Руководства, Инструкции, Бланки

инструкция по допуску лиц в помещения где ведется обработка пдн img-1

инструкция по допуску лиц в помещения где ведется обработка пдн

Категория: Инструкции

Описание

ПОСТАНОВЛЕНИЕ от 28 апреля 2014 года № 51 - Администрация города Куртамыша

ПОСТАНОВЛЕНИЕ от 28 апреля 2014 года № 51

1.1. Настоящая инструкция разработана в целях обеспечения безопасности персональных данных, средств вычислительной техники информационных систем персональных данных, материальных носителей персональных данных, а так же обеспечения внутриобъектового режима.

Объектами охраны Администрации города Куртамыша (далее – Администрация города Куртамыша) являются:

- помещения, в которых происходит обработка персональных данных, как с использованием средств автоматизации, так и без таковых;

- помещения, аттестованные по требованиям безопасности речевой информации (далее – защищаемые помещения (ЗП));

- помещения, в которых установлены компьютеры, сервера и коммутационное оборудование, участвующее в обработке персональных данных;

- помещения, в которых хранятся материальные носители персональных данных;

- помещения, в которых хранятся резервные копии персональных данных.

1.2. Бесконтрольный доступ посторонних лиц в указанные помещения должен быть исключен.

1.3. К следующим категориям объектов охраны Администрации города Куртамыша (далее – спецпомещения) предъявляются ужесточенные требования по безопасности: помещения, в которых установлены криптографические средства, предназначенные для шифрования персональных данных (в том числе носители ключевой информации).

1.4. Ответственность за соблюдение положений настоящей инструкции несут должностные лица Администрации города Куртамыша, обрабатывающие персональные данные.

1.5. Контроль за соблюдением требований настоящей инструкции

Приложение к постановлению Администрации города Куртамыша

от 29 апреля 2014 года № 51

« Об утверждении Инструкции
по допуску лиц в помещения Администрации

города Куртамыша, в которых ведется персональных данных»

обеспечивает Ответственный пользователь криптосредств.
1.6. Некоторые положения данной инструкции могут не применяться в зависимости от специфики обработки персональных данных должностными лицами Администрации города Куртамыша по согласованию с Ответственным за организацию обработки персональных данных.
1.7. Все объекты охраны Администрации города Куртамыша должны быть оборудованы охранной сигнализацией, либо предусматривать круглосуточное дежурство.
1.8. Ограждающие конструкции объектов охраны должны предполагать существенные трудности для нарушителя по их преодолению. Пример: металлические решетки на окнах, металлическая дверь, СКУД и т.д.

2. Допуск в помещения, в которых ведется обработка персональных данных

2.1. Доступ посторонних лиц в помещения, в которых ведется обработка персональных данных, должен осуществляется только ввиду служебной необходимости.

2.2. При этом на момент присутствия посторонних лиц в помещении должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными. Пример: мониторы повернуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке (накрыты чистыми листами бумаги).

2.3. Допуск сотрудников в помещения, в которых ведется обработка персональных данных, оформляется после подписания сотрудником обязательства о неразглашении и инструктажа Ответственного за организацию обработки персональных данных, либо Ответственного за обеспечение безопасности информационных систем персональных данных.

2.4. В нерабочее время помещения, в которых ведется обработка персональных данных, должны ставиться на охрану. При этом все окна и двери в смежные помещения должны быть надежно закрыты, материальные носители персональных данных должны быть убраны в запираемые шкафы (сейфы), компьютеры выключены либо заблокированы.

3. Допуск в серверные помещения

3.1. Доступ в серверные помещения разрешен только Ответственному за техническое обслуживание ИСПДн, Ответственному за обеспечение безопасности информационных систем персональных данных и Ответственному за организацию обработки персональных данных. Уборка серверных помещений происходит только при строгом контроле указанных лиц.

3.2. Серверное помещение в обязательном порядке оснащается охранной сигнализацией, системой видеонаблюдения и системой автономного питания средств охраны.

3.3. Доступ в серверные помещения посторонних лиц допускается строго по согласованию с Ответственным за организацию обработки персональных данных.

3.4. Нахождение в серверных помещениях посторонних лиц без сопровождающего не допустимо.

4. Допуск лиц в спецпомещения

4.1. Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.

4.2. Размещение, специальное оборудование, охрана и организация режима в спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

4.3. Для предотвращения просмотра извне спецпомещений их окна должны быть защищены.

4.4. Спецпомещения, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным по организации. Исправность сигнализации периодически необходимо проверять Ответственному пользователю криптосредств совместно с представителем службы охраны или дежурным по организации с отметкой в соответствующих журналах.

4.5. Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих криптосредства носителей должно быть предусмотрено необходимое количество надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у Ответственного пользователя криптосредств.

4.6. По окончании рабочего дня спецпомещение и установленные в нем хранилища должны быть закрыты, хранилища опечатаны.

4.7. Ключи от спецпомещений, а также ключ от хранилища, в котором находятся ключи от всех других хранилищ спецпомещения, в опечатанном виде должны быть сданы под расписку в соответствующем журнале службы охраны или дежурному по организации одновременно с передачей под охрану самих спецпомещений. Печати, предназначенные для опечатывания хранилищ,

должны находиться у пользователей криптосредств, ответственных за эти хранилища.
4.8. При утрате ключа от хранилища или от входной двери в спецпомещение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает Ответственный пользователь криптосредств.
4.9. В обычных условиях спецпомещения, находящиеся в них опечатанные хранилища могут быть вскрыты только пользователями криптосредств или Ответственным пользователем криптосредств.
При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено Ответственному пользователю криптосредств. Прибывший Ответственный пользователь криптосредств должен оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации персональных данных и к замене скомпрометированных криптоключей.
4.10. Размещение и монтаж криптосредств, а также другого оборудования, функционирующего с криптосредствами, в спецпомещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами.
4.11. На время отсутствия пользователей криптосредств указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае по согласованию с Ответственным пользователем криптосредств необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.

Администрации города Куртамыша

Другие статьи

Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных

Документы, определяющие политику в отношении обработки персональных данных в администрации Артемовского городского округа Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных

ПОРЯДОК
доступаслужащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных

1.Основные положения
1.1 Настоящий Порядок разработан в целях обеспечения безопасности персональных данных при их обработке (в том числе хранении) путем создания условий, затрудняющих

несанкционированный доступ к техническим средствам, участвующим в обработке персональных данных, и материальным носителям персональных данных.
1.2 В терминах настоящего Порядка под правом доступа в помещение понимается возможность посещения помещения без нарушения принятых норм и регламентов, не зависящая от воли других лиц.
1.3 Ознакомлению с настоящим Порядком подлежат все служащиегосударственного или муниципального органа (далее – служащие), имеющие право доступа в помещения администрации Артемовского городского округа (далее – Администрации), в которых установлены технические средства, участвующие в обработке персональных данных, или хранятся материальные носители персональных данных (далее по тексту – помещения, в которых осуществляется обработка персональных данных), а также руководители органов, служащие которых осуществляют обработку персональных данных.
1.4 Настоящий Порядок вступает в силу с момента его утверждения и действует до его отмены либо замены новым Порядком.
2.Организация доступа в помещения, в которых осуществляется обработка персональных данных
2.1.Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
2.2.В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только служащие, уполномоченные на обработку персональных данных.
2.3.Нахождения лиц в помещениях Администрации, не являющихся уполномоченными лицами на обработку персональных данных, возможно только в сопровождении уполномоченного на обработку персональных данных служащего Администрации.
2.4.Доступ в помещения, в которых осуществляется обработка персональных данных, разрешается только в рабочее время.
2.5.Доступ в помещения, в которых осуществляется обработка персональных данных, в нерабочее время возможен только по письменной заявке служащего, согласованной с его непосредственным руководителем и имеющей разрешающую резолюцию главы администрации. Данные заявки хранятся у лица, ответственного за организацию обработки персональных данных в Администрации.
2.6.Последний служащий, покидающий помещение, в котором осуществляется обработка персональных данных, обязан закрыть его на ключ, при этом запрещается оставлять ключ в замке помещения.
2.7.Лица, имеющие право доступа в помещение, в котором осуществляется обработка персональных данных, несут ответственность за недопущение пребывания в помещении служащих Администрации, не имеющих права доступа в данное помещение, и сторонних лиц в отсутствие лиц, имеющих право доступа в данное помещение.
3.Контроль соблюдения порядка доступа в помещения, в которых осуществляется обработка персональных данных
3.1. Контроль соблюдения настоящего Порядка осуществляется лицом, ответственным за организацию обработки персональных данных в Администрации.
3.2. Лицо, ответственное за организацию обработки персональных данных, в случае установления факта нарушения служащим Администрации настоящего Порядка проводит со служащим разъяснительную работу, а в случае неоднократного нарушения – уведомляет главу администрации Артемовского городского округа.

Проверка роскомнадзора по защите персональных данных: как подготовиться

Каждый год компания СКБ Контур проводит конкурс для предпринимателей «Я Бизнесмен », в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока.

Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.

Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать

Как подготовиться к проверке Роскомнадзора?

Анастасия Успенская 1 декабря 2015

Для каждой компании проверка Роскомнадзора по персональным данным — важное событие, к которому стоит подготовиться заранее. Даже если оператор тщательно проработал все вопросы, касающиеся регламентации обработки ПДн в организации, и сформировал пакет необходимых документов, следует убедиться, что не осталось неучтенных мелочей.

Есть восемь моментов, на которые обращает внимание Роскомнадзор.

1. Ознакомление работников

Все сотрудники организации должны быть под подпись ознакомлены с документами, регламентирующими порядок обработки их ПДн, а также устанавливающими их права и обязанности в этой области. В число таких документов входят:

  • Политика в отношении обработки персональных данных;
  • Положение об обработке персональных данных;
  • Положение об обработке персональных данных без использования средств автоматизации.
2. Обучение работников в области защиты персональных данных

Сотрудники, непосредственно занимающиеся обработкой ПДн, кроме вышеуказанных локальных актов должны быть под подпись ознакомлены с:

  • приказом о допуске к обработке ПДн;
  • Положением о порядке доступа в помещения, в которых ведется обработка ПДн;
  • планом проведения внутреннего контроля;
  • приказом об утверждении перечня помещений, в которых ведется обработка;
  • инструкциями: по учету и хранению съемных носителей ПДн; по организации резервного копирования и восстановления в ИСПДн; по учету лиц, допущенных к обработке; по антивирусной защите; по проведению инструктажа лиц, допущенных к работе с ПДн; по проведению внутреннего контроля; по порядку уничтожения и обезличивания ПДн; пользователя ИСПДн; пользователя при возникновении нештатной ситуации.
3. Актуализация уведомления в Роскомнадзор об обработке ПДн

При изменении данных об организации или об обработке ПДн оператор обязан в течение 10 дней с момента таких изменений уведомить об этом Роскомнадзор .

В связи с нововведениями в законе «О персональных данных» с 1 сентября 2015 года оператор теперь обязан уведомлять Роскомнадзор о месте нахождения баз данных ПДн граждан РФ .

С 2016 года Роскомнадзор ужесточит проверки местонахождения ПДн. При проверке оператор будет обязан предъявить договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра (сервера, компьютера) на территории России.

4. Согласие субъектов на обработку ПДн

В отдельных случаях оператор обязан иметь письменное согласие субъекта на обработку его ПДн. Самые распространенные из них:

  • обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
  • обработка биометрических ПДн (нюанс: фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
  • составление общедоступных справочников внутри организации, адресных книг и т п.

При обработке ПДн несовершеннолетних письменное согласие должны давать их родители (законные представители). Форма письменного согласия должна содержать:

  • ФИО, адрес, паспортные данные субъекта ПДн;
  • ФИО, адрес, паспортные данные представителя субъекта ПДн (например, одного из родителей), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
  • наименование (ФИО) и адрес оператора;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых дается согласие;
  • наименование или ФИО и адрес оператора, которому ПДн будут переданы для обработки по поручению;
  • перечень действий, осуществляемых с ПДн (он не должен включать «распространение»);
  • срок, в течение которого действует согласие субъекта ПДн;
  • подпись субъекта ПДн.
5. Поручение обработки третьему лицу

В тех случаях, когда компания передает ПДн другой организации, оказывающей, например, бухгалтерские услуги или услуги ведения кадрового делопроизводства, это должно сопровождаться поручением оператора на обработку ПДн.

Условия по поручению обработки могут быть включены в основной договор с другой организацией либо оформлены дополнительным соглашением к договору.

Поручение оператора содержит:

  • перечень действий с ПДн;
  • цели обработки ПДн;
  • обязанность соблюдения конфиденциальности ПДн;
  • обязанность обеспечения безопасности ПДн;
  • требования к защите ПДн.

При передаче ПДн в банк в рамках зарплатного проекта в договоре компании с банком как минимум должно содержаться требование обеспечения конфиденциальности ПДн. Все остальные условия, как правило, содержатся во внутренних локальных актах кредитной организации.

6. Обработка ПДн на бумажных носителях

Бумажные носители ПДн также должны отвечать ряду требований законодательства:

  • в типовой форме документа или положении/инструкции по его заполнению должны содержаться сведения о цели обработки ПДн, ФИО (наименовании) и адресе оператора, ФИО и адресе субъекта ПДн, источнике получения ПДн, сроке обработки ПДн, перечне действий с ПДн, общее описание используемых оператором способов обработки ПДн;
  • в Положении по неавтоматизированной обработке необходимо перечислить абсолютно все документы, которые создаются в организации и содержат ПДн, с их полными названиями;
  • для всех документов должны быть указаны сроки их хранения;
  • в отношении каждой категории ПДн указываются точные места хранения и перечень должностных лиц, имеющих к ним доступ;
  • если помимо основного офиса у оператора есть филиалы, обособленные подразделения, другие места, в которых обрабатываются ПДн, адреса этих мест четко определяются с указанием перечня лиц, имеющих к ним доступ;
  • материальные носители с ПДн, обрабатываемыми в разных целях, должны храниться в разных местах.

Специалисты Роскомнадзора проверяют и соблюдение сроков хранения документов. Особо внимательно нужно отнестись к ПДн уволенных сотрудников. Если цель обработки ПДн достигнута и нет законных оснований для дальнейшего хранения ПДн, материальные носители ПДн должны быть уничтожены с составлением Акта об уничтожении ПДн. Одним актом можно оформить уничтожение сразу нескольких носителей ПДн.

Отвечая на распространенный вопрос о том, где должны храниться бумажные носители ПДн, стоит отметить, что это могут быть как закрывающиеся на ключ ящики, так и обычные шкафы.

7. Избыточность обрабатываемых персональных данных

Обработка ПДн или копий документов, избыточных к заявленным целям, — это нарушение. Например, в ТК РФ есть исчерпывающий перечень документов, которые поступающий на работу предъявляет работодателю.

8. Публикация Политики

Оператор должен опубликовать Политику в отношении обработки ПДн в общедоступном месте. Если оператор собирает ПДн через свой сайт, то на нем также должен быть размещен этот документ.

Убедитесь в том, что персональные данные в вашей компании защищены

Регламент обеспечения режима безопасности эксплуатации оборудования и помещений, в которых осуществляется работа с персональными данными (ПДн) и прави

Регламент обеспечения режима безопасности эксплуатации оборудования и помещений, в которых осуществляется работа с персональными данными (ПДн) и правила допуска в помещения.

Утверждено приказом Руководителя УСЗН Брединского муниципального района от « 01» декабря 2014 № 85

Регламент обеспечения режима безопасности эксплуатации оборудования и помещений, в которых осуществляется работа с персональными данными (ПДн) и правила допуска в помещения.

1 Для каждого помещения, в котором обрабатываются персональные данные, (далее - ЗП), должен быть назначен соответствующий ответственный за режим безопасности и правильность использования установленных в нем технических средств.

2 Перечень ЗП УСЗН и ответственных за режим безопасности в них утверждает руководитель УСЗН.

3 Ответственный за режим безопасности ЗП несет ответственность за наличие и сохранность имущества, установленного в ЗП.

4 Доступ в помещения, в которых обрабатываются персональные данные, должен предоставляться на основании утвержденного перечня лиц, имеющих право самостоятельного доступа в помещение.

5 Уборка помещения и все регламентные работы должны проводиться под контролем должностного лица, имеющего право самостоятельного доступа в ЗП, согласно Перечню лиц, имеющих право самостоятельного доступа в данное помещение.

6 В рабочее время в помещении обязательно должно присутствовать должностное лицо, имеющее право самостоятельного доступа в ЗП. При отсутствии такового лица нахождение кого-либо в ЗП запрещается и помещение должно закрываться на ключ.

7 При проведении мероприятий по обработке персональных данных двери помещения должны быть закрыты, жалюзи на окнах зашторены, монитор отвернут от посетителей и других посторонних лиц, не имеющих санкционированного доступа к информационной системе УСЗН.

8.Повседневный контроль за выполнением требований по защите ЗП должны осуществлять должностные лица, имеющие право самостоятельного доступа в ЗП.

9.Нахождение в помещениях, в которых ведется обработка и хранение персональных данных лиц, не являющихся работниками УСЗН, уполномоченными на обработку персональных данных согласно приложению к настоящему приказу (далее - работник, уполномоченный на обработку персональных данных), возможно только в присутствии работника, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных, предоставлением государственных услуг, осуществлением государственных функций.

10. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка и хранение персональных данных, возлагается на работника УСЗН, ответственного за организацию обработки персональных данных в структурном отделе УСЗН.

Обнаружив в тексте ошибку, выделите её и нажмите Ctrl+Enter, чтобы сообщить нам.

Образцы(шаблоны) основных документов, регламентирующих обработку ПД

В качестве примера
Министерство здравоохранения и социального развития
Российской Федерации

УТВЕРЖДАЮ
_______________________
_______________________
«__» ____________ 2009 г.


Методические рекомендации для организации защиты информации
при обработке персональных данных в учреждениях здравоохранения, соци-альной сферы, труда и занятости


Приказ о назначении ответственных за обработку персональных данных в информационных системах персональных данных учреждения здравоохранения, социальной сферы, труда и занятости (проект приказа)


СОГЛАСОВАНО
_______________________ ________________
подпись, дата _______________
_______________________ ________________
подпись, дата _______________
_______________________ ________________
подпись, дата _______________


Москва 2009
ПРИКАЗ
«___» _________ 20__г. г. ________________ №_______

О проведении работ по защите персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости

В целях исполнения Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» в учреждениях здравоохранения, социальной сферы, труда и занятости:

П Р И К А З Ы В А Ю:

1) Назначить ответственных за обработку персональных данных в ин-формационных системах персональных данных.
2) Список лиц ответственных за обработку персональных данных должен быть определен на основании Отчета по результатам внутренней проверки.
3) Осуществлять доступ лиц ответственных за обработку персональных данных на основании Положения о разграничении прав доступа к обрабаты-ваемым персональным данным.
4) Разработать и внедрить инструкции пользователей, осуществляющих обработку персональных данных в информационных системах персональных данных.
5) Осуществлять регистрацию обращений субъектов персональных дан-ных в Журнале учета обращений субъектов персональных данных о выполне-нии их законных прав.
6) Контроль за исполнением настоящего приказа возложить на____________________.

ФИО _________________ (____________)
(по


остальное (всего 26 приложений) тож имеется, если у вас этого нет могу выслать