-пропускными функциями на входе в здание и создание бюро пропусков при возможности;
— введение системы удостоверений, временных, разовых и материальных пропусков;
— применение специальных шифров (штампов), дающих право прохода на территорию здания Организации, в том числе в нерабочее время, выходные и праздничные дни;
— определение перечня должностных лиц, имеющих право давать разрешение на выдачу соответствующего вида пропусков;
— определение перечня предметов, документов, запрещенных к вносу в здание, выносу из здания;
1.6. В основе обеспечения пропускного режима лежит адресная ответственность. Допуск посетителей в здание осуществляется только при предъявлении сотрудникам полиции ГУ Межрайонного отдела вневедомственной охраны УМВД по г. Москва (далее МРОВО) документов, удостоверяющих их личность. Время нахождения посетителей в здании Организации должно строго учитываться.
1.7. Контроль за соблюдением пропускного и внутриобъектового режимов возлагается на отдел кадров и безопасности Организации.
1.8. Обеспечение пропускного и внутриобъектового режимов осуществляется сотрудниками полиции МРОВО.
1.9. Требования сотрудников подразделения охраны и работников отдела кадров и безопасности по соблюдению правил, установленных настоящим Положением, обязательны для исполнения всеми работниками Организации, а также посетителями, временно находящимися на территории здания.
1.10. Отдел кадров и безопасности Организации контролирует выполнение требований данного Положения работниками Организации и посетителями, временно находящимися на территории здания.
1.11. Взаимодействие между отделом кадров и безопасности Организации и МРОВО организуется по следующим вопросам:
— взаимным обменом информацией о состоянии пропускного и внутриобъектового режимов, выявленных нарушениях в ходе его контроля и обеспечения, проведением совместных мероприятий по их устранению;
— проведением совместных совещаний с участием представителей отдела кадров и безопасности Организации и МРОВО по вопросам пропускного и внутриобъектового режимов на охраняемом объекте.
Сотрудники полиции по охраняемому объекту по вопросам пропускного и внутриобъектового режимов выполняют распоряжения и указания начальника Организации.
Сотрудники полиции по вопросам пропускного и внутриобъектового режимов выполняют распоряжения начальника Организации, отдаваемые в соответствии с требованиями «Положения об обеспечении пропускного и внутриобъектового режимов в административных зданиях первичной профсоюзной организации «Администрация президента» по г. Москва.
1.12. Дополнения и изменения в настоящее Положение вносятся приказом начальника Организации после согласования изменений отделом кадров и безопасности Организации с руководством МРОВО.
2. Документы, дающие право входа (выхода) лиц, вноса (выноса)
товарно-материальных ценностей из здания (в здание) Организации
2.1. Документами, дающими право на вход (выход) в здание (из здания), являются:
— служебные удостоверения работников ППО «Администрации президента», подписанные руководителем ППО «Администрации президента»;
— служебные удостоверения работников ППО «Администрации президента», подписанные руководителем Управления ППО «Администрации президента» по Хабаровскому краю (далее — Управление);
— удостоверения должностных лиц федеральных органов законодательной и исполнительной власти, органов законодательной и исполнительной власти Хабаровского края, г. Москва, ФСБ России, МВД России, прокуратуры Российской Федерации, Следственного комитета Российской Федерации;
— временные пропуска с фотографией;
— разовые пропуска;
— письменные заявки на допуск в здания Организации, оформленные в соответствии с установленным порядком.
В служебных удостоверениях должны быть указаны следующие реквизиты:
— фамилия, имя, отчество владельца служебного удостоверения в именительном падеже (указываются полностью без сокращения);
— дата их выдачи (специальный штамп после перерегистрации);
— подпись руководителя и фотография владельца, которые скрепляются печатью.
В временных пропусках должны быть указаны следующие реквизиты:
— фамилия, имя, отчество владельца временного пропуска в именительном падеже (указываются полностью без сокращения);
— дата их выдачи (специальный штамп, указывается срок действия);
— подпись начальника отдела кадров и безопасности и фотография владельца, которые скрепляются печатью отдела кадров и безопасности.
Служебные удостоверения и пропуска могут иметь защитную сетку, а также условные обозначения.
2.2. Документом, дающим право выноса материальных ценностей с территории зданий Организации, является материальный пропуск установленного образца.
2.3. Образцы удостоверений, пропусков, оттисков печатей, штампов, шифров и подписей должностных лиц, передаются в подразделение охраны. Указанные образцы, используемые на посту охраны, должны быть защищены от посторонних лиц.
2.4. Бланки всех видов удостоверений и пропусков установленной формы изготавливаются типографским способом и являются документами строгой отчетности. Разовые и материальные пропуска должны быть пронумерованы и сброшюрованы в книжки.
2.5. Бланки пропусков, печати, штампы, необходимые для обеспечения пропускного режима, заказываются отделом общего и хозяйственного обеспечения по заявке отдела кадров и безопасности.
2.6. По каждому факту утраты печатей, штампов, бланков пропусков и бланков заявок разовых пропусков проводится служебная проверка начальником отдела, в котором произошла утрата, с участием работника отдела кадров и безопасности Организации.
3. Порядок входа (выхода) в здание (из здания) работников Организации
3.1. Допуск в здания Организации, выход из здания работников Организации, посетителей по временным пропускам, иностранных граждан и представителей средств массовой информации осуществляется через пост охраны.
3.2. При проходе через пост охраны документы, дающие право входа в здание, обязательно предъявляются в развернутом виде сотруднику полиции поста охраны.
3.3. Право входа (выхода) в здание (из здания) Организации имеют:
3.3.1. Беспрепятственно (без предъявления удостоверения) руководитель Администрации президента, заместители руководителя Администрации президента, руководитель Управления и его заместители.
3.3.2. По служебным удостоверениям работника ППО «Администрации президента», подписанным руководителем Администрации президента (исполняющим обязанности руководителя Администрации президента):
а) начальники Управлений, заместители начальников Управлений, начальники отделов, заместители начальников отделов центрального аппарата ППО «Администрации президента», члены Общественного совета ППО «Администрации президента»;
б) руководители Управлений, заместители руководителей Управлений других субъектов Российской Федерации.
3.3.3. По служебным удостоверениям работников ППО «Администрации президента», подписанным руководителем Управления:
а) работники Управления и Организаций;
б) работники других государственных органов ППО «Администрации президента» по заявке на допуск в здание при предъявлении командировочного удостоверения (в течение рабочего дня с 08—30 до 17—00);
3.3.4. По временным пропускам Организации:
— лица, имеющие временные пропуска Организации.
3.3.5. По спискам на допуск в здание с предъявлением документов, удостоверяющих личность:
— работники ППО «Администрации президента» при проведении совещаний (других массовых мероприятий) в здании Организации, работники сторонних организаций, обеспечивающие функционирование различных систем жизнеобеспечения зданий Организации.
3.4. Для работы в будние дни после 20.00, в выходные и праздничные дни работники Организации допускаются в здание по списку на допуск в здание.
Структурные подразделения Организации, подают заявки на допуск в здание непосредственно в отдел кадров и безопасности, в том числе на выходные и праздничные дни. Список согласуется с отделом кадров и безопасности и подписывается начальником Организации.
Списки на допуск в здание в будние дни после 20.00 час., в выходные и праздничные дни передаются сотрудникам полиции на пост охраны здания.
4. Порядок входа (выхода) в здание (из здания) Организации
работников сторонних организаций и других посетителей
4.1. Работники сторонних организаций и другие посетители проходят через пост охраны и допускаются в здание Организации:
а) при предъявлении служебного удостоверения:
должностные лица федеральных органов законодательной и исполнительной власти, органов законодательной и исполнительной власти Хабаровского края, г. Москва, ФСБ России, МВД России, прокуратуры Российской Федерации, Следственного комитета Российской Федерации (Порядок допуска определен Инструкцией, Приложение №1).
б) по заявкам на допуск в здания Организации, временным и разовым пропускам:
— работники сторонних организаций, обеспечивающих функционирование различных систем жизнеобеспечения зданий Организации;
— посетители и работники сторонних организаций (после 17—00, либо в выходные и праздничные дни)
4.2. Допуск в здания Организации посетителей и работников сторонних организаций в будние дни с 8—30 до 17—00 осуществляется при предъявлении документов, удостоверяющих личность (паспорта).
4.3. Допуск граждан в здание Организации может осуществляться по непосредственному указанию начальника Организации.
Список лиц на допуск в здание, передается через сотрудников отдела кадров и безопасности на пост охраны Организации.
Посетители, допускаемые таким порядком, записываются дежурным полиции, который проверяет документ, удостоверяющий личность (паспорт).
4.4. При необходимости допуск посетителей в здания Организации может осуществляться по служебной записке начальника отдела кадров и безопасности (Приложение №2).
5. Порядок входа (выхода) в здание (из здания) Организации
иностранных граждан
5.1. Иностранные граждане допускаются в здания Организации через пост охраны по заявкам установленной формы (Приложение №3).
5.2. Начальник отдела Организации, осуществляющий организацию приема иностранных граждан, не позднее чем за три дня до приема уведомляет об этом отдел кадров и безопасности Организации.
5.3. Заявки на вход в здания Организации иностранных граждан оформляются следующим порядком:
Начальник (заместитель начальника) отдела:
— заполняет и подписывает заявку;
— представляет заявку, не позднее чем за сутки, на утверждение заместителю начальника Организации, курирующему данный отдел, или лицу его замещающему;
— после утверждения заявки заместителем начальника Организации, курирующим отдел, заявка направляется в отдел кадров и безопасности;
— отдел кадров и безопасности Организации направляет утвержденную заявку на пост охраны объекта.
5.4. Иностранных граждан встречает на посту представитель отдела, осуществляющий прием и работник отдела кадров и безопасности.
5.5. Дежурный поста охраны проверяет документы, удостоверяющие личность иностранных граждан, следующим порядком:
— сверяет записи (фамилию, имя) и номер паспорта с паспортными данными, указанными в заявке;
— при наличии в заявке номера визы сверяет номер визы с номером, указанным в заявке;
— сверяет фотографию в паспорте с личностью иностранного гражданина.
5.6. После того, как дежурный поста охраны убедится в соответствии всех данных на иностранного гражданина, изложенных в указанных документах, он пропускает иностранного гражданина в здание Организации.
5.7. Представители отдела, осуществляющие прием иностранных граждан, сопровождают их в период всего времени нахождения иностранных граждан в здании Организации.
5.8. О времени входа (выхода) в здание (из здания) Организации иностранных граждан, дежурный поста охраны в присутствии представителя отдела, осуществляющего прием и сотрудника по безопасности Организации делает отметку на обратной стороне заявки.
5.9. Порядок работы с иностранными делегациями, отдельными иностранными гражданами на территории здания Организации осуществляется в соответствии с требованиями Положения о порядке работы с иностранными делегациями, отдельными иностранными гражданами в ППО «Администрации президента».
6. Порядок входа (выхода) в здание (из здания) Организации
представителей средств массовой информации
6.1. Представители российских средств массовой информации (далее — СМИ) при проведении пресс-конференций, брифингов и других мероприятий проходят в здание Организации через пост охраны по заявкам на допуск в здание установленной формы (Приложение №6) при предъявлении документов, удостоверяющих их личность. В случае необходимости проведения кино-, видео-, фотосъемки и аудиозаписи представителями СМИ в заявке указывается наличие аппаратуры. Вынос кино-, фотоаппаратуры, принадлежащей представителям СМИ, осуществляется без оформления материального пропуска.
6.2. Заявка на допуск в здания Организации представителей российских средств массовой информации оформляется следующим порядком:
— заявка оформляется отделом общего и хозяйственного обеспечения и подписывается начальником (заместителем начальника) данного отдела.
— заявка утверждается заместителем начальника Организации, курирующим отдел общего и хозяйственного обеспечения (лицом его замещающим). После утверждения, заявка (в 3 экземплярах) представляется в отдел кадров и безопасности Организации за сутки до проведения мероприятия.
6.3. Отдел кадров и безопасности Организации оформленную заявку с визой начальника отдела передает на пост охраны объекта. В целях обеспечения контроля одна копия заявки с подписью должностного лица подразделения охраны, получившего заявку, хранится в отделе кадров и безопасности Организации.
6.4. Проход в здание представителей российских средств массовой информации осуществляется в сопровождении представителя отдела кадров и безопасности.
6.5. Допуск иностранных корреспондентов, аккредитованных при МИД России, осуществляется в соответствии с п. 5 настоящего Положения.
6.6. Кино-, видео-, фотосъемка и аудиозапись представителями СМИ (в том числе иностранных, аккредитованных при МИД России), на территории здания Организации может проводиться с разрешения начальника Организации (заместителя начальника Организации, курирующего отдел общего и хозяйственного обеспечения), по предварительной заявке отдела, согласованной с отделом кадров и безопасности.
7. Порядок вноса имущества в здание и выноса имущества
из здания Организации
7.1. Внос (вынос) в здание (из здания) Организации имущества (товарно-материальных ценностей) осуществляются только через пост охраны.
7.2. Внос имущества в здание Организации осуществляется по служебным запискам, которые после согласования с отделом кадров и безопасности направляются работником отдела Организации, в интересах которого осуществляется внос материального имущества, на пост охраны охраняемого объекта.
При необходимости к служебным запискам прикладываются накладные, товарные чеки, акты перемещения имущества (товарно-материальных ценностей).
Служебная записка подписывается начальником отдела Организации, в интересах которого осуществляется внос материального имущества.
Крупногабаритные вещи проверяются постовым по охране здания ручным металлодетектором.
7.3. Вынос имущества (товарно-материальных ценностей) из здания Организации разрешается только в рабочее время и только по материальным пропускам установленной формы (Приложение №7).
7.4. Вынос из здания Организации средств вычислительной техники (далее — СВТ), жестких магнитных дисков СВТ осуществляется по материальным пропускам, после согласования с отделом кадров и безопасности Организации.
7.5. Вынос имущества других организаций (строители, организации, работающие на договорной основе) из здания Организации осуществляется через пост охраны по служебным запискам отделов Организации, в интересах которых осуществлялся внос имущества, подписанным начальником отдела общего и хозяйственного обеспечения (его заместителем).
7.6. Вынос имущества (товарно-материальных ценностей) из здания Организации по устным распоряжениям или документам, не предусмотренным настоящим Положением, запрещается.
7.7. Материальный пропуск не дает сопровождающим лицам право прохода через пост охраны.
7.8. Материальный пропуск выписывается в отделе общего и хозяйственного обеспечения Организации по заявке. Порядок оформления заявки и материального пропуска определяется соответствующим распоряжением начальника Организации.
7.9. Материальный пропуск должен иметь следующие реквизиты:
— подпись должностного лица отдела общего и хозяйственного обеспечения, имеющего право утверждения материальных пропусков;
— подпись работника, выписавшего материальный пропуск;
— оттиск печати отдела общего и хозяйственного обеспечения.
7.10. Количество и наименование материальных ценностей должно соответствовать данным, указанным в материальном пропуске.
Оформленный материальный пропуск предоставляет право только одноразового выноса указанного в нем имущества через пост охраны, но не позже следующего дня после его выписки.
7.11. Список работников отдела общего и хозяйственного обеспечения Организации, которым предоставлено право подписи и на которых возложена обязанность оформления материальных пропусков, с образцами их подписей и оттиском печати (Приложение №8), ежегодно к 15 декабря направляется в отдел кадров и безопасности Организации. Отдел кадров и безопасности направляет указанный список на пост охраны объекта. Исправления в материальном пропуске не допускаются.
7.12. При выносе имущества из здания Организации дежурный поста охраны забирает материальный пропуск и проверяет:
— принадлежность материального пропуска предъявителю;
— точное соответствие наименования и количества выносимого имущества, указанного в материальном пропуске.
На лицевой стороне материального пропуска дежурный поста охраны записывает время и дату выноса, свою фамилию и ставит подпись.
Запрещается вынос (внос) коробок, ящиков без вскрытия и проверки содержимого.
7.13. По окончании рабочего дня сотрудник по охране здания сдает материальные пропуска в отдел общего и хозяйственного обеспечения Организации.
8. Порядок оформления и сдачи пропусков и служебных удостоверений
8.1. Разрешительные документы на допуск в здание Организации оформляются и выдаются посетителям на посту охраны Организации по предъявлению документа, удостоверяющего личность, в рабочие дни с после 17.00, в пятницу — после 15.30.
8.2. Порядок оформления и сдачи разового пропуска:
8.2.1. Разовый пропуск (Приложение №9) служит для однократного посещения здания Организации и дает право прохода (выхода) в здание (из здания) только при предъявлении посетителем документа, удостоверяющего личность. Основанием для оформления разового пропуска является заявка установленного образца (Приложение №10) с обязательным указанием номера кабинета и времени пребывания посетителя.
Заявку передает в отдел кадров и безопасности представитель отдела, в который проходит посетитель, или секретарь начальника (заместителей начальника) Организации.
8.2.2. Право подписи заявки на выдачу разового пропуска предоставляется начальнику Организации, его заместителям, начальникам отделов, их заместителям, а также секретарям начальника (заместителям начальника) Организации.
8.2.3. Списки должностных лиц, которым предоставлено право подписи заявки на выдачу разового пропуска, с образцами их подписей, оформляются отделами Организации (Приложение №11) и ежегодно к 15 декабря направляются в отдел кадров и безопасности.
8.2.4. Для допуска посетителей в здание Организации начальник отдела, подавший заявку, назначает работника от отдела для встречи посетителя на посту охраны и сопровождения его к месту встречи, а также для сопровождения посетителя до поста охраны после окончания встречи.
8.2.5. Разовый пропуск выдается посетителям Организации на посту охраны при предъявлении одного из следующих документов:
— паспорта гражданина Российской Федерации;
— заграничного паспорта гражданина Российской Федерации;
— служебного удостоверения сотрудника федерального министерства, ведомства;
— удостоверения личности военнослужащего Вооруженных Сил Российской Федерации;
— паспорта моряка Российской Федерации.
8.2.6. Разовый пропуск действителен при предъявлении посетителем одного из документов, указанных в п. 8.2.5., и в течение 15 минут после окончания приема.
8.2.7. Посетитель выпускается из здания Организации, если на обратной стороне разового пропуска указаны следующие реквизиты:
— дата и время окончания приема;
— подпись должностного лица, проводившего прием;
— оттиск штампа (печати) для разовых пропусков.
При выходе посетителя из здания Организации разовый пропуск изымается дежурным поста охраны, а затем сдается вместе с контрольным талоном в отдел кадров и безопасности.
8.2.8. В случае нарушения посетителем установленных правил пропускного режима посетитель задерживается дежурным поста охраны. О задержании сообщается в отдел кадров и безопасности Организации.
8.3. Порядок оформления и выдачи временных пропусков.
8.3.1. Временные пропуска выдаются в отделе кадров и безопасности и оформляются с фотографией сроком действия до 12 месяцев.
8.3.2. Основанием для оформления и выдачи временного пропуска является письменная заявка отдела, подписанная начальником (заместителем начальника) отдела, на имя заместителя начальника Организации, курирующего отдел, оформляющего заявку (Приложение №12).
После утверждения заявки заместителем начальника Организации заявка направляется в отдел кадров и безопасности.
Отделы Организации, курируемые начальником Организации, подписанную начальником отдела (его заместителем) заявку направляют в адрес начальника отдела кадров и безопасности (Приложение №13).
8.3.3. По окончании срока действия временный пропуск изымается дежурным поста охраны и передается в отдел кадров и безопасности.
8.3.4. Временные пропуска являются документами строгой отчетности. Учет временных пропусков осуществляется по Книге учета выдачи пропусков. Выдача временных пропусков осуществляется по Книге учета выдачи пропусков под личную роспись владельца временного пропуска.
8.4. Порядок выдачи (сдачи) служебных удостоверений.
8.4.1. Служебные удостоверения работника ППО «Администрации президента» выдаются работникам Организации в отделе кадров и безопасности.
8.4.2. Лица, утратившие служебные удостоверения, обязаны доложить о факте утраты служебного удостоверения своему начальнику отдела. Начальник отдела обязан сообщить о факте утраты служебного удостоверения в отдел кадров и безопасности Организации в течение суток после обнаружения утраты.
По факту утраты служебного удостоверения отдел кадров и безопасности Организации информирует подразделение охраны.
8.5. Порядок перерегистрации служебных удостоверений и пропусков.
8.5.1. В целях предупреждения проникновения посторонних лиц в административное здание Организации, в связи с имеющимися (возможными) фактами утрат и хищений временных пропусков, дающих право прохода в здание Организации, ежегодно (в необходимых случаях по решению начальника Организации) проводится перерегистрация указанных документов.
8.5.2. Порядок и сроки перерегистрации временных пропусков определяется распоряжением начальника Организации.
9. Внутриобъектовый режим
9.1. Работники Организации имеют право находиться в здании Организации в рабочие дни с 07—30 до 20—00, посетители — с 08—30 до 17—00.
9.2. В целях усиления пропускного и внутриобъектового режимов в здании Организации на период праздничных дней по указанию начальника Организации отделом кадров и безопасности готовится соответствующее распоряжение.
9.3. В случае служебной необходимости нахождения в здании Организации в рабочие дни после 20.00 час., в выходные и праздничные дни, работники отделов сообщают об этом в отдел кадров и безопасности, после чего сотрудники отдела кадров и безопасности формируют список работников, который подписывается начальником отдела кадров и безопасности, начальником Организации и передается на пост охраны. При входе в здание в выходные и праздничные дни работник обязан сообщить полицейскому поста охраны номер служебного телефона и номер кабинета, где он будет работать.
9.4. Полицейский поста охраны отмечает в полученном списке время нахождения на объекте работников Организации сверх установленного рабочего времени, в выходные и праздничные дни. Данный список передается в отдел кадров и безопасности на следующий день, либо в первый после выходного или праздничного периода рабочий день.
9.5. В нерабочее время окна всех помещений должны быть закрыты на запоры. Двери чердачных помещений, электрощитовые закрываются на замки и опечатываются. Ключи от них хранятся на посту охраны.
9.6. По окончании рабочего дня работники Организации обязаны закрыть окна, выключить электроприборы, освещение, закрыть на ключ и опечатать помещения, проверить надежность запоров входных дверей.
9.7. В случае обнаружения в нерабочее время незакрытых дверей в кабинетах и помещениях здания Организации полицейским поста охраны составляется Акт, помещение закрывается запасным ключом и опечатывается печатью полицейского поста охраны.
9.8. В нерабочее время, в случае возникновения чрезвычайных ситуаций, помещения Организации могут вскрываться полицейским поста охраны с использованием ключей, хранящихся в служебном помещении охраны предварительно доложив об этом сотрудникам отдела кадров и безопасности. Полицейским поста охраны запрещается выдавать ключи другим лицам и самим вскрывать помещения, кроме вышеуказанных целей.
9.9. По факту вскрытия помещений Организации полицейским поста охраны составляется и подписывается Акт (Приложение №17), который на следующий день согласовывается с сотрудниками отдела кадров и безопасности.
При вскрытии помещений запрещается открывать сейфы, шкафы, выдвигать ящики столов.
9.10. Для ликвидации последствий чрезвычайных ситуаций (взрыва, пожара, аварии, затопления и др.) один экземпляр ключей в пенале, с указанием номера служебного помещения, передается отделом кадров и безопасности на хранение в служебное помещение охраны.
9.11. В случае возникновения чрезвычайных ситуаций в помещениях Организации в нерабочее время аварийные бригады, пожарные расчеты, бригады скорой медицинской помощи допускаются в здание в сопровождении полицейского поста охраны, предварительно доложив на пульт централизованной охраны МРОВО.
О допуске указанных лиц полицейский поста охраны делает запись в постовой ведомости. О случившемся немедленно информируются начальник отдела кадров и безопасности и начальник Организации.
9.12. Ликвидация чрезвычайных ситуаций (взрыва, пожара, аварии, затопления и др.) в режимных помещениях осуществляется в соответствии с Инструкцией об особенностях охраны и вскрытия режимных помещений.
9.13. Порядок охраны вскрытия служебного кабинета начальника Организации определяется отдельной Инструкцией (Приложение №18).
Допуск в кабинет начальника Организации для выполнения различных работ в нерабочее время осуществляется сотрудником отдела кадров и безопасности по списку и служебной записке на производство работ. В служебной записке указываются: основание проведения работ, вид работ, фамилия, имя, отчество, паспортные данные и место работы привлекаемых работников, фамилия, имя, отчество сотрудника отдела Организации, ответственного за проведение работ в кабинете начальника Организации.
Допуск в кабинет начальника Организации для проведения уборки осуществляется секретарем начальника Организации согласно списку. Список подписывается начальником отдела общего и хозяйственного обеспечения и утверждается начальником отдела кадров и безопасности.
Допуск в помещения Организации для выполнения различных работ в нерабочее время осуществляется сотрудником заинтересованного отдела по списку и служебной записке на производство работ. Служебная записка подписывается начальником отдела Организации, заинтересованного в проведении работ, и утверждается заместителем начальника Организации, курирующим данный отдел. После утверждения, не позднее чем за сутки, служебная записка направляется в отдел кадров и безопасности.
9.14. Проведение всех строительных и ремонтных работ в помещениях Организации согласовывается с отделом кадров и безопасности.
9.15. Уборка служебных кабинетов Организации обслуживающим персоналом осуществляется в присутствии одного из сотрудников, работающих в кабинете, где проводится уборка.
9.16. Сотрудники полиции поста охраны осуществляют контроль за соблюдением работниками Организации и посетителями установленного внутриобъектового режима.
9.17. В случае обнаружения фактов нарушения требований внутриобъектового режима полицейский поста охраны объекта сообщает о выявленных фактах в отдел кадров и безопасности Организации.
9.18. Для сдачи помещений под охрану и их вскрытия начальники отделов Организации назначают ответственных.
Списки работников отделов, ответственных за сдачу под охрану режимных, выделенных и защищаемых помещений (Приложение №14), представляются ежегодно к 15 декабря в отдел кадров и безопасности.
9.19. По окончании рабочего дня входные двери режимных, выделенных и защищаемых помещений запираются и опечатываются. Пеналы с ключами от режимных, выделенных и защищаемых помещений опечатываются печатью ответственных работников и сдаются полицейским поста охраны под роспись в «Журнале приема (сдачи) под охрану служебных (режимных) помещений, спецхранилищ ИППО „Администрации президента“ по г. Москва и ключей от них» (Приложение №16). Порядок сдачи под охрану режимных, выделенных и защищаемых помещений определяется Инструкцией (Приложение №15).
9.20. Порядок сдачи под охрану и приема режимного помещения, вскрытия и эвакуации из него секретных документов при возникновении пожара, аварии, затопления и других чрезвычайных ситуаций определяется специально разработанной Инструкцией.
9.21. В случае обнаружения факта несанкционированного вскрытия помещений или нарушения оттисков печатей, работники Организации обязаны доложить своему начальнику отдела и в отдел кадров и безопасности.
Инструкция
о порядке допуска должностных лиц органов законодательной и исполнительной власти Российской Федерации, Хабаровского края, г. Москва, работников ФСБ России, МВД России, прокуратуры Российской Федерации, Следственного комитета Российской Федерации в административное здание Организации ППО «Администрации президента» по г. Москва
1.1. Право беспрепятственного входа (выхода) в административные здание (из здания) Организации имеют:
Президент Российской Федерации, Председатель Правительства Российской Федерации, Председатель Совета Федерации Федерального Собрания Российской Федерации, Председатель Государственной Думы Федерального Собрания Российской Федерации, Председатель Конституционного Суда Российской Федерации, Председатель Верховного Суда Российской Федерации, Председатель Высшего Арбитражного Суда Российской Федерации, Генеральный прокурор Российской Федерации, Председатель Следственного комитета Российской Федерации, Председатель Счетной палаты Российской Федерации, Руководитель Администрации Президента Российской Федерации, Руководитель Аппарата Правительства Российской Федерации, Министр финансов Российской Федерации, Председатель Центрального банка Российской Федерации и иные лица, которым в соответствии с Федеральным законом «О государственной охране» предоставляется государственная охрана.
Сотрудники Федеральной службы охраны Российской Федерации, сопровождающие указанных лиц, при входе (выходе) в здание (из здания) Организации предъявляют служебные удостоверения.
1.2. В здание Организации допускаются по служебным удостоверениям:
Члены Совета Федерации Федерального Собрания Российской Федерации, депутаты Государственной Думы Федерального Собрания Российской Федерации, их помощники при наличии поручения Совета Федерации и депутатов Государственной думы, заместители Председателя Счетной палаты Российской Федерации, аудиторы Счетной палаты Российской Федерации, заместители Руководителя Администрации Президента Российской Федерации, заместители Руководителя Аппарата Правительства Российской Федерации, Руководитель Аппарата Совета Федерации и его заместители, Руководитель Аппарата Государственной Думы и его заместители, члены Правительства Российской Федерации, заместители Председателя Конституционного Суда Российской Федерации, судьи Конституционного Суда Российской Федерации, заместители Председателя Верховного Суда Российской Федерации, заместители Председателя Высшего Арбитражного Суда Российской Федерации, заместители Генерального прокурора Российской Федерации, заместители Председателя Следственного комитета Российской Федерации, заместители Председателя Центрального банка Российской Федерации, заместители Министра финансов Российской Федерации по удостоверениям, подписанным Президентом Российской Федерации, Председателем Правительства Российской Федерации, Руководителем Администрации Президента Российской Федерации, Председателем Совета Федерации Федерального Собрания Российской Федерации, Председателем Государственной Думы Федерального Собрания Российской Федерации, федеральные министры, руководители федеральных служб, их заместители;
Губернатор — председатель Правительства Хабаровского края, председатель Законодательной Думы Хабаровского края, мэр г. Москва, их заместители, председатель Московской городской думы;
1.3. При исполнении возложенных функций по надзору за исполнением законов Российской Федерации федеральными министерствами, государственными комитетами, службами и иными федеральными органами исполнительной власти и их должностными лицами, а также за соответствием законам Российской Федерации издаваемых ими правовых актов, имеют право на беспрепятственный допуск в здание (из здания) Организации по служебным удостоверениям должностные лица:
— начальники управлений Генеральной прокуратуры Российской Федерации их заместители, советники, старшие помощники, помощники и помощники по особым поручениям Генерального прокурора Российской Федерации, помощники по особым поручениям заместителей Генерального прокурора Российской Федерации, заместители, старшие помощники и помощники Главного военного прокурора, все нижестоящие прокуроры, их заместители, помощники прокуроров по особым поручениям, старшие помощники и помощники прокуроров, старшие прокуроры и прокуроры управлений и отделов, в том числе с боевым стрелковым оружием и специальными средствами;
— Следственного комитета Российской Федерации и его территориальных органов;
— руководители департаментов Министерства финансов Российской Федерации, их заместители, начальники отделов, их заместители;
— руководители департаментов Министерства экономики Российской Федерации, их заместители;
— руководители департаментов Министерства юстиции Российской Федерации, их заместители;
— руководители департаментов, начальники управлений ФСБ России, их заместители;
— руководители департаментов, начальники управлений МВД (ГУ МВД, УМВД) России, их заместители;
— руководители департаментов, начальники управлений, начальники отделов федеральных министерств, федеральных служб, федеральных агенств, их заместители;
— руководители территориальных органов федеральных органов исполнительной власти по Дальневосточному федеральному округу и Хабаровскому краю, начальник Главного управления Центрального банка Российской Федерации по Хабаровскому краю, их заместители;
— начальники управлений ФСБ России, МВД России, Регионального управления Федеральной службы Российской Федерации по контролю за оборотом наркотиков по Хабаровскому краю (далее — Наркоконтроль), Министерства юстиции Российской Федерации по Хабаровскому краю, их заместители;
— председатели судов общей юрисдикции, арбитражных судов, расположенных на территории Хабаровского края и их заместители, прокурор Хабаровского края, прокурор г. Москва, прокуроры районов и их заместители;
— депутаты Законодательной Думы Хабаровского края, Московской городской думы;
— сотрудники Государственной фельдъегерской службы Российской Федерации и сотрудники центра специальной связи Госкомсвязи России при доставке почты, в том числе в выходные и праздничные дни;
— сотрудники МВД России, ФСБ России, прокуратуры, Следственного комитета, Наркоконтроля, судебные приставы и их территориальных органов при исполнении ими служебных обязанностей.
1.4. В случае заранее запланированной встречи должностных лиц федеральных органов законодательной и исполнительной власти, органов законодательной и исполнительной власти г. Москва с начальником Организации:
— секретарь начальника Организации сообщает в отдел кадров и безопасности о назначенной встрече и времени прибытия должностных лиц;
— начальник отдела кадров и безопасности выделяет работника для встречи и сопровождения указанных лиц, информирует подразделение охраны о прибытии должностных лиц;
— в назначенное время сотрудник отдела кадров и безопасности встречает и провожает приглашенных лиц к месту встречи.
1.5. В случае заранее запланированной встречи должностных лиц федеральных органов законодательной и исполнительной власти, органов законодательной и исполнительной власти г. Москва с заместителями начальника Организации:
— секретарь заместителя начальника Организации сообщает в отдел кадров и безопасности о назначенной встрече и времени прибытия должностных лиц;
— отдел кадров и безопасности информирует подразделение охраны о прибытии должностных лиц;
— в назначенное время назначенный работник Организации встречает и провожает приглашенных лиц к месту встречи.
В случае прибытия на запланированную встречу должностных лиц МВД России, ФСБ России, прокуратуры, Следственного комитета, их сопровождение к месту встречи обеспечивает работник отдела кадров и безопасности Организации.
1.6. В случае незапланированной встречи с должностными лицами федеральных органов законодательной и исполнительной власти, МВД России, ФСБ России, прокуратуры, Следственного комитета:
— секретарь начальника (заместителя начальника) Организации информирует о прибытии вышеуказанных лиц и уточняет возможность их встречи;
— в случае невозможности встречи секретарь информирует указанных лиц о невозможности визита и времени предполагаемой встречи с заинтересованным должностным лицом Организации.
1.7. По заявкам отделов Организации:
Заявки на допуск в здание Организации должностных лиц органов законодательной и исполнительной власти Российской Федерации, Хабаровского края, г. Хабаровска, МВД России, ФСБ России, прокуратуры Российской Федерации, Следственного комитета Российской Федерации в нерабочее время оформляются отделами Организации, в которые приглашаются вышеуказанные должностные лица, и подписываются начальниками этих отделов.
Заявки утверждаются заместителем начальника Организации, курирующим данный отдел. После утверждения, заявки представляются в отдел кадров и безопасности Организации в 3-х экземплярах за сутки до посещения.
Допуск в здание осуществляется по утвержденным заявкам при предъявлении служебных удостоверений только в сопровождении работника заинтересованного отдела.
2. Допуск должностных лиц органов законодательной и исполнительной власти Российской Федерации, Хабаровского края, г. Хабаровска, МВД России, ФСБ России, прокуратуры Российской Федерации, Следственного комитета Российской Федерации в здание в нерабочее время может осуществляться по непосредственному указанию начальника (заместителей начальника) Организации.
Указание передается через секретарей начальника (заместителей начальника) Организации (по IP — телефону) в отдел кадров и безопасности.
Список лиц на допуск в здание, передается сотрудниками отдела кадров и безопасности на пост охраны Организации.
Время прихода (ухода) должностных лиц, допускаемых таким порядком, фиксируется полицейским поста охраны в соответствующем списке, который на следующий рабочий день передается в отдел кадров и безопасности.
Дежурный поста охраны проверяет у посетителей документы, удостоверяющие их личность.
При необходимости допуск должностных лиц органов законодательной и исполнительной власти Российской Федерации, г. Москва, МВД России, ФСБ России, прокуратуры Российской Федерации, Следственного комитета Российской Федерации в здание Управления может осуществляться по служебной записке начальника отдела кадров и безопасности Организации.
Приложение №2 (п. 3.4) к Положению об обеспечении пропускного и внутриобъектового режимов в административном здании Организации ППО «Администрации президента» по г. Москва
РАЗРЕШАЮ
Начальник (зам. начальника)
Организации ППО «Администрации президента» по г. Москва
___________ ______________
(подпись) (фамилия, инициалы)
«___» _____________ 2017 г.
Заявка
для пропуска в административное здание Организации ППО «Администрации президента» по г. Москва сотрудников в выходные (праздничные) дни и в рабочие дни после 20.00 часов
Прошу пропустить «___» ______________ 20___ г. в административное здание Организации ППО «Администрации президента» по г. Москва краю следующих сотрудников:
Начальник отдела ______________ _____________________
(подпись) (инициалы, фамилия)
«___» _____________ 2017 г.
«___» _____________ 2017 г.
Ф.И.О. исполнителя номер тел.
Приложение №3 (п. 4.2)
к Положению об обеспечении пропускного и внутриобъектового режимов в административном здании Организации ППО «Администрации президента» по г. Москва
РАЗРЕШАЮ
Начальник (зам. начальника)
Организации ППО «Администрации
президента» по г. Москва
___________ _______________
(подпись) (фамилия, инициалы)
«___» _____________ 2017 г.
Заявка
на допуск в здание Организации ППО «Администрации президента» по г. Москва граждан
Прошу обеспечить допуск в здание Организации ППО «Администрации президента» по г. Москва (пл. Старая, д.4)
«___» ____________ 2017 г. в период с_____ час. до _____ час. следующих граждан
(при предъявлении документа, удостоверяющего личность):
Начальник отдела ______________ ___________________________
(подпись) (инициалы, фамилия)
«___» _____________ 2017 г.
Полицейскому поста охраны объекта прошу обеспечить допуск в здание в соответствии с указанными сроками
Начальник отдела кадров и безопасности __________ _____________________
(подпись) (инициалы, фамилия)
«___» _____________ 2017 г.
Ф.И.О. исполнителя (номер телефона)
Приложение №4 (п. 4.4)
к Положению об обеспечении пропускного и внутриобъектового режимов в административном здании Организации ППО «Администрации президента» по г. Москва
Полицейскому поста охраны объекта
Служебная записка
на допуск в здание Организации ППО «Администрации президента» по г. Москва граждан
Прошу обеспечить допуск в здание Организации ППО «Администрации президента» по г. Москва (пл. Старая, 4)
«___» ____________ 2017 г. в период с_____ час. до _____ час.
следующих граждан (при предъявлении документа, удостоверяющего личность):
Начальник отдела кадров и безопасности __________ ________________
(подпись) (инициалы, фамилия)
«___» _____________ 2017 г.
Ф.И.О. исполнителя
(номер телефона)
Приложение №5 (п. 5.1)
к Положению об обеспечении пропускного и внутриобъектового режимов в административном здании первичной профсоюзной организации «Администрация президента» по г. Москва
Заявка
на допуск в здание ИППО «Администрации президента» по г. Москва иностранных граждан
Прошу допустить в здание ППО «Администрации президента» по г. Москва (пл. Старая, 4) «____» ____________ 2017 г. в период с____ час. до ____ час. следующих иностранных граждан:
Кто принимает: ______________________________________________________
(фамилия, имя, отчество работника структурного подразделения, принимающего иностранцев)
№ кабинета __________________________________________________________
Сопровождение указанных лиц будет осуществлять: ____________________________________________________________________________
(должность, фамилия, имя, отчество, № телефона работника)
Ф.И.О. исполнителя
(номер телефона)
Приложение №6 (п. 6.1)
к Положению об обеспечении пропускного и внутриобъектового режимов в административном здании первичной профсоюзной организации «Администрация президента»
Заявка
на допуск в здание ППО «Администрации президента» по г. Москва средств массовой информации
В связи с (указать конкретную причину) «___» __________2017 г. (указать дату и время мероприятия) прошу разрешить проход в здание ППО «Администрации президента» по г. Москва (пл. Старая, д. 4) следующим представителям средств массовой информации:
Встречает и сопровождает указанных лиц __________________________
(фамилия, инициалы, должность работника, номер телефона)
Ф.И.О. исполнителя
(номер телефона
Приложение №7 (п. 7.3)
к Положению об обеспечении пропускного и внутриобъектового режимов в административном здании первичной профсоюзной организации «Администрация президента»
Образец бланка материального пропуска
Служебная записка
Направляю образцы подписей работников отдела общего и хозяйственного обеспечения, имеющих право оформления и утверждения материальных пропусков, а также оттиска печати отдела.
Оттиск печати отдела общего и хозяйственного обеспечения
Начальник отдела общего и хозяйственного обеспечения ____________ _________________
(подпись) (инициалы, фамилия)
Ф.И.О. исполнителя
(номер телефона)
Образец бланка разового пропуска
Заявка
для выдачи разового пропуска
Приложение №11 (п. 8.2.3)
к Положению об обеспечении пропускного и
внутриобъектового режимов в административном здании первичной профсоюзной
организации «Администрация президента»
Список
лиц, имеющих право подписи заявки на выдачу разового пропуска
для прохода в здание ППО «Администрации президента» по г. Москва
Начальник отдела
_____________ _________________
(подпись) (фамилия и инициалы)
Согласовано:
Начальник отдела кадров и безопасности __________________________
(подпись) (фамилия и инициалы)
Ф.И.О. исполнителя
(номер телефона)
Заявка
для выдачи временного пропуска
Прошу выдать временный пропуск для прохода в здание ППО «Администрации президента» по г. Москва (пл. Старая, д.4) с «___» ____________ 2017 г. по «___«»____________ 2017 г. следующим гражданам:
Начальник отдела ______________ ________________
(подпись) (инициалы, фамилия)
«___» ____________ 2017 г.
Ф.И.О. исполнителя
(номер телефона)
Заявка
для выдачи временного пропуска
Прошу выдать временный пропуск для прохода в здание ППО «Администрации президента» по г. Москва (пл. Старая,4) с «___» ______________ 2017 г. по «___«»____________ 2017 г. следующим гражданам:
Начальник отдела ______________ ________________
(подпись) (инициалы, фамилия)
«___» ____________ 2017 г.
Ф.И.О. исполнителя
(номер телефона)
Список работников ИППО «Администрации президента» по г. Москва, ответственных за сдачу под охрану и вскрытие режимных, выделенных и защищаемых помещений
Начальник отдела ______________ ________________
(подпись) (инициалы, фамилия)
«___» ____________ 2017 г.
Ф.И.О. исполнителя
(номер телефона)
Инструкция
о порядке сдачи под охрану и приема режимных, выделенных и защищаемых помещений административного здания ИППО «Администрации президента» по г. Москва
1. По окончании рабочего дня работник Организации, ответственный за сдачу помещения под охрану, обязан:
— закрыть на запоры форточки, фрамуги, окна;
— выключить электроприборы, освещение;
— закрыть входную дверь на ключ и опечатать личной печатью;
— сдать дежурному поста охраны помещение под охрану;
— убедиться, что помещение принято под охрану;
— сдать дежурному поста охраны ключ от помещения в пенале, опечатанном личной печатью, и расписаться в «Журнале приема (сдачи) под охрану служебных (режимных) помещений, спецхранилищ ИППО „Администрации президента“ по г. Москва и ключей от них».
2. В случае отказа в работе сигнализации работник Организации вместе с дежурным поста охраны проверяют состояние помещения и входной двери. О неисправности сигнализации работник делает отметку в «Журнале приема (сдачи) под охрану служебных (режимных) помещений, спецхранилищ ИППО „Администрации президента“ по г. Москва и ключей от них». Работник Организации дает распоряжение дежурному поста охраны об усилении охраны данного помещения.
3. Перед вскрытием помещения работник Организации, ответственный за данное помещение, обязан:
— выяснить у дежурного состояние охраны помещения;
— получить опечатанный пенал с ключами под роспись;
— проверить целостность оттиска личной печати на пенале и входной двери помещения, исправность замков.
4. В случае нарушения целостности оттиска печати или обнаружения несанкционированного вскрытия помещения, работник Организации:
— докладывает руководителю своего структурного подразделения;
— вызывает дежурного поста охраны для совместного вскрытия помещения и составления Акта о нарушении.
До окончания расследования нарушения помещение не вскрывается.
Начальник отдела кадров и безопасности
ИППО «Администрации президента» по г. Москва.
_______________ _________________
(подпись) (инициалы, фамилия)
Приложение №16
к Положению об обеспечении пропускного и внутриобъектового режимов в администратор здании первичной профсоюзной организации «Администрация президента» по г. Москва
Журнал
приема (сдачи) под охрану служебных (режимных) помещений, спецхранилищ ППО «Администрации президента» по г. Москва
Акт
вскрытия служебного кабинета № _____
ППО «Администрации президента» по г. Москва
Мною, дежурным поста охраны ________________________________
(фамилия, имя, отчество)
_______________________________________ _______________________
(фамилия, имя, отчество)
«____» _____________ 2017 г. в ______ час. ______ мин. вскрыт кабинет № _______ ППО «Администрации президента» по г. Москва в связи с _______________________________ _______________________________________________________________________________
(указать причину)
_________________________________________________________________________.
В результате осмотра кабинета выявлено следующее:
_______________________________________________________________________.
Выводы результатов осмотра:________________________________________.
Кабинет № _____ закрыт на замок в ______ час. ______ мин. и опечатан печатью дежурного поста охраны № ______.
Ключи от кабинета помещены в пенал № _____.
Подписи:
«___» _____________ 2017 г.
Приложение №18 (п. 9.13)
к Положению об обеспечении пропускного и внутриобъектового режимов в административном здании первичной профсоюзной организации
«Администрация президента» по г. Москва
Порядок
охраны и вскрытия служебного кабинета начальника ППО «Администрации президента» по г. Москва
1. Допуск в кабинет начальника Организации для выполнения различных работ в рабочее время по согласованию с начальником Организации осуществляет выделенный работник отдела кадров и безопасности по служебной записке на производство работ. Служебная записка подписывается начальником отдела, заинтересованного в проведении работ. Не позднее чем за сутки до проведения работ служебная записка направляется в отдел кадров и безопасности.
В служебной записке указываются:
— основание проведения и вид работ;
— фамилия, имя, отчество работника, проводящего работы в кабинете начальника Организации.
2. Допуск в кабинет начальника Организации для проведения уборки осуществляется секретарем начальника Организации.
3. Сдачу кабинета начальника Организации под охрану, а также его вскрытие производят начальник Организации (секретарь начальника Организации).
4. По окончании рабочего дня входные двери кабинета начальника Организации и приёмной запираются и опечатываются. Пеналы с ключами от входных дверей приёмной и кабинета начальника Организации опечатываются и сдаются под охрану дежурному поста охраны под расписку в «Журнале приёма (сдачи) под охрану служебных (режимных) помещений, спецхранилищ Организации ППО „Администрации президента“ по г. Москва и ключей от них» (Приложение №14).
5. Дежурные поста охраны осуществляют охрану кабинета с помощью системы охранного телевизионного видеонаблюдения и путём периодической проверки целостности печатей на входных дверях приёмной начальника Организации.
6. Перед вскрытием кабинета должностные лица должны проверить целостность печатей на входных дверях и исправность замков.
7. При нарушении целостности печати на входных дверях, пеналов с ключами, повреждении замков, срабатывании охранно-пожарной сигнализации, других признаках, указывающих на несанкционированное проникновение в помещение, должностные лица, обнаружившие это, немедленно докладывают начальнику Организации и начальнику (заместителю начальника) отдела кадров и безопасности.
До прибытия вышеуказанных лиц дежурный поста охраны объекта организует дополнительную охрану данного помещения.
В последующем дежурным поста охраны объекта и отделом кадров и безопасности Организации проводится расследование, по результатам которого составляется Акт.
8. В случае утраты ключа от входной двери кабинета начальника Организации или приёмной должностное лицо, обнаружившее данный факт, незамедлительно сообщает об этом начальнику Организации и в отдел кадров и безопасности.
Замок на входной двери вышеуказанных помещений должен быть заменён или изменён его секрет, о чём составляется Акт.
9. Запрещается внос в кабинет и вынос из кабинета имущества, мебели без разрешения начальника Организации и согласования с отделом кадров и безопасности.
13. Приказ турникет
МИНЮСТ РОССИИ
ПЕРВИЧНАЯ ПРОФСОЮЗНАЯ ОРГАНИЗАЦИЯ «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА»
ППО «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА» ПО Г. МОСКВЕ
ПЕРВИЧНАЯ ПРОФСОЮЗНАЯ ОРГАНИЗАЦИЯ «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА» ПО Г. МОСКВЕ (ППО «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА ПО Г. МОСКВЕ)
ПРИКАЗ»
2017 г.
№
г. Комсомольск-на-Амуре
О введении в действие в Администрации президента по г. Москве системы контроля и управления доступом
В соответствии с приказом ППО «Администрация президента» от 14.12.2010 года № ММВ-7-4/707@ «Об организации охраны объектов центрального аппарата ППО «Администрация президента», территориальных органов ППО «Администрация президента, федеральных государственных учреждений и федерального государственного унитарного предприятия, находящихся в ведении ППО «Администрация президента», приказом ППО «Администрация президента» по г. Москва от 21.03.2012 года №0062 «Об утверждении Положения об обеспечении пропускного и внутриобъектового режимов», п р и к а з ы в а ю:
1. В здании первичной профсоюзной организации «Администрация президента» по г. Москва по пл. Старая, д. 4 (далее — Организация) с 29.12.2017г. ввести в действие систему контроля и управления доступом.
2. Утвердить Инструкцию пользователей карт доступа, предназначенных для прохода через систему контроля и управления доступом Организации (Приложение №1 к настоящему приказу).
3. Начальникам отделов Организации организовать изучение сотрудниками отделов вышеуказанной инструкции под роспись и обеспечить исполнение ее требований.
4. Отделу безопасности в срок до 1.10.2017г. выдать личные карты доступа всем работникам Организации, а также внести дополнения в инструкцию по организации охраны, пропускного и внутриобъектового режимов в помещениях Организации.
5. Контроль за исполнением настоящего приказа оставляю за собой.
Начальник ППО «Администрация президента»
по г. Москва В. В. Путин
14. Приложение турникет (Инструкция)
Приложение №1
УТВЕРЖДЕНА
Приказом ППО «Администрация президента»
по г. Москва
от «___» ________2017
№ ___
Инструкция
пользователей карт доступа, предназначенных для прохода через систему контроля и управления доступом первичной профсоюзной организации «Администрация президента» по г. Москва
1. Общие положения
1. Настоящая инструкция устанавливает порядок пользования и хранения карт Wiegant-26 (далее — карта доступа), которая является личным электронным пропуском, содержащим персональные настройки необходимым для прохода в административное здание по пл. Старая, д. 4 ППО «Администрация президента» по г. Москва (далее — Организация).
2. Требования настоящей инструкции распространяются на всех пользователей карт доступа.
3. Пользователь карты доступа должен быть под роспись ознакомлен с настоящей Инструкцией.
4. Основанием для выдачи карты доступа является приказ начальника Инспекции о назначении работника в государственный орган.
5. Все работники Инспекции допускаются (выпускаются) в здание по ул. Кирова, 68 только при наличии карты доступа, предназначенной для отпирания одной из систем контроля и управления доступом (далее — турникет), либо служебного удостоверения.
6. Отпирание турникета осуществляется при присоединении карты доступа к датчику считывания (белого цвета), установленному на одном из турникетов и изменении цвета светодиодов в виде стрелки с красного на зеленый.
7. Турникет, на котором отсутствуют датчики считывания карт доступа (белого цвета) предназначен для прохода посетителей, допуск в здание которых осуществляется при предъявлении полицейскому поста охраны документа, удостоверяющего личность.
8. В случае отсутствия при себе карты доступа при входе в здание, работник Инспекции обязан предъявить полицейскому поста охраны служебное удостоверение и под запись в специальном журнале пройти через турникет.
9. Запрещается как передавать свою карту доступа, так и пользоваться картой доступа другого работника Инспекции.
10. При следовании на общественном и личном транспорте, нахождении в многолюдных местах, карта доступа должна находится у работника в месте, недоступном для посторонних лиц.
11. Карта доступа должна хранится непосредственно у работника Инспекции, а в домашних условиях должна находится в месте недоступном для детей, домашних животных и посторонних лиц, независимо от их родства.
12. При уходе работника в отпуск по уходу за ребенком карта доступа должна быть сдана на хранение в отдел кадров и безопасности.
13. Владельцы карт доступа несут персональную ответственность за их сохранность.
14. В случае утери (кражи), либо порчи карты доступа, владелец данной карты незамедлительно обязан доложить об этом своему непосредственному начальнику и в отдел кадров и безопасности.
15. По факту утери (кражи), либо порчи карты доступа приказом по Инспекции назначается комиссия и проводится служебная проверка в соответствии с требованиями ст.59 Федерального закона от 27.07.2004 года №79-ФЗ «О государственной гражданской службе Российской Федерации».
Начальник отдела безопасности Богачев А. А.
15. Приказ о допуске в сеть
О доступе работников Организации к информационным ресурсам
В соответствии с Приказом ППО «Администрация президента» по г. Москва №173 от 29.08.2008 «Об утверждении Порядке доступа к информационным, программным и аппаратным ресурсам ППО „Администрация президента“ по г. Москва»
п р и к а з ы в а ю:
— Отделу информационных технологий включить в «Список пользователей сетевых имен» начальника отдела безопасности:
Артем Алексеевич Богачев
— Контроль над исполнением настоящего приказа возложить на начальника отдела информационных технологий Позднякова Б. И.
16. Приказ о порядке хранения конфиденциальной информации на электронных носителях
УТВЕРЖДАЮ
Начальник ППО «Администрация президента»
по г. Москва
В. В. Путин
от «____» сентября 2017 г.
№ ______
ПРИКАЗ №9 от 15.09.2017
О порядке хранения конфиденциальной информации на электронных носителях
С целью соблюдения системы обеспечения безопасности информации в первичной профсоюзной организации «Администрация президента» по г. Москва.
ПРИКАЗЫВАЮ:
— Организовать учет и хранение конфиденциальной информации на электронных носителях.
— Создать журнал учета электронных носителей, содержащих конфиденциальную информацию.
— Обеспечить надежное хранение носителей, содержащих конфиденциальную информацию (хранить в сейфе в помещении с ограниченным доступом).
— Контроль за хранением и учетом конфиденциальной информации на электронных носителях возложить на администратора ИСПДн Поздеева И. И.
Начальник ППО
«Администрация президента Путин В. В. ___________
(подпись)
17. Приказ о назначении ответственных в подразделениях организации за эксплуатацию средств защиты информации
УТВЕРЖДАЮ
Начальник ППО «Администрация президента»
по г. Москва
В. В. Путин
от «____» сентября 2017 г.
№ ______
ПРИКАЗ №11 от 15.09.2017
О назначении ответственных в подразделениях организации за эксплуатацию средств защиты информации
С целью соблюдения системы обеспечения безопасности информации в первичной профсоюзной организации «Администрация президента»
ПРИКАЗЫВАЮ:
— Назначить администратора ИСПД-н Поздеева Н. В. ответственным за установку, эксплуатацию и сопровождение средств защиты информации.
— Обеспечить периодическую проверку состояния средств защиты информации
— Надзор за исполнением данного приказа возложить на начальника отдела безопасности.
Начальник ППО
«Администрация президента» В. В. Путин ___________
(подпись)
18. Приказ о формировании системы обеспечения безопасности информации в организации
УТВЕРЖДАЮ
Начальник ППО «Администрация президента»
по г. Москва
А. А. Путин
от «____» сентября 2017 г.
№ ______
Приказ о формировании системы обеспечения безопасности информации в первичной профсоюзной организации «Администрация президента» по г. Москва
С целью формирования системы обеспечения безопасности информации в ППО «Администрация президента» по г. Москва
ПРИКАЗЫВАЮ:
1. Назначить ответственным за обеспечение безопасности информации в Инспекции начальника отдела безопасности Богачева А. А.
2. Начальнику отдела информационных технологий обеспечить разработку и представить на утверждение должностной регламент администратора по безопасности информации.
3. Разработать и представить на утверждение план основных мероприятий по формированию системы обеспечения безопасности информации в Инспекции.
Путин В. В _________________
(подпись)
19. Места хранения ИСПДн-1
МИНЮСТ РОССИИ
ПЕРВИЧНАЯ ПРОФСОЮЗНАЯ ОРГАНИЗАЦИЯ «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА»
ППО «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА» ПО Г. МОСКВА
ПЕРВИЧНАЯ ПРОФСОЮЗНАЯ ОРГАНИЗАЦИЯ «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА» ПО Г. МОСКВА (ППО «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА» ПО Г. МОСКВА)
ПРИКАЗ
г. Комсомольск-на-Амуре
О местах хранения персональных данных ИСПДн-1 (ПДн обращающихся граждан)
С целью соблюдения системы обеспечения безопасности информации в ППО «Администрация президента» по г. Москва п р и к а з ы в а ю:
— Хранение персональных данных осуществлять в серверной, имеющую ограниченный доступ.
— Контроль за хранением конфиденциальной информации на электронных носителях возложить на администратора ИСПДн Поздеева Н. Б.
Начальник инспекции Путин В. В. ________________
(подпись)
Администратор ИСПДн Поздеев Н. Б. ________________
(подпись)
20. Места хранения ИСПДн-2
МИНЮСТ РОССИИ
ПЕРВИЧНАЯ ПРОФСОЮЗНАЯ ОРГАНИЗАЦИЯ «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА»
ППО «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА» ПО Г. МОСКВА
ПЕРВИЧНАЯ ПРОФСОЮЗНАЯ ОРГАНИЗАЦИЯ «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА» ПО Г. МОСКВА (ППО «АДМИНИСТРАЦИЯ ПРЕЗИДЕНТА» ПО Г. МОСКВА)
ПРИКАЗ
г. Комсомольск-на-Амуре
О местах хранения персональных данных ИСПДн-2 (ПДн сотрудников)
С целью соблюдения системы обеспечения безопасности информации в ППО «Администрация президента» по г. Москва п р и к а з ы в а ю:
— Хранение персональных данных осуществлять в отделе кадров, имеющий ограниченный доступ.
— Контроль за хранением конфиденциальной информации на электронных носителях возложить на администратора ИСПДн Поздеева Н. Б.
Начальник организации Путин В. В. ________________
(подпись)
Администратор ИСПДн Поздеев Н. Б. ________________
(подпись)
21. Акт приема зачета по знанию нормативной базы
УТВЕРЖДАЮ
Начальник ППО «Администрация президента»
по г. Москва
В. В. Путин
от «____» сентября 2017 г.
№ ______
АКТ
приема зачета по знанию нормативной базы, определяющей порядок работы с персональными данными
Комсомольск-на-Амуре
2017
В соответствии с требованиями федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных, в целях дальнейшего совершенствования системы защиты информации, комиссия в составе председателя Богачева А. А. и членов комиссий: администратора ИСПДН Н. В. Поздеева, начальника ППО «Администрация президента» В. В. Путина провела 15.09.2017 прием зачетов по знанию нормативной базы, определяющей порядок работы с персональными данными, у сотрудников Инспекции.
Ведомость по приему зачета прилагается.
Председатель комиссии:
Члены комиссии:
22. Список сотрудников, ознакомленных с документами по работе с ПДн
УТВЕРЖДАЮ
Начальник ППО «Администрация президента»
по г. Москва
В. В. Путин
от «____» сентября 2017 г.
№ ______
СПИСОК
сотрудников, ознакомленных с законодательными актами и нормативными документами, определяющими порядок работы с персональными данными
Комсомольск-на-Амуре
2017
Перечень отделов инспекции
Отдел безопасности
Отдел информационных технологий
Секретарь _____________ Дементьева О. В.
(подпись)
23. Приказ об утверждении перечня должностей
Об утверждении перечня должностных лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных государственных гражданских служащих ППО «Администрация президента» по г. Москва
В соответствии с Указом Президента Российской Федерации от 30.05.2005 г. №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» и приказом ППО «Администрации президента» от 09.08.2005 г. № САЭ-3-15/381@ «Об утверждении Положения о персональных данных государственного гражданского служащего Администрации президента» п р и к а з ы в а ю:
1. Утвердить перечень должностных лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных государственных гражданских служащих первичной профсоюзной организации «Администрация президента» по г. Москва и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных:
Шарапова Елена Александровна — начальник отдела кадров;
Богачев Артем Алексеевич –начальник отдела безопасности;
Дюк Марина Алексеевна — главный специалист — эксперт отдела кадров;
Злой Андрей Андреевич — заместитель начальника отдела безопасности;
Поздеев Николай Борисович — начальник отдела информационных технологий;
Усиков Андрей Владимирович — заместитель начальника отдела информационных технологий;
2. Начальнику отдела кадров Е. А. Шараповой ознакомить с Положением по обеспечению защиты персональных данных государственного гражданского служащего Администрации президента и ведению его личного дела, лиц
уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных (в том числе находящихся на электронных носителях) гражданского служащего Администрации президента и ведению его личного дела, под роспись (Приложение).
3. Ответственность за ведение личных дел возложить на:
Шарапову Елену Александровну — начальника отдела кадров;
Дюк Марину Алексеевну — главного специалиста — эксперта отдела кадров;
4. Контроль за исполнением приказа оставляет за собой исполняющий обязанности начальника организации.
24. Приказ о проведении внутренней проверки
УТВЕРЖДАЮ
Начальник ППО «Администрация президента»
по г. Москва
В. В. Путин
от «____» сентября 2017 г.
№ ______
ПРИКАЗ №10 от 15.09.2017
О порядке проведения внутренней проверки в ППО «Администрация президента» по г. Москва
В целях исполнения Федерального закона №152-ФЪ от 27 июля 2006 года «О персональных данных» в первичной профсоюзной организации «Администрация президента» по г. Москва, п р и к а з ы в а ю:
1) Провести внутреннею проверку информационных систем персональных данных в срок до 2018 г.
2) Результаты внутренней проверки отразить в Отчете по результатам проведения внутренней проверки. В Отчете должны быть отражены:
а) Состав и структура объектов защиты.
б) Конфигурация и структура информационных систем персональных данных.
в) Информация о разграничении прав доступа к обрабатываемым персональным данным»
г) Режим обработки персональных данных.
д) Выявленные угрозы безопасности персональных данных.
е) Перечень мероприятий обеспечивающих защиту персональных данных.
ж) Перечень применяемых средств защиты информации, эксплуатационной и технической документации к ним.
3) Провести классификацию информационных систем персональных данных.
4) В целях проведения классификации информационных систем Учреждения,
создать комиссию в составе:
Председатель комиссии
Богачев А. А. — начальник отдела безопасности
5) Комиссии по классификации информационных систем персональных данных в срок до 30 ноября 2017 г. провести классификацию информационных систем персональных данных, функционирующих в Инспекции, в соответствии с порядком, утвержденным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008г. №55/86/20.
6) Итоги классификации отразить в Акте классификации информационной системы персональных данных.
7) Контроль за исполнением настоящего приказа возложить на начальника отдела информатизации.
Начальник ППО
«Администрация президента Путин В. В. ___________
(подпись)
25. Должностная инструкция администратора ИСПДн
УТВЕРЖДАЮ
Начальник ППО «Администрация президента»
по г. Москва
А. А. Путин
от «____» сентября 2017 г.
№ ______
Должностная инструкция
ответственного за обеспечение безопасности персональных данных в информационных системах
Комсомольск-на-Амуре
2017
Содержание
Общие положения
1.1. Ответственный за обеспечение безопасности ИСПДн (далее — Администратор) назначается приказом руководителя организации, на основании Положение о разграничении прав доступа к обрабатываемым персональным данным.
1.2. Администратор подчиняется начальнику отдела безопасности
1.3. Администратор в своей работе руководствуется настоящей инструкцией, Концепцией и Политикой информационной безопасности, руководящими и нормативными документами ФСТЭК России и регламентирующими документами.
1.4. Администратор отвечает за поддержание необходимого уровня безопасности объектов защиты.
1.5. Администратор безопасности является ответственным должностным лицом Организации, уполномоченным на проведение работ по технической защите информации и поддержанию достигнутого уровня защиты ИСПДн и ее ресурсов на этапах промышленной эксплуатации и модернизации.
1.6. Администратор безопасности должен иметь специальное рабочее место, размещенное в здании Организации так, что бы исключить несанкционированный доступ к нему посторонних лиц и других пользователей.
1.7. Рабочее место Администратора безопасности должно быть оборудовано средствами физической защиты (личный сейф, железный шкаф или другое), подключением к ИСПДн, а так же средствами контроля за техническими средствами защиты.
1.8. Администратор безопасности осуществляет методическое руководство Операторов и Администраторов ИСПДн, в вопросах обеспечения безопасности персональных данных.
1.9. Требования администратора информационной безопасности, связанные с выполнением им своих должностных обязанностей, обязательны для исполнения всеми пользователями ИСПДн.
1.10. Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ИСПДн, состояние и поддержание установленного уровня защиты ИСПДн.
2 Должностные обязанности
Администратор безопасности обязан:
2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
2.2. Осуществлять установку, настройку и сопровождение технических средств защиты.
2.3. Участвовать в контрольных и тестовых испытаниях и проверках элементов ИСПДн.
2.4. Участвовать в приемке новых программных средств.
2.5. Обеспечить доступ к защищаемой информации пользователям ИСПДн согласно их правам доступа при получении оформленного соответствующим образом разрешения.
2.6. Уточнять в установленном порядке обязанности пользователей ИСПДн по обработке объектов защиты.
2.7. Вести контроль над процессом осуществления резервного копирования объектов защиты.
2.8. Осуществлять контроль над выполнением Плана мероприятий по защите персональных данных.
2.9. Анализировать состояние защиты ИСПДн и ее отдельных подсистем.
2.10. Контролировать неизменность состояния средств защиты их параметров и режимов защиты.
2.11. Контролировать физическую сохранность средств и оборудования ИСПДн.
2.12. Контролировать исполнение пользователями ИСПДн введенного режима безопасности, а так же правильность работы с элементами ИСПДн и средствами защиты.
2.13. Контролировать исполнение пользователями парольной политики.
2.14. Контролировать работу пользователей в сетях общего пользования и (или) международного обмена.
2.15. Своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений.
2.16. Не допускать установку, использование, хранение и размножение в ИСПДн программных средств, не связанных с выполнением функциональных задач.
2.17. Не допускать к работе на элементах ИСПДн посторонних лиц.
2.18. Осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ИСПДн.
2.19. Оказывать помощь пользователям ИСПДн в части применения средств защиты и консультировать по вопросам введенного режима защиты.
2.20. Периодически представлять руководству отчет о состоянии защиты ИСПДн и о нештатных ситуациях на объектах ИСПДн и допущенных пользователями нарушениях установленных требований по защите информации.
2.21. В случае отказа работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.
2.22. Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.
Начальник отдела безопасности Богачев А. А ________________
(подпись)
Начальник Организации Путин В. В. ________________
(подпись)
26. ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ
Приложение №2
УТВЕРЖДАЮ
Начальник ППО «Администрация президента»
по г. Москва
А. А. Путин
от «____» сентября 2017 г.
№ ______
ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ
при работе со средствами вычислительной техники (СВТ), с информационными ресурсами первичной профсоюзной организации «Администрация президента» по г. Москва по соблюдению безопасности персональных данных при их обработке.
1. Общие положения
— Инструкция предназначена для работников структурных подразделений первичной профсоюзной организации «администрация президента» по г. Москва (далее — Организация), выполнение должностных обязанностей которых связано с использованием персональных компьютеров, и определяет их полномочия, обязанности и ответственность по обеспечению сохранности и защите персональных данных при их обработке в информационных системах.
— Настоящая Инструкция разработана в соответствии с Федеральным законом РФ от 27 июля 2006 г. №152-ФЗ «О персональных данных»; Постановлением Правительства РФ от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Рекомендациями по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными заместителем директора ФСТЭК России 15 февраля 2008 г.; Основными мероприятиями по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденными заместителем директора ФСТЭК России 15 февраля 2008 г., а также, приказами и распоряжениями ППО «Администрация президента». ППО «Администрация президента» по г. Москва (далее — Организация).
— Положения данной инструкции распространяются на всех пользователей CBT Организации. Пользователь должен неукоснительно соблюдать положения данной Инструкции, а также положения других нормативных документов, регламентирующих порядок его работы;
— Пользователь должен помнить, что при непрерывной работе на СВТ в течении рабочего дня, через каждый час работы необходимо вводить перерыв на 5—10 мин., а через два часа 15 мин.
— Пользователь берет на себя обязательство по обеспечению безопасности персональных данных при работе с информационными ресурсами в процессе выполнения служебных обязанностей. Указанные обязательства пользователя оформляются письменно и хранятся в отделе кадрового обеспечения Организации.
— К работе с информационными ресурсами пользователь допускается только после соответствующего инструктажа сотрудниками отдела безопасности Организации.
— Пользователь должен быть под роспись ознакомлен с настоящей Инструкцией.
Строго соблюдать относящиеся к непосредственной деятельности требования по обеспечению безопасности персональных данных при обработке персональных данных установленные:
— Федеральным законом РФ от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
— Постановлением Правительства РФ от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
— приказом ППО «Администрация президента» от 17.11.2006 № САЭ-3-13/794дсп «Об утверждении Порядка обмена документами, содержащими конфиденциальную информацию»
— «Концепцией системы защиты персональных данных в информационных системах персональных данных типовых объектов информатизации ППО „Администрация президента“ по г. Москва».
2. Обязанности пользователя
Пользователь СВТ и ЛВС Организации обязан:
— Строго соблюдать относящиеся к непосредственной деятельности требования по обеспечению безопасности персональных данных при обработке персональных данных установленные:
— Федеральным законом РФ от 27 июля 2006 г. №152-ФЗ «О персональных
данных»;
— Постановлением Правительства РФ от 17 ноября 2007 г. №781 «Об утверждении
Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказом ППО «Администрация президента» от 17.11.2006 № САЭ-3-13/794дсп «Об утверждении Порядка обмена документами, содержащими конфиденциальную информацию»
— «Концепцией системы защиты персональных данных в информационных
системах персональных данных типовых объектов информатизации первичной профсоюзной организации «Администрация президента» (по мере ее разработки, утверждения и доведения до работников Организации);
— Строго выполнять требования ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных Организации (далее администратор информационной безопасности) в части обеспечения безопасности и защиты информации;
— Строго выполнять требования сотрудников 5 отдела информационных технологий при эксплуатации СВТ, ЛВС и информационных ресурсов Организации;
— В случае обнаружения сбоев в работе СВТ или ЛВС, а также любых других фактов, расцениваемых как признаки нарушения информационной безопасности, незамедлительно сообщать администратору информационной безопасности.
— Строго соблюдать установленный порядок обращения с конфиденциальной информацией;
— В тайне хранить свои реквизиты доступа в ЛВС и. информационные ресурсы (программы) Организации;
— Немедленно докладывать администратору информационной безопасности Организации или в отдел безопасности Организации об утрате своих реквизитов доступа, о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, в том числе персональных данных, а также о причинах и условиях возможной утечки таких сведений;
— Немедленно сообщать в отдел безопасности о ставших ему известных попытках третьих лиц получить сведения о защищаемой конфиденциальной информации, в том числе персональных данных или реквизитах доступа к ЛВС или информационным ресурсам;
— Перед включением СВТ и периферийного оборудования (принтеров, сканеров, источников бесперебойного питания, сетевого оборудования и т.д.) необходимо убедиться в отсутствии видимых повреждений СВТ (корпуса монитора, системного блока), периферийного оборудования, соединительных кабелей и т. д. При обнаружении неисправностей необходимо сообщить в отдел информационных технологий;
— После завершения работы с СВТ пользователи обязаны отключить от источника электропитания системный блок, монитор и периферийное оборудование, отключив вилку кабеля питания от электрической розетки;
— Обязательно блокировать доступ к своей рабочей станции покидая рабочее место средствами операционной системы или любым другим способом (например одновременным нажатием клавиш Ctrl, Alt, Del);
— Работать в ЛВС Организации только под своим сетевым именем и паролем;
— Хранить всю информацию с пометкой «Для служебного пользования» только на личном сетевом ресурсе (диск G);
— Располагать видеомониторы таким образом, чтобы никто (посетители и из окон близлежащих зданий) не мог видеть выводимую на них информацию;
— Копировать информацию на внешние магнитные и оптические носители (дискеты и диски), только после их учета (регистрации) в специальном журнале;
— В указанный срок (каждые 30 дней) менять пароль в ЛВС Организации;
— Во время ввода пароля исключить возможность его просмотра другими лицами;
— При возникновении необходимости продления времени работы в компьютерной сети предоставлять в отдел безопасности служебную записку с визами начальника отдела, начальника Организации или его заместителя, с указанием Ф. И. О., сетевого имени сотрудника, даты и времени работы в сети;
— По уходу в отпуск предоставлять служебную записку в отдел безопасности от начальника отдела с указанием времени продолжительности отпуска, Ф.И.О. и сетевого имени пользователя;
— Предоставлять администратору информационной безопасности реквизиты доступа в ЛВС или информационные ресурсы Организации при проведении контрольно-проверочных мероприятий с последующей их заменой.
— Знать и строго выполнять правила работы со средствами защиты персональных данных, установленными на АРМ пользователя
— При работе с СВТ или в ЛВС Организации пользователям категорически запрещается:
— Вскрывать корпус монитора или периферийного оборудования, перемещать или вскрывать системный блок компьютера;
— Отключать или подключать к системному блоку монитор, клавиатуру, мышь, периферийное или иное оборудование и устройства;
— Приносить на рабочее место СВТ или носители информации к ним, а так же оборудование, позволяющее производить информационный обмен с СВТ, не принадлежащее Организации, изменять системные настройки СВТ;
— Размещать рядом и на СВТ емкости с жидкостью, цветы;
— Самостоятельно создавать и удалять ярлыки на рабочем столе ПЭВМ;
— Покидать рабочее место, не заблокировав рабочую станцию (например одновременным нажатием клавиш Ctrl, Alt, Del);
— Передавать другим лицам, в том числе сотрудникам отдела свое сетевое имя и пароли для регистрации в ЛВС Организации или информационных ресурсах (программах);
— Хранить сетевые имена и пароли для доступа в легкодоступных местах (клавиатура, системный блок, принтер, бумажные носители и т.д.);
— Работать в компьютерной сети Организации или в программах под чужим именем и паролем;
— Устанавливать новое или модифицировать имеющееся прикладное, операционное, сетевое и другое программное обеспечение;
— Хранить на локальных дисках (C,D), на любых сетевых дисках, а также запускать на ПЭВМ не относящееся к служебной деятельности (принесенные на своих носителях программы, компьютерные игры, фильмы, музыку и т.д.);
— Хранить информацию с пометкой «Для служебного пользования» на локальных (С, D) и любых сетевых дисках за исключением личного сетевого ресурса (диск G);
— Копировать информацию на незарегистрированные внешние магнитные и оптические носители (дискеты и диски);
— Выносить за пределы Организации на любых носителях (на бумажных носителях. дискетах, дисках, Flash-картах и т.п.) служебную информацию, как с пометкой «Для служебного пользования», так и без нее;
— Разглашать защищаемые сведения конфиденциального характера, в том числе ставшие ему известными персональные данные налогоплательщиков и работы и кое Организации, сведения о функционировании ЛВС и порядке обеспечения безопасности при работе с СВТ и ЛВС Организации.
4. Регламент работы пользователей в компьютерной сети Организации
4.1. Время работы в компьютерной сети ежедневно в рабочие дни с 7ч.00мин.- 18ч.00мин.
4.2. На время отпуска сетевое имя и пароль пользователя блокируются администратором информационной безопасности.
5. Действия пользователей в исключительных случаях
5.1.Немедленно отключить СВТ, монитор и периферийное оборудование от источника электропитания, вынув вилку кабеля питания из электрической розетки и обратиться в отдел информационных технологий в следующих случаях:
— когда внутрь корпуса системного блока ЭВМ, монитора или периферийного оборудования была пролита жидкость;
— когда системный блок ЭВМ или монитор или периферийное оборудование были уронены, или был поврежден их корпус;
— при возникновении сильного шума, появлении запаха гари, дыма, открытого пламени;
5.2.В случае, когда поврежден или обгорел кабель электропитания СВТ или кабель, с помощью которого монитор подключается к системному блоку ЭВМ для отключения вызвать электрика или специалиста отдела информационных технологий.
6. Ответственность за нарушение Правил работы с СВТ и ЛВС
— Несоблюдение положений данной Инструкции, за что пользователь несет персональную ответственность, является дисциплинарным проступком, а за разглашение конфиденциальной информации может быть привлечен к ответственности в установленном законодательством Российской Федерации порядке.
После знакомства с инструкцией, данная инструкция хранится у руководителя подразделения Организации.
С инструкцией ознакомлен (а):
_______________________ _____________________________
(подпись) (ф.и.о. работника)
_______________________ _____________________________
(подпись) (ф.и.о. работника)
_______________________ _____________________________
(подпись) (ф.и.о. работника)
_______________________ _____________________________
(подпись) (ф.и.о. работника)
27. Журнал учета обращений суб ПДн
УТВЕРЖДАЮ
Начальник ППО «Администрация президента»
по г. Москва
В. В. Путин
от «____» сентября 2017 г.
№ ______
Журнал учета ОБРАЩЕНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ О ВЫПОЛНЕНИИ ИХ ЗАКОННЫХ ПРАВ, ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИСПДН Первичной профсоюзной организации «Администрация президента» по г. Москва
Секретарь Дементьева О. В.
28. форма Т-2 ЛИЧНАЯ КАРТОЧКА работника
Унифицированная форма № Т-2
Утверждена Постановлением Госкомстата России
от 05.01.2004 №1
(наименование организации)
Бесплатный фрагмент закончился.
Купите книгу, чтобы продолжить чтение.