МКУ «УПРАВЛЕНИЕ ПО КУЛЬТУРЕ ТАЛОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА» ПРИКАЗ от 22 февраля 2017 года № 27 р.п. Таловая Об утверждении документов, регламентирующих обработку и обеспечение безопасности персональных данных В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», руководящими документами ФСТЭК Российской Федерации и другими нормативными правовыми документами по вопросам использования и защиты информационных ресурсов, содержащих персональные данные: 1. Утвердить прилагаемые: 1.1. Перечни персональных данных, обрабатываемых в МКУ «Управление по культуре Таловского муниципального района», в связи с реализацией трудовых отношений, а также в связи с оказанием государственных (муниципальных) услуг и осуществлением государственных (муниципальных) функций (приложение № 1); 1.2. Инструкция при возникновении чрезвычайных ситуаций в ИСПДн МКУ «Управление по культуре Таловского муниципального района» (приложение № 2); 1.3. Инструкция по организации антивирусной защиты в ИСПДн «Бухгалтерия», «Кадры» МКУ «Управление по культуре Таловского муниципального района» (приложение № 3); 1.4. Инструкция пользователю автоматизированных систем ИСПДн МКУ «Управление по культуре Таловского муниципального района» (приложение № 4); 1.5. Инструкция по организации парольной защиты в ИСПДн «Бухгалтерия», «Кадры» МКУ «Управление по культуре Таловского муниципального района» (приложение № 5); 1.6. Инструкция о порядке технического обслуживания и ремонта технических средств ИСПДн МКУ «Управление по культуре Таловского муниципального района» (приложение № 6); 1.7. Регламент учета, хранения и уничтожения машинных носителей персональных данных в МКУ «Управление по культуре Таловского муниципального района» (приложение № 7). 2. Контроль за исполнением настоящего приказа оставляю за собой. Руководитель Н.В. Литвинова Приложение 1 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 27 Перечни персональных данных, обрабатываемых в МКУ «Управление по культуре Таловского муниципального района», в связи с реализацией трудовых отношений, а также в связи с оказанием государственных (муниципальных) услуг и осуществлением государственных (муниципальных) функций. 1. Информационная система персональных данных «Кадры» МКУ «Управление по культуре Таловского муниципального района». Цель: ведение кадровой работы. Состав обрабатываемых персональных данных: Состав персональных данных Категория персональных данных Специ альные Биометрии ческие Обще доступные Иные Фамилия, имя, отчество - - -  Число, месяц, год рождения - - -  Место рождения - - -  Адрес (адрес регистрации, фактического проживания) - - -  Семейное положение  Социальное положение  Имущественное положение  Гражданство - - -  Образование - - -  Профессия - - -  Владение иностранными языками - - -  Судимость - - -  Допуск к государственной тайне - - -  Выполняемая работа с начала трудовой деятельности - - -  Награды и знаки отличия - - -  Близкие родственники (степень родства, фамилия, имя, отчество, год, число, месяц и место рождения, место работы, домашний адрес) - - -  Пребывание за границей - - -  Отношение к воинской обязанности, воинское звание (военный билет) - - -  Номер телефона - - -  Документ, удостоверяющий личность (вид документа, серия, номер, кем и когда выдан) - - -  Наличие заграничного паспорта (серия, номер, кем и когда выдан) - - -  Номер страхового свидетельства обязательного пенсионного страхования - - -  Идентификационный номер налогоплательщика (ИНН) - - -  Сведения о доходах, об имуществе и обязательствах имущественного характера  Фотоизображение -  -  2. Информационная система персональных данных «Бухгалтерия» МКУ «Управление по культуре Таловского муниципального района». Цель: ведение бухгалтерского учета, отчетности, начисления заработной платы, предоставление сведений в ФНС, ПФР, ФСС и т.д. Состав обрабатываемых персональных данных: Состав персональных данных Категория персональных данных Специ альные Биометрии ческие Обще доступные Иные Фамилия, имя, отчество - - -  Число, месяц, год рождения - - -  Место рождения - - -  Адрес (адрес регистрации, фактического проживания) - - -  Семейное положение  Гражданство - - -  Профессия  Документ, удостоверяющий личность (вид документа, серия, номер, кем и когда выдан) - - -  Номер страхового свидетельства обязательного пенсионного страхования - - -  Идентификационный номер налогоплательщика (ИНН) - - -  Сведения о доходах, об имуществе и обязательствах имущественного характера - - -  Руководитель МКУ «Управление по культуре Таловского муниципального района» Н.В. Литвинов Приложение 2 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 27 Инструкция при возникновении чрезвычайных ситуаций в ИСПДн МКУ «Управление по культуре Таловского муниципального района» 1. Общие положения Настоящая Инструкция определяет возможные аварийные ситуации, связанные с функционированием ИСПДн, меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн после возникновений аварийных ситуаций. Задачей данной Инструкции является: 1) определение мер защиты от прерывания работоспособности; 2) определение действий восстановления в случае прерывания. Действие настоящей Инструкции распространяется на всех пользователей, имеющих доступ к ресурсам ИСПДн, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе: 1) системы жизнеобеспечения; 2) системы обеспечения отказоустойчивости; 3) системы резервного копирования и хранения данных; 4) системы контроля физического доступа. Пересмотр настоящего документа осуществляется по мере необходимости. В настоящем документе под аварийной ситуацией понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн. Аварийная ситуация становится возможной в результате реализации одной из угроз, приведенных ниже: 1) технологические угрозы (пожар в здании, повреждение водой, взрыв, химический выброс в атмосферу); 2) внешние угрозы (массовые беспорядки, сбои общественного транспорта, эпидемия, массовое отравление персонала); 3) стихийные бедствия (удар молнии, сильный снегопад, сильные морозы, просадка грунта с частичным обрушением здания, затопление водой в период паводка, наводнение, вызванное проливным дождем, торнадо); 4) телекоммуникационные и информационно-технические угрозы (сбой системы кондиционирования, сбой ИТ – систем); 5) угроза, связанная с человеческим фактором (ошибка персонала, имеющего доступ к серверной, нарушение конфиденциальности, целостности и доступности конфиденциальной информации); 6) угрозы, связанные с внешними поставщиками (отключение электроэнергии, сбой в работе интернет-провайдера, физический разрыв внешних каналов связи). 7) все действия в процессе реагирования на аварийные ситуации, возникающие в ИСПДн, должны документироваться администратором безопасности. В кратчайшие сроки, не превышающие одного рабочего дня, ответственные за реагирование сотрудники (Администратор и пользователи ИСПДн) предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с вышестоящим руководством. По необходимости, иерархия может быть нарушена, с целью получения высококвалифицированной консультации в кратчайшие сроки. 2. Уровни реагирования на инцидент При реагировании на инцидент, важно, чтобы пользователь правильно классифицировал критичность инцидента. Критичность оценивается на основе следующей классификации: 1) Незначительный инцидент. Незначительный инцидент определяется как локальное событие с ограниченным разрушением, которое не влияет на общую доступность элементов ИСПДн и средств защиты. Эти инциденты решаются пользователями и администратором безопасности ИСПДн. Сбой программного обеспечения. Администратор безопасности выясняет причину сбоя программного обеспечения (далее – ПО). Если исправить ошибку своими силами (в том числе после консультации с разработчиками ПО) не удалось, копия акта и сопроводительных материалов (а также файлов, если это необходимо) направляются разработчику ПО. Отключение электричества. Администратор безопасности проводит анализ на наличие потерь и (или) разрушения данных и ПО, а так же проверяет работоспособность оборудования. В случае необходимости, производится восстановление ПО и данных из последней резервной копии с составлением акта. Потеря данных. При обнаружении потери данных администратор безопасности проводит мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность ПО, целостность и работоспособность оборудования и др.). При необходимости, производится восстановление ПО и данных из резервных копий с составлением акта. Обнаружена утечка информации (уязвимость в системе защиты). При обнаружении утечки информации ставится в известность администратор безопасности и начальник подразделения. Проводится служебное расследование. Если утечка информации произошла по техническим причинам, проводится анализ защищённости системы и, если необходимо, принимаются меры по устранению уязвимостей и предотвращению их возникновения. Физическое повреждение ПЭВМ. Ставится в известность администратор безопасности. Проводится анализ на утечку или повреждение информации. Определяется причина повреждения ПЭВМ и возможные угрозы безопасности информации. В случае возникновения подозрения на целенаправленный вывод оборудования из строя проводится служебное расследование. Проводится проверка ПО на наличие вредоносных программ-закладок, целостность ПО и данных. Проводится анализ электронных журналов. При необходимости проводятся меры по восстановлению ПО и данных из резервных копий с составлением акта. 2) Авария. Любой инцидент, который приводит или может привести к прерыванию работоспособности отдельных элементов ИСПДн и средств защиты. Эти инциденты решаются администратором безопасности совместно с руководством. К авариям относятся следующие инциденты: 1) отказ элементов ИСПДн и средств защиты из-за повреждения водой, сбоя системы кондиционирования; 2) отсутствие администратора безопасности более чем на сутки из-за химического выброса в атмосферу, сбоев общественного транспорта, эпидемии, массового отравления персонала, сильного снегопада, торнадо, сильных морозов. 3) Катастрофа. Любой инцидент, приводящий к полному прерыванию работоспособности всех элементов ИСПДн и средств защиты, а также к угрозе жизни пользователей ИСПДн, классифицируется как катастрофа. Обычно к катастрофам относят обстоятельства непреодолимой силы (пожар, взрыв), которые могут привести к неработоспособности ИСПДн и средств защиты на сутки и более. К катастрофам относятся следующие инциденты: 1) пожар в здании; 2) взрыв; 3) просадка грунта с частичным обрушением здания; 4) массовые беспорядки. 3. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения аварийных ситуаций, такие как: 1) системы жизнеобеспечения; 2) системы обеспечения отказоустойчивости; 3) системы резервного копирования и хранения данных; 4) системы контроля физического доступа. Системы жизнеобеспечения ИСПДн включают: 1) пожарные сигнализации и системы пожаротушения; 2) системы вентиляции и кондиционирования; 3) системы резервного питания. Помещения, в которых размещаются элементы ИСПДн и средства защиты должны быть оборудованы средствами пожарной сигнализации и пожаротушения. Администратор безопасности ознакомляет всех пользователей, находящихся в его зоне ответственности, с данной инструкцией в срок, не превышающий 3-х рабочих дней с момента выхода нового сотрудника на работу. Должно быть проведено обучение сотрудников, имеющих доступ к ресурсам ИСПДн, порядку действий при возникновении аварийных ситуаций. Должностные лица должны получить базовые знания в следующих областях: 1) оказание первой медицинской помощи; 2) пожаротушение; 3) эвакуация людей; 4) защита материальных и информационных ресурсов; 5) методы оперативной связи со службами спасения и лицами, ответственными за реагирование сотрудниками на аварийную ситуацию; 6) выключение оборудования, электричества, водоснабжения, газоснабжения. Администратор безопасности ИСПДн должен быть дополнительно обучен методам частичного и полного восстановления работоспособности элементов ИСПДн. Навыки и знания должностных лиц по реагированию на аварийные ситуации должны регулярно проверяться. При необходимости должно проводиться дополнительное обучение должностных лиц порядку действий при возникновении аварийной ситуации. Сроки и порядок их обучения согласуется с Администратором безопасности. Приложение 3 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017года № 27 Инструкция по организации антивирусной защиты в ИСПДн «Бухгалтерия», «Кадры» МКУ «Управление по культуре Таловского муниципального района» 1. Общие положения Компьютерный вирус является разрушающей программной закладкой и характеризуется значительным деструктивным потенциалом для программ, данных и любой информации, хранящейся на компьютерах и магнитных носителях. Особую опасность представляет то обстоятельство, что компьютерные вирусы могут скрытно и постепенно уничтожать, либо мгновенно разрушать хранящуюся в компьютере и на носителях информацию, при этом также могут пострадать аппаратные средства. Основными путями вирусного вторжения являются неквалифицированное обращение пользователей с компьютерной техникой при использовании ими зараженных носителей и программ, либо целенаправленное спланированное воздействие извне с использованием компьютерных вирусов. При любых обстоятельствах это затрагивает вопросы защиты информации и интересы МКУ «Управление по культуре Таловского муниципального района». 2. Порядок, обеспечивающий безопасную работу на компьютере и с носителями информации 1. Вновь поступающее программное обеспечение должно быть подвергнуто входному контролю – проверке на отсутствие вирусов и проверке соответствия длины и контрольных сумм, если таковые указаны в сопроводительных документах, полученным длинам и контрольным суммам. 2. Допуск сотрудников к самостоятельной работе на компьютерах и с внешними носителями осуществляется только после овладения ими навыками работы с компьютером, антивирусными пакетами программ. 3. На компьютерах может использоваться программное и аппаратное обеспечение, необходимое только для выполнения служебной деятельности. Запрещается использовать на компьютерах программные и аппаратные средства, не согласованные с целями обработки информации ограниченного доступа. 4. В обязательном порядке должен быть установлен и активирован пакет антивирусных программ. Ответственность за это несет администратор безопасности ИСПДн. Установка средств антивирусного контроля (в том числе настройка параметров средств антивирусного контроля) осуществляется в соответствии с руководствами по применению конкретных антивирусных средств. Антивирусные средства устанавливаются при вводе в эксплуатацию ИСПДн или при их плановой замене. 5. Периодически пользователь проверяет его дисковое пространство с использованием антивирусного пакета программ на возможное наличие компьютерного вируса. 6. Пользователь (в случае необходимости совместно с администратором безопасности) обязан проводить антивирусный контроль любой электронной информации (текстовые файлы любых форматов, файлы данных, исполняемые файлы, архивируемые/разархивируемые файлы и т.д.), получаемой на съемных носителях (магнитных дисках, оптических носителях, Flash - память и т.п.). 7. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь обязан: 1) приостановить работу; 2) немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора безопасности ИСПДн, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе; 3) совместно с администратором безопасности провести анализ необходимости дальнейшего использования зараженных вирусом файлов; 3) провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь администратора безопасности). 3. Ответственность Ответственность за поддержание установленного порядка проведения антивирусного контроля возлагается на администратора безопасности ИСПДн. Пользователь и администратор безопасности несут ответственность за качество и своевременность выполнения задач и функций, возложенных на них в соответствии с настоящей Инструкцией. Приложение 4 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 27 Инструкция пользователю автоматизированных систем ИСПДн МКУ «Управление по культуре Таловского муниципального района» Допуск пользователей для работы в ИСПДн «Бухгалтерия», «Кадры» осуществляется в соответствии с приказом руководителя МКУ «Управление по культуре Таловского муниципального района» и разрешительной системой доступа. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам компьютера. При этом для хранения файлов, содержащих конфиденциальную информацию, разрешается использовать только специально выделенные каталоги на несъемных носителях информации, а также соответствующим образом учтенные съёмные носители информации. Присвоение пользователю полномочий доступа к ресурсам компьютера, состав необходимого системного и прикладного программного обеспечения для решения поставленных задач и определение возможного времени работы пользователя в ИСПДн «Бухгалтерия», «Кадры» осуществляется при первичной регистрации пользователя специалистом защиты информации. Пользователь отвечает за правильность включения и выключения технических средств и систем, входа в систему и все действия при работе в ИСПДн. Вход пользователя в систему осуществляется на основе ввода имени, присвоенного при первичной регистрации и ввода личного пароля. Требования к парольной защите определяется инструкцией по парольной защите. В целях предотвращения несанкционированного доступа посторонних лиц к ресурсам пользователя осуществляется периодическая (раз в месяц) замена пароля постоянного пользователя. Замена личного пароля осуществляется пользователем самостоятельно. При работе со съемными носителями информации пользователь каждый раз перед началом работы обязан проверить их на наличие вирусов с использованием установленных антивирусных программ, в соответствии с Инструкцией по антивирусной защите. Пользователь обязан: 1) знать и строго выполнять установленные правила и обязанности по доступу к защищаемым ресурсам и соблюдению принятого режима информационной безопасности; 2) обеспечить правильность вводимых данных; 3) своевременно сообщать специалисту по защите информации об изменениях статуса пользователя; 4) незамедлительно сообщить специалисту по защите информации факты выявления инцидентов с доступом к конфиденциальной информации. 5) В процессе работы пользователю запрещается: 6) использовать для постоянного хранения и обработки конфиденциальной информации каталоги несъемных носителей информации, за исключением выделенных каталогов; 7) осуществлять попытки несанкционированного доступа к ресурсам операционной системы; 8) в рамках выделенных ресурсов и полномочий доступа к ним обрабатывать информацию с уровнем конфиденциальности, выше заявленного при регистрации; 9) пытаться подменять функции администратора по перераспределению времени работы и полномочий доступа к ресурсам компьютера; 10) покидать помещение с незаблокированной учетной записью; 11) отключать установленные средства защиты информации; 12) использовать машинные носители без их предварительной проверки антивирусными средствами; 13) устанавливать программное обеспечение; 14) менять параметры конфигурации ранее установленных программных средств; 15) использовать пароль, предоставленный специалистом по защите информации для первоначального доступа в качестве постоянного рабочего пароля; 16) использование различными пользователями одной и той же учетной записи, даже если пользователи имеют одинаковые полномочия по доступу; 17) запрещается передавать в любом виде или сообщать идентификаторы и пароли для доступа другим лицам, в том числе и своим руководителям; 18) хранение пароля на любых твердых носителях, позволяющих другим лицам получить информацию о пароле; 19) использовать информацию, полученную в результате доступа к БД, в целях, не предусмотренных его функциональными обязанностями. Ответственность за сохранность и правильное использование информации, ставшей известной в процессе обработки конфиденциальной информации несет пользователь. Возможность получения технического доступа к конфиденциальной информации не дает права пользователям обработки такой информации, если им не предоставлены права доступа к этой информации. Такие действия рассматриваются как попытки несанкционированного доступа. При выявлении инцидентов с доступом к конфиденциальной информации доступ пользователей к ней может быть ограничен до окончания расследования инцидента, о чем пользователь уведомляется в кратчайшие сроки. По результатам служебного расследования нарушитель может быть лишен прав доступа к конфиденциальной информации, материалы расследования могут быть направлены в соответствующие службы для привлечения нарушителя к ответственности. Пользователь несет ответственность за все действия, совершенные от имени его учетной записи, если не доказан факт несанкционированного использования этой учетной записи. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований: 1) длина пароля должна быть не менее 6 символов; 2) в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.); 3) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.); 4) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 3 позициях; 5) личный пароль пользователь не имеет права сообщать никому. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации. Для генерации «стойких» значений паролей могут применяться специальные программные средства. При наличии технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение специалисту по защите информации. Опечатанные конверты с паролями исполнителей должны храниться в сейфе. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в месяц. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий должна производиться специалисту по защите информации немедленно. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий администраторов и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры по внеплановой смене паролей. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации. При нарушениях пользователем правил, связанных с информационной безопасностью, он несет ответственность, установленную действующим законодательством Российской Федерации. Приложение 5 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 27 Инструкция по организации парольной защиты в ИСПДн «Бухгалтерия», «Кадры» МКУ «Управление по культуре Таловского муниципального района» Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в ИСПДн «Бухгалтерия», «Кадры», а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями. 1. Порядок парольной защиты 1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в ИСПДн и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на специалиста по защите информации. 2. Личные пароли должны генерироваться и распределяться централизованно с учетом следующих требований: - длина пароля должна быть не менее 6 символов; - пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.); - при смене пароля новое значение должно отличаться от предыдущего не менее чем в 3 позициях; - личный пароль пользователь не имеет права сообщать никому. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации. 3. Формирование личных паролей пользователей осуществляется централизованно. Ответственность за правильность их формирования и распределения возлагается на уполномоченного сотрудника - специалиста по защите информации. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления (самих уполномоченных сотрудников, а также руководителей подразделений) с паролями других сотрудников подразделений. 4. Списки паролей в опечатанном виде хранятся в сейфе. 5. Полная плановая смена паролей пользователей должна проводиться регулярно. 6. Внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться по представлению специалиста по защите информации уполномоченными сотрудниками немедленно после окончания последнего сеанса работы данного пользователя с системой. 7. В случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры в соответствии с п.6 настоящей Инструкции. 8. Хранение сотрудником (исполнителем) значений своих паролей на материальном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у руководителя подразделения в опечатанном конверте или пенале (возможно вместе с персональным носителем информации и идентификатором). 9. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены и использования в подразделениях возлагается на специалиста по защите информации. 2. Ответственность Пользователь и специалист по защите информации (администратор безопасности) несут ответственность за качество и своевременность выполнения задач и функций, возложенных на них в соответствии с настоящей Инструкцией. Приложение 6 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 27 Инструкция о порядке технического обслуживания и ремонта технических средств ИСПДн МКУ «Управление по культуре Таловского муниципального района» 1. Общие положения 1.1. Настоящая инструкция определяет правила работ по техническому обслуживанию, ремонту, модернизации технических средств, входящих в состав ИСПДн, защищенных от несанкционированного доступа (НСД) и предназначенных для обработки и хранения персональных данных. 1.2. Данные работы проводятся только с разрешения руководителя МКУ «Управление по культуре Таловского муниципального района» после согласования со специалистом по защите информации ИСПДн. 2. Порядок проведения работ по техническому обслуживанию, ремонту, модернизации 2.1. В случае, когда необходимо провести работы по техническому обслуживанию (ремонту, модернизации) технических средств, входящих в состав ИСПДн, специалист по защите информации ИСПДн представляет служебную записку, в которой: 1) указывает название (ПЭВМ, технического средства, системы), техническое обслуживание (ремонт, модернизацию) которой необходимо провести и с какой целью; 2) обосновывает необходимость технического обслуживания (модернизации); 3) указывает планируемые место и сроки работ, режим их проведения; 4) перечисляет меры безопасности, которые будут реализованы при техническом обслуживании (ремонте, модернизации) с целью недопущения доступа к персональным данным посторонних лиц. 2.2. В случае если для проведения работ необходимо привлекать лиц, не имеющих постоянного допуска к работе на ПЭВМ или в помещение, составляется список сотрудников, который согласовывается с руководителем. Запрещается выносить технические средства и системы (ТСС), входящие в состав ИСПДн, с территории здания без согласования со специалистом по защите информации ИСПДн и разрешения руководителя. 2.3. При вскрытии печатей и пломб на технических средствах (системах), последующее опечатывание производится комиссионно в присутствии специалиста по защите информации, о чём составляется акт. В акте указывается: 1) номер (название) помещения, в котором проводились работы; 2) дата и время начала и окончания работ; 3) лица, присутствовавшие при вскрытии и обслуживании (ремонте, модернизации); 4) наличие, целостность и места размещения печатей (пломб, специальных защитных знаков) до вскрытия ПЭВМ (технического средства, системы); 5) установленные неисправности; 6) виды и результаты проведенных работ; 7) замененные или отремонтированные узлы (детали), наличие на этих узлах специальных защитных знаков; 8) какими печатями (пломбами и т.д.) и в каких местах ПЭВМ (устройство) опечатано по окончании работ; 9) необходимость проведения дополнительной специальной проверки и специальных исследований (сертификации) ПЭВМ (технического средства, системы) или её отдельных узлов; 10) иная необходимая для дальнейшей работы и обеспечения безопасности информация. 2.4. Если для ремонта (модернизации) ИСПДн (другого технического средства, системы, узла ПЭВМ в составе ИСПДн) необходимо направить в специализированную организацию, то комиссией составляется заключение. 2.5. Перед отправкой ПЭВМ (другого технического средства, системы, узла ПЭВМ) администратор безопасности информации обязан гарантированно удалить персональные данные с жесткого диска и иных устройств памяти ПЭВМ (другого технического средства, системы) сертифицированными средствами, о чем он составляет акт. По запросу из специализированной организации копия акта передаётся и ей. 2.6. В случае если не имеется возможности гарантировано удалить персональные данные с жесткого диска и иных устройств памяти ПЭВМ (другого технического средства, системы) сертифицированными средствами, эти устройства опечатываются и хранятся в ИСПДн с соблюдением требований, предъявляемым к хранению персональных данных. 2.7. Ремонт и замена жесткого диска производится в присутствии администратора безопасности информации. При диагностике и ремонте жесткого диска должны быть реализованы меры безопасности, исключающие несанкционированный доступ к хранящимся на нём данным. Приложение к инструкции о порядке технического обслуживания и ремонта технических средств ИСПДн МКУ «Управление по культуре Таловского муниципального района» АКТ уничтожения съемных носителей персональных данных Комиссия, наделенная полномочиями приказом №________ от ____________ в составе: ________________________________________________________________________________________________________________________________________ (должности, ФИО) провела отбор съемных носителей конфиденциальной информации (персональных данных), не подлежащих дальнейшему хранению: № п/п Дата Учетный номер съемного носителя Примечание Всего съемных носителей_______________________________________(цифрами и прописью) На съемных носителях уничтожена конфиденциальная информация путем стирания ее на устройстве гарантированного уничтожения информации (механического уничтожения, сжигания и т.п.). Перечисленные съемные носители уничтожены путем ____________________________________________________________________ (разрезания, демонтажа и т.п.) ____________________________________________________________________ Председатель комиссии ____________________ Члены комиссии: ____________________ Приложение 7 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 27 Регламент учета, хранения и уничтожения машинных носителей персональных данных в МКУ «Управление по культуре Таловского муниципального района» 1. Общие положения Настоящий Регламент устанавливает порядок учета, хранения и уничтожения машинных носителей информации, содержащих персональные данные в МКУ «Управление по культуре Таловского муниципального района» (далее - Учреждение). Требования настоящего Регламента распространяются на всех сотрудников Учреждения, допущенных к обработке персональных данных. На сотрудников Учреждения, допущенных к обработке персональных данных, возлагается персональная ответственность за выполнение всех обязанностей, возложенных на них в настоящем Регламенте. Ознакомление сотрудников Учреждения с требованиями Регламента осуществляет ответственный за организацию обработки персональных данных в Учреждении. Контроль за соблюдением порядка учета, хранения и уничтожения машинных носителей персональных данных осуществляет ответственный за организацию обработки персональных данных в Учреждении в рамках внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных в Учреждении. 2. Порядок учета машинных носителей персональных данных В Учреждении учет и хранение машинных носителей персональных данных осуществляет ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Учреждения (далее - Ответственный). При смене Ответственного, составляется акт приема-передачи машинных носителей персональных данных и всех журналов учета машинных носителей персональных данных, который утверждается руководителем Учреждения. Учет машинных носителей персональных данных производится в журнале учета машинных носителей персональных данных, листы которого нумеруются, прошиваются и опечатываются. Журнал учета машинных носителей персональных данных вносится в номенклатуру дел и журналов Учреждения с постановкой на инвентарный учет. Форма журнала приведена в приложении к настоящему Регламенту. Машинные носители персональных данных учитываются поэкземплярно, тиражируются только по приказу руководителя Учреждения. На машинных носителях персональных данных в удобном для просмотра месте проставляются следующие учетные реквизиты:  учетный номер;  дата постановки на учет. Ответственный выдает машинные носители персональных данных только сотрудникам Учреждения, допущенным к обработке персональных данных. Машинные носители персональных данных выдаются сотруднику под его личную роспись в журнале учета машинных носителей персональных данных. Перед записью персональных данных на машинный носитель, сотрудник передает его Ответственному для учета. При получении машинного носителя персональных данных из сторонней организации он передается Ответственному для учета, после чего может быть выдан сотрудникам для работы. Движение (выдача и возврат) машинных носителей персональных данных между сотрудниками осуществляется только через Ответственного, с обязательной записью в журнале учета машинных носителей персональных данных. Машинные носители персональных данных пересылаются сторонним организациям с сопроводительным письмом заказным почтовым отправлением. Перед передачей машинного носителя персональных данных другому сотруднику или в сторонние организации для ремонта, технического обслуживания вся информация и остаточные данные с него должны быть уничтожены. 3. Порядок хранения машинных носителей персональных данных Машинные носители персональных данных должны храниться в служебных помещениях Учреждения, в надежно запираемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их физическую сохранность. Запрещается выносить машинные носители персональных данных из служебных помещений без согласования руководителя Учреждения. Машинные носители персональных данных служебная необходимость использования, которых в дальнейшем отсутствует незамедлительно сдаются Ответственному. 4. Порядок уничтожения машинных носителей персональных данных В ходе внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных в Учреждении определяется перечень машинных носителей персональных данных технически не исправных или утративших свое практическое значение и не подлежащих архивному хранению, которые могут быть выведены из эксплуатации. Машинные носители персональных данных, выведенные из эксплуатации, подлежат только физическому уничтожению способом исключающим возможность восстановления информации с них с оформлением акта уничтожения. В журнале учета машинных носителей персональных данных об этом делается отметка со ссылкой на соответствующий акт. Акты уничтожения подписываются Ответственными за организацию обработки и обеспечение безопасности персональных данных в Учреждении и утверждаются руководителем Учреждения. Хранятся акты уничтожения у Ответственного за организацию обработки персональных данных в течение пяти лет. Приложение к регламенту учета, хранения и уничтожения машинных носителей персональных данных Типовая форма журнала учета съемных носителей персональных данных Начат "___" _____ 20__ года на ______ листах Окончен "___" _____ 20__ года ______________________________________________ _______________ Должность и Ф.И.О., ответственного за хранение Подпись № п/п Регистрационный номер/дата Тип/ёмкость машинного носителя персональных данных Номер экземпляра/ количество экземпляров Место установки (использования)/дата установки Ответственное должностное лицо (ФИО) Расписка в получении (ФИО, подпись, дата) Расписка в обратном приеме (ФИО, подпись, дата) Место хранения машинного носителя персональных данных Сведения об уничтожении машинных носителей персональных данных, стирании информации (подпись, дата) 1 2 3 …