(1).jpg)
Проект Приказа Федеральной службы по аккредитации "Об утверждении организационно-распорядительных документов по обработке и защите персональных данных в Федеральной службе по аккредитации" (подготовлен Росаккредитацией 21.07.2022)
Досье на проект
Пояснительная записка
В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2021, N 27, ст. 5159), постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257), приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Российская газета, 2013, N 136; официальный интернет-портал правовой информации (www.pravo.gov.ru), 2019, 29 мая, N 0001201909160007) приказываю:
1. Утвердить:
Положение об организации обработки и обеспечения безопасности персональных данных в Федеральной службе по аккредитации (приложение N 1);
Инструкцию пользователя информационной системы персональных данных Федеральной службы по аккредитации (приложение N 2);
Инструкцию пользователя средств криптографической защиты информации (приложение N 3);
Инструкцию по организации антивирусной защиты информационных систем персональных данных Федеральной службы по аккредитации (приложение N 4);
Инструкцию по организации парольной защиты информационных систем персональных данных Федеральной службы по аккредитации (приложение N 5);
Инструкцию по организации резервного копирования и восстановления данных в информационных системах персональных данных Федеральной службы по аккредитации (приложение N 6);
Инструкцию по модификации технических и программных средств информационных систем персональных данных Федеральной службы по аккредитации (приложение N 7);
Инструкцию по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных Федеральной службы по аккредитации (приложение N 8);
Инструкцию по работе с информационными ресурсами информационно-коммуникационной сети "Интернет" (приложение N 9);
Инструкцию по порядку учета, хранения и уничтожения машинных носителей персональных данных в Федеральной службе по аккредитации (приложение N 10);
Инструкцию по порядку учета, хранения и уничтожения персональных данных в Федеральной службе по аккредитации (приложение N 11);
Порядок действий при инцидентах информационной безопасности в Федеральной службе по аккредитации (приложение N 12);
Форму журнала учета и выдачи машинных носителей персональных данных в Федеральной службе по аккредитации (приложение N 13);
Форму журнала учета средств защиты информации, эксплуатационной и технической документации к ним в Федеральной службе по аккредитации (приложение N 14);
Форму журнала учета и контроля мероприятий по защите персональных данных в Федеральной службе по аккредитации (приложение N 15);
Форму журнала учета обращений и запросов субъектов персональных данных в Федеральной службе по аккредитации (приложение N 16);
Форму журнала регистрации пользователей средств криптографической защиты информации в Федеральной службе по аккредитации (приложение N 17);
Форму журнала учета пользователей, допущенных к обработке персональных данных в информационных системах персональных данных в Федеральной службе по аккредитации (приложение N 18);
Форму журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним в Федеральной службе по аккредитации (приложение N 19);
Форму журнала инструктажа пользователей по вопросам информационной безопасности в Федеральной службе по аккредитации (приложение N 20);
Форму журнала учета технических средств, участвующих в обработке персональных данных в Федеральной службе по аккредитации (приложение N 21);
Форму акта об уничтожении персональных данных (приложение N 22);
Форму согласия на обработку персональных данных государственных гражданских служащих Федеральной службы по аккредитации (приложение N 23);
Форму акта классификации информационной системы персональных данных Федеральной службы по аккредитации по уровню защищенности персональных данных (приложение N 24).
2. Приказ довести до государственных гражданских служащих Федеральной службы по аккредитации.
3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной службы по аккредитации А.А. Соловьева.
| Руководитель | Н.В. Скрыпник |
Приложение N 1
к приказу Федеральной службы по аккредитации
от "___" _____ 20___ г. N ____
Положение
об организации обработки и обеспечения безопасности персональных данных в Федеральной службе по аккредитации
1. Общие положения
1.1. Положение об организации обработки и обеспечения безопасности персональных данных в Федеральной службе по аккредитации (далее - Положение) устанавливает требования к обработке и защите персональных данных, определяет права, обязанности и ответственность федеральных государственных гражданских служащих Федеральной службы по аккредитации при работе с персональными данными, права субъектов персональных данных, персональные данные которых обрабатываются в Росаккредитации, меры, направленные на защиту персональных данных с использованием средств автоматизации и без использования таких средств, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Росаккредитации.
1.2. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (Собрание законодательства Российской Федерации, 2005, N 23, ст. 2242; 2021, N 11, ст. 1789), постановлениями Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" (Собрание законодательства Российской Федерации, 2008, N 28, ст. 3384; 2012, N 53, ст. 7958), от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4320), от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626; 2019, N 16, ст. 1957), от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257) (далее - постановление Правительства Российской Федерации N 1119), Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2021, N 27, ст. 5159) (далее - Федеральный закон "О персональных данных"), приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Зарегистрирован Минюстом России 8 июля 2020 г., регистрационный N 58877) (далее - приказ ФСТЭК России N 21).
1.3. Целью Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Действия Положения не распространяются на отношения, возникающие при организации работы с персональными данными, отнесенными к сведениям, составляющим государственную тайну.
1.5. Росаккредитация является оператором персональных данных, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.6. В Росаккредитации обрабатываются персональные данные, доступ к которым ограничен, и общедоступные персональных данные с целью реализации служебных и трудовых отношений, а также в связи с осуществлением полномочий в сфере государственных услуг, исполнением государственных функций.
1.7. Требования Положения являются обязательными для исполнения всеми лицами, получившими доступ к персональным данным, и доводятся под роспись всем сотрудникам Росаккредитации.
1.8. Допуск сотрудников Росаккредитации к обработке персональных данных (далее - сотрудники, допущенные к обработке персональных данных) осуществляется в соответствии с должностными регламентами (инструкциями).
1.9. Перечень лиц, осуществляющих обработку персональных данных либо имеющих доступ к персональным данным (далее - ответственные должностные лица), утверждаются приказом Росаккредитации.
2. Категории и перечень персональных данных
2.1. В процессе осуществления деятельности в Росаккредитации возможна обработка любых категорий персональных данных, за исключением специальных категорий персональных данных.
2.2. Перечень персональных данных, обрабатываемых в Росаккредитации, утверждается приказом Росаккредитации.
2.3. Обработка персональных данных осуществляется в порядке, установленном законодательством Российской Федерации.
3. Общий порядок обработки персональных данных
3.1. В Росаккредитации обработка персональных данных включает в себя следующие действия: получение (сбор), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
3.2. Получение персональных данных осуществляется в соответствии с законодательством Российской Федерации.
3.3. Обработка и использование персональных данных осуществляется в целях обеспечения соблюдения законодательства Российской Федерации.
3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.5. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку персональных данных. Согласие может быть в любое время отозвано по заявлению субъекта персональных данных. Последствия отказа о предоставлении своих персональных данных должны быть разъяснены субъекту персональных данных.
3.5.1. Письменное согласие на обработку персональных данных включает в себя:
фамилию, имя, отчество (при наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
фамилию, имя, отчество (при наличии), адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
наименование или фамилию, имя, отчество (при наличии) и адрес оператора, получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
наименование или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
подпись субъекта персональных данных.
3.5.2. Обработка персональных данных без согласия субъекта персональных данных может осуществляться в случаях, предусмотренных законодательством Российской Федерации.
3.6. Сотрудники, допущенные к обработке персональных данных и/или ответственные должностные лица, имеют право получать только персональные данные, которые необходимы им для выполнения конкретных функций в соответствии с должностными обязанностями указанных лиц.
3.7. Обработка персональных данных в Росаккредитации осуществляется:
без использования средств автоматизации - на бумажных носителях информации, содержащих персональные данные;
с использованием средств автоматизации - автоматизированная обработка информации, содержащейся в информационных системах персональных данных Росаккредитации.
3.8. Росаккредитация при осуществлении своей деятельности получает персональные данные в порядке, предусмотренном законодательством Российской Федерации и Положением:
объем и содержание получаемых сведений должны соответствовать Конституции Российской Федерации и федеральным законам;
персональные данные могут быть получены только у самого субъекта персональных данных;
получить персональные данные у третьего лица можно только с письменного согласия субъекта персональных данных, если невозможно получить информацию у него самого в порядке, предусмотренном пунктом 3.8.2 Положения.
3.9. Для получения персональных данных от третьих лиц субъект персональных данных должен быть заранее об этом уведомлен и от него должно быть получено письменное согласие.
3.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.11. Запрещается передача персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством.
4. Меры по обеспечению безопасности персональных данных
4.1. Меры по обеспечению безопасности персональных данных в Росаккредитации включают:
определение актуальных угроз безопасности персональных данных при их обработке в информационных системах, и разработка мер и мероприятий по защите персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в этих системах;
установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
использование сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
использование сертифицированного программного средства защиты информации от несанкционированного доступа;
использование сертифицированного межсетевого экрана и средств обнаружения вторжения;
соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
учет машинных носителей персональных данных;
обучение сотрудников Росаккредитации, непосредственно осуществляющих обработку персональных данных, в рамках требований законодательства Российской Федерации в части защиты персональных данных;
осуществление внутреннего контроля и аудита.
4.2. Организационные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных включают:
назначение лиц, ответственных за организацию обработки персональных данных и за обеспечение безопасности персональных данных в Росаккредитации;
утверждение перечня должностей, установленных в Росаккредитации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
утверждение перечня информационных систем персональных данных Росаккредитации;
утверждение перечня должностных лиц Росаккредитации, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей:
утверждение правил обработки персональных данных, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
утверждение правил рассмотрения запросов субъектов персональных данных или их представителей;
утверждение правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
утверждение порядка доступа в помещения, в которых ведется обработка персональных данных;
ознакомление сотрудников, допущенных к обработке персональных данных и ответственных должностных лиц с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами Росаккредитации по вопросам обработки и защиты персональных данных;
организационные мероприятия, изложенные в разделах 5-6 Положения.
5. Организация и проведение работ по обеспечению безопасности персональных данных, при обработке без использования средств автоматизации
5.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
5.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.3. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.4. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.5. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5.6. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, включают:
осуществление обработки персональных данных таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
хранение материальных носителей с персональными данными осуществляется с соблюдением условий, обеспечивающих сохранность персональных данных и исключающие несанкционированный доступ к ним.
6. Организация и проведение работ по обеспечению безопасности персональных данных в информационных системах Росаккредитации
6.1. Обработка персональных данных в информационных системах осуществляется после завершения работ по созданию системы защиты персональных данных в информационных системах.
6.2. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
6.3. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах Росаккредитации, осуществляется в соответствии с постановлением Правительства Российской Федерации N 1119, приказом ФСТЭК России N 21.
6.4. Реализацию требований по обеспечению защиты информационных систем, в которых обрабатываются персональные данные, осуществляет отдел информационных технологий Управления административно-финансовой деятельности и развития информационных технологий совместно со структурными подразделениями Росаккредитации, эксплуатирующими эти системы.
7. Права субъекта персональных данных
7.1. Субъект персональных данных имеет право:
получать информацию, касающуюся обработки персональных данных, за исключением случаев, установленных законодательством Российской Федерации;
требовать от Росаккредитации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
обжаловать действия или бездействие Росаккредитации при обработке и защите его персональных данных в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
полную информацию о своих персональных данных и обработке этих данных;
свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом "О персональных данных";
определение своих представителей для защиты своих персональных данных;
требование об извещении Росаккредитации или уполномоченного им лица всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
8. Права и обязанности Федеральной службы по аккредитации
в области защиты персональных данных
8.1. Росаккредитация имеет право:
на получение достоверных персональных данных от субъекта персональных данных в случаях и порядке, установленных законодательством и Положением;
на привлечение к ответственности должностных лиц, виновных в нарушении законодательства Российской Федерации в области персональных данных при обработке персональных данных в порядке, установленном законодательством Российской Федерации.
8.2. Росаккредитация обязана:
принимать меры по защите персональных данных в объеме и порядке, предусмотренных законодательством Российской Федерации и Положением;
получать и обрабатывать персональные данные в установленном законодательством Российской Федерации и Положением порядке;
ознакомить сотрудников с Положением и любыми вносимыми в него изменениями.
8.3. Должностные лица Росаккредитации, осуществляющие функции по обработке персональных данных, обязаны:
проходить обучение и проверку знаний в области защиты персональных данных;
соблюдать требования Положения;
сохранять конфиденциальность полученных персональных данных, в том числе после прекращения трудовых (служебных) отношений с Росаккредитацией;
при прекращении трудового договора (служебного контракта) передать уполномоченному лицу все материальные носители персональных данных.
9. Ответственность
9.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут ответственность в соответствии с законодательством Российской Федерации.
___________________
Л И С Т О З Н А К О М Л Е Н И Я
с Положением об организации обработки и обеспечения безопасности персональных данных в Федеральной службе по аккредитации
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 2
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ____
Инструкция
пользователя информационной системы персональных данных Федеральной службы по аккредитации
1. Общие положения
I.1. Пользователь информационной системы персональных данных (далее соответственно - Пользователь, ИСПДн) осуществляет обработку персональных данных в ИСПДн.
I.2. Пользователем ИСПДн является каждый государственный гражданский служащий Федеральной службы по аккредитации, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.
I.3. Пользователь ИСПДн несет персональную ответственность за свои действия в соответствии с законодательством Российской Федерации.
I.4. Пользователь ИСПДн в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России, ФСБ России и правовыми актами Росаккредитации.
I.5. Методическое руководство работой пользователя ИСПДн осуществляется администратором информационной безопасности Росаккредитации (далее - администратор).
2. Обязанности
2.1. Пользователь ИСПДн обязан:
знать и выполнять требования нормативных правовых актов, руководящих документов, а также внутренних инструкций, регламентирующих порядок действий по защите информации;
выполнять на автоматизированном рабочем месте (далее - АРМ) только те процедуры, которые определены для него правовыми актами Росаккредитации;
знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности персональных данных;
соблюдать требования парольной политики;
соблюдать правила при работе в сетях общего доступа и (или) международного обмена (сеть Интернет и другие);
обо всех выявленных нарушениях, связанных с информационной безопасностью Росаккредитации, сообщать администратору;
для получения консультаций по вопросам информационной безопасности, работы и настройки элементов ИСПДн обращаться к администратору.
2.2. Пользователю ИСПДн запрещается:
разглашать защищаемую информацию третьим лицам;
копировать защищаемую информацию на внешние носители, не предназначенные для хранения защищаемой информации;
самостоятельно устанавливать, тиражировать или модифицировать программное и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
несанкционированно открывать общий доступ к папкам на своей рабочей станции;
подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства;
отключать (блокировать) средства защиты информации;
обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн;
сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн;
привлекать посторонних лиц для производства ремонта или настройки АРМ без согласования с администратором.
2.3. При отсутствии визуального контроля за рабочей станцией доступ к АРМ должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш <Win><L> или <Ctrl><Alt><Del> и выбрать опцию "Заблокировать".
2.4. Работа в сетях общего доступа и (или) международного обмена (сети Интернет и других) (далее - сеть) на элементах ИСПДн должна проводиться только для исполнения должностных обязанностей.
2.5. При работе в сети запрещается:
осуществлять работу при отключенных средствах защиты;
передавать по сети защищаемую информацию без использования средств шифрования;
скачивать из сети программное обеспечение и другие файлы;
посещать сайты сомнительной репутации;
нецелевое использование подключения к сети.
____________________
Л И С Т О З Н А К О М Л Е Н И Я
с Инструкцией пользователя информационной системы персональных данных Федеральной службы по аккредитации
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 3
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ____
Инструкция
пользователя средств криптографической защиты информации
1. Общие положения
1.1. Средствами криптографической защиты информации (далее - СКЗИ) являются средства электронной подписи, шифрования, имитозащиты, кодирования, изготовления ключевых документов, а также ключевые документы, аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства.
1.2. Пользователями СКЗИ являются все государственные гражданские служащие Федеральной службы по аккредитации (далее - сотрудники), допущенные к работе с СКЗИ.
1.3. Сотрудники допускаются к работе с СКЗИ только после соответствующего обучения и ознакомления с настоящей инструкцией. Обучение сотрудников правилам работы с СКЗИ осуществляется администратором информационной безопасности Росаккредитации (далее - администратор).
1.4. Пользователи СКЗИ обязаны выполнять указания администратора по всем вопросам обеспечения безопасности при использовании СКЗИ.
1.5. Пользователи СКЗИ несут персональную ответственность за сохранность выданных им СКЗИ, а также эксплуатационной и технической документации к ним.
1.6. Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету администратором в Журнале поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним в Федеральной службе по аккредитации.
1.7. Выдача экземпляров СКЗИ, эксплуатационной и технической документации к ним, ключевых документов фиксируется администратором в Журнале регистрации пользователей средств криптографической защиты в Федеральной службе по аккредитации.
1.8. Передача экземпляров СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должна быть согласована с руководителями структурных подразделений пользователей СКЗИ и администратором и допускается только на основании доверенности. Копия доверенности должна быть передана администратору.
1.9. Пользователи СКЗИ хранят установочные пакеты СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в шкафах (ящиках, сейфах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
1.10. Для исключения утраты ключевой информации вследствие дефектов носителей администратору рекомендуется создать их резервные копии. Копии должны быть соответствующим образом маркированы и могут использоваться и храниться так же, как и оригиналы.
1.11. Криптографические ключи, в отношении которых возникло подозрение в компрометации, должны быть немедленно изъяты администратором и при доказательстве компрометации надлежащим образом уничтожены.
1.12. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, должны обеспечивать сохранность СКЗИ, ключевых документов и ключевых носителей.
1.13. Средства вычислительной техники, на которых осуществляется штатное функционирование СКЗИ, должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) средств вычислительной техники должно быть таким, чтобы его можно было визуально контролировать.
2. Обязанности
2.1. Пользователь СКЗИ обязан:
не разглашать сведения о рубежах защиты конфиденциальной информации, в том числе, сведения о криптоключах;
соблюдать требования к обеспечению безопасности использования и хранения СКЗИ;
сообщать о ставших ему известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним администратору;
при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ, сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы администратору;
немедленно уведомлять администратора о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений и хранилищ.
2.2. Пользователю СКЗИ запрещается:
осуществлять несанкционированное копирование ключевых документов;
осуществлять несанкционированный вынос ключевых носителей за пределы контролируемой зоны;
передавать СКЗИ иным лицам без доверенности и согласования с руководителем структурного подразделения и администратором;
хранить ключевые документы и ключевые носители вне специально выделенных хранилищ и помещений;
вставлять ключевой носитель в устройство считывания в режимах, не предусмотренных штатным режимом использования ключевого носителя;
вносить какие-либо изменения в программное обеспечение СКЗИ;
изменять настройки, установленные программой установки СКЗИ или администратором;
осуществлять несанкционированное вскрытие системных блоков автоматизированных рабочих мест, подключать к ним дополнительные устройства и соединители, не предусмотренные в комплектации.
___________________
Л И С Т О З Н А К О М Л Е Н И Я
с Инструкцией пользователя средств криптографической защиты информации
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 4
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ___
Инструкция
по организации антивирусной защиты информационных систем персональных данных Федеральной службы по аккредитации
1. Введение
I.1. Настоящая инструкция предназначена для пользователей, хранящих и обрабатывающих информацию (персональные данные субъектов персональных данных (далее - ПДн), служебная информация о деятельности государственных органов) в информационных системах персональных данных Федеральной службы по аккредитации (далее - ИСПДн), а также для администратора информационной безопасности Росаккредитации (далее - администратор).
I.2. В целях выполнения требований ФСТЭК России и ФСБ России по защите информации в ИСПДн производится антивирусный контроль.
I.3. Ответственность за поддержание установленного в настоящей инструкции порядка проведения антивирусного контроля возлагается на администратора.
I.4. К применению на программно-аппаратных средствах ИСПДн допускаются только лицензионные и сертифицированные по требованиям ФСТЭК России или ФСБ России антивирусные средства для защиты информации, не содержащей сведений, составляющих государственную тайну.
I.5. Установка средств антивирусного контроля на компьютерах, серверах и рабочих станциях ИСПДн осуществляется уполномоченными сотрудниками в соответствии с Инструкцией по модификации технических и программных средств информационных систем персональных данных Федеральной службы по аккредитации.
I.6. Настройка параметров средств антивирусного контроля осуществляется уполномоченными сотрудниками в соответствии с руководствами по применению конкретных антивирусных средств.
2. Общие положения
2.1. На программно-аппаратные средства ИСПДн запрещается установка программного обеспечения (далее - ПО), не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации, в том числе средств разработки и отладки программ.
2.2. Перед началом работы со съемными носителями информации должна проводиться их проверка на предмет отсутствия вредоносного ПО.
2.3. Администратор организует и контролирует регулярное обновление антивирусных баз (по мере выхода соответствующих обновлений, не реже одного раза в месяц).
2.4. Администратор организует и контролирует тестирование установленного программного обеспечения на предмет отсутствия вредоносного ПО.
2.5. В случае необходимости администратор организует и контролирует лечение зараженных файлов и после этого вновь инициирует проведение антивирусного контроля.
2.6. В случае обнаружения на съемном носителе нового вируса, не поддающегося лечению, администратор обязан запретить использование носителя.
2.7. В случае обнаружения на жестких дисках не поддающегося лечению вируса администратор обязан поставить в известность руководителя структурного подразделения, ответственного за обеспечение безопасности персональных данных, запретить работу на программно-аппаратных средствах ИСПДн и инициировать обновление пакета антивирусных программ.
3. Действия при обнаружении вирусов
3.1. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь ИСПДн должен привлечь администратора для проведения внеочередного антивирусного контроля своей рабочей станции с целью определить факт наличия или отсутствия компьютерного вируса.
3.2. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь ИСПДн обязан:
приостановить работу;
немедленно поставить в известность о факте обнаружения зараженных вирусом файлов ответственного за обеспечение безопасности ПДн, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;
совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования; инициировать лечение или уничтожение зараженных файлов;
по факту обнаружения зараженных вирусом файлов составить служебную записку в структурное подразделение, ответственное за обеспечение безопасности персональных данных, в которой необходимо указать предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации, тип вируса и выполненные антивирусные мероприятия.
4. Ответственность
4.1. Ответственность за организацию антивирусного контроля в соответствии с требованиями настоящей инструкции возлагается на администратора.
4.2. Ответственность за соблюдение требований настоящей инструкции возлагается на администратора и пользователей ИСПДн в части их касающейся.
____________________
Л И С Т О З Н А К О М Л Е Н И Я
с Инструкцией по организации антивирусной защиты информационных систем персональных данных Федеральной службы по аккредитации
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 5
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ____
Инструкция
по организации парольной защиты информационных систем персональных данных Федеральной службы по аккредитации
1. Общие положения
I.1. Настоящая инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей для информационных систем персональных данных (далее - ИСПДн) Федеральной службы по аккредитации, защищенной от несанкционированного доступа, а также порядок контроля за действиями пользователей ИСПДн при работе с паролями.
I.2. Пользователи ИСПДн должны быть ознакомлены с требованиями настоящей инструкции и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
I.3. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в ИСПДн, а также контроль за действиями пользователей ИСПДн при работе с паролями возлагается на администратора информационной безопасности Росаккредитации (далее - администратор).
I.4. При первом входе в систему пользователь ИСПДн обязан сменить пароль, выданный ему администратором.
I.5. Пользователь ИСПДн имеет право самостоятельно выбрать пароль с учетом требований парольной политики.
I.6. Полная плановая смена паролей пользователей ИСПДн должна производиться один раз в 90 дней.
I.7. В случае возникновения подозрения в компрометации пароль пользователя ИСПДн должен быть немедленно изменен.
I.8. Пользователь ИСПДн не имеет права сообщать личный пароль иным лицам.
2. Парольная политика
2.1. При настройке парольной политики должны быть учтены следующие требования к характеристикам паролей:
минимальная длина пароля - 8 символов;
максимальный срок действия пароля - 90 дней;
в пароле должны использоваться не менее трех типов символов из следующего списка: цифры, символы в верхнем регистре, символы в нижнем регистре, специальные символы;
запрещено использовать имя учетной записи в пароле. Допускается использование не более четырех символов, содержащихся в имени учетной записи, подряд.
2.2. При создании паролей пользователями ИСПДн не рекомендуется:
использование в составе пароля комбинаций символов, которые можно вычислить, основываясь на информации о пользователе ИСПДн (имя, фамилия, дата рождения, номер автомобиля или телефона и т.д.);
использование в составе пароля легко вычисляемых сочетаний символов (1234, qwerty, abcd и т.д.);
использование в составе пароля словарных слов (password, user, computer и т.д.);
использование предыдущих паролей.
____________________
Л И С Т О З Н А К О М Л Е Н И Я
с Инструкцией по организации парольной защиты информационных систем персональных данных Федеральной службы по аккредитации
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 6
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ___
Инструкция
по организации резервного копирования и восстановления данных в информационных системах персональных данных Федеральной службы по аккредитации
1. Общие положения
I.1. Настоящая инструкция разработана в соответствии с требованиями законодательства Российской Федерации в области защиты персональных данных (далее - ПДн) в целях обеспечения возможности незамедлительного восстановления данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
I.2. Целью резервного копирования является предотвращение потери информации при сбоях оборудования, программного обеспечения, в критических ситуациях и т.д.
I.3. Инструкция определяет правила и объемы резервирования, а также порядок восстановления работоспособности информационных систем персональных данных Федеральной службы по аккредитации (далее - ИСПДн).
I.4. Данная инструкция предназначена для администратора информационной безопасности Росаккредитации (далее - администратор), а также государственных гражданских служащих Росаккредитации, участвующих в обработке ПДн (далее - пользователи).
I.5. Носители информации, используемые для резервирования конфиденциальной информации Росаккредитации, в том числе персональных данных, подлежат защите в той же степени, что и резервируемая конфиденциальная информация.
I.6. Ответственным сотрудником за организацию резервного копирования и восстановления данных назначается администратор, осуществляющий контроль за исполнением настоящей инструкции.
2. Информационные ресурсы, подлежащие резервированию
2.1. Резервному копированию подлежат все информационные ресурсы Росаккредитации, содержащие ПДн субъектов, а именно:
файлы, содержащиеся в базах данных (далее - БД);
электронные документы;
файлы сообщений электронной почты;
отсканированные и хранящиеся в ИСПДн изображения документов.
2.2. Резервному копированию могут также подвергаться:
системное и прикладное программное обеспечение;
средства защиты информации.
3. Порядок резервирования
3.1. Резервирование информационных ресурсов ИСПДн, содержащих ПДн (далее - резервирование), организуется администратором.
3.2. Определяется 2 вида резервирования ПДн:
полное резервирование - резервное копирование всех данных, хранящихся в БД;
неполное резервирование - резервное копирование части данных, хранящихся в БД.
3.3. Целью неполного резервирования является сохранение изменений в ИСПДн с момента полного резервирования.
3.4. Периодичность проведения работ по полному резервированию - не менее одного раза в месяц.
3.5. Периодичность проведения работ по неполному резервированию - не менее одного раза в сутки.
3.6. Резервное копирование с использованием незащищенных каналов связи общего пользования не допустимо.
3.7. Резервное копирование по локальной сети на устройство, находящееся вне ИСПДн, не допустимо.
3.8. В случае удаления ПДн субъекта из ИСПДн должна быть так же удалена резервная копия этих данных.
4. Порядок восстановления информации после сбоя
4.1. В случае сбоя в работе ИСПДн восстановление ПДн из резервных копий организует администратор.
4.2. Администратор обязан срочно уведомить ответственного за обработку ПДн о факте сбоя в работе ИСПДн, повлекшего нарушение целостности ПДн.
4.3. Временной норматив по восстановлению ПДн устанавливается ответственным за обработку ПДн.
____________________
Л И С Т О З Н А К О М Л Е Н И Я
с Инструкцией по организации резервного копирования и восстановления данных в информационных системах персональных данных Федеральной службы по аккредитации
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 7
к приказу Федеральной службы по аккредитации
от "___" __________ 20___ г. N ___
Инструкция
по модификации технических и программных средств информационных систем персональных данных Федеральной службы по аккредитации
1. Общие положения
1.1. Настоящей инструкцией регламентируется взаимодействие структурных подразделений Федеральной службы по аккредитации по обеспечению безопасности информации при проведении модификаций программного обеспечения и технического обслуживания средств вычислительной техники информационных систем персональных данных Росаккредитации (далее - ИСПДн).
1.2. Администратор информационной безопасности Росаккредитации (далее - администратор) уполномочен предоставлять право на внесение изменений в конфигурацию аппаратных и программных средств рабочих станций и серверов ИСПДн государственным гражданским служащим отдела информационных технологий и мониторинга целевых показателей Управления работы с реестрами и аналитики (далее - отдел ИТ), а также сотрудникам организации, с которой заключен договор на обслуживание вычислительной техники.
1.3. Ответственность за соблюдение требований по обеспечению безопасности информации при проведении технических работ на рабочих станциях и серверах ИСПДн возлагается на администратора.
2. Порядок внесения изменений в конфигурацию аппаратных и программных средств рабочих станций и серверов ИСПДн
2.1. Процедура внесения изменений в конфигурацию аппаратных и программных средств рабочих станций ИСПДн инициируется заявкой пользователя ИСПДн.
2.2. Процедура внесения изменений в конфигурацию аппаратных и программных средств серверов ИСПДн инициируется заявкой руководителя отдела ИТ.
2.3. Все заявки на внесение изменений в конфигурацию аппаратных и программных средств рабочих станций и серверов ИСПДн должны быть согласованы с администратором.
2.4. Согласованные заявки направляются инициатором уполномоченному исполнителю.
2.5. В заявках могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств рабочих станций и серверов:
установка новой рабочей станции или сервера;
замена рабочей станции или сервера;
изъятие рабочей станции или сервера;
установка (развертывание) на конкретной рабочей станции или сервере программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной рабочей станции или сервере);
обновление (замена) на конкретной рабочей станции или сервере программных средств, необходимых для решения определенной задачи (обновление версий программ, используемых для решения определенной задачи);
удаление с конкретной рабочей станции или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной рабочей станции).
2.6. Установка и обновление общего программного обеспечения на рабочие станции и сервера производится с оригинальных лицензионных дистрибутивных носителей, полученных установленным порядком.
2.7. Все добавляемые программные и аппаратные компоненты должны быть предварительно проверены на работоспособность, а также отсутствие опасных функций.
2.8. Администратор осуществляет контроль процедуры внесения изменений в конфигурацию аппаратных и программных средств рабочих станций и серверов ИСПДн уполномоченным исполнителем.
____________________
Л И С Т О З Н А К О М Л Е Н И Я
с Инструкцией по модификации технических и программных средств информационных систем персональных данных Федеральной службы по аккредитации
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 8
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ____
Инструкция
по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных Федеральной службы по аккредитации
1. Общие положения
1.1. Настоящая инструкция определяет порядок учета лиц, допущенных к работе с персональными данными в информационных системах персональных данных (далее - ИСПДн) Федеральной службы по аккредитации.
1.2. Настоящая инструкция предназначена для администратора информационной безопасности Росаккредитации (далее - администратор), осуществляющего учет лиц, допущенных к работе с персональными данными (далее - ПДн) в ИСПДн.
2. Порядок допуска пользователей к работе с персональными данными
2.1. Перечень должностей государственных гражданских служащих Росаккредитации (далее - сотрудники), которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных обязанностей (далее - Перечень), утверждается приказом руководителя Росаккредитации.
2.2. Администратор должен провести первичный инструктаж сотрудника, включающий ознакомление со всеми нормативными документами, регламентирующими работу с ПДн;
2.3. Администратор вносит запись о допуске сотрудника в Журнал учета пользователей, допущенных к обработке персональных данных в информационных системах персональных данных в Федеральной службе по аккредитации. Сотрудник ставит подпись в соответствующей графе.
2.4. Доступ пользователя к ИСПДн приостанавливается в случае обнаружения нарушений порядка обработки ПДн до выяснения причин и устранения нарушений;
2.5. Доступ пользователя к ИСПДн прекращается в случае его увольнения с момента подписания приказа об увольнении;
2.6. Доступ пользователя к ИСПДн прекращается при изменении его служебных обязанностей с момента утверждения нового Перечня.
____________________
Л И С Т О З Н А К О М Л Е Н И Я
с Инструкцией по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных Федеральной службы по аккредитации
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 9
к приказу Федеральной службы по аккредитации
от "___" __________ 20___ г. N ___
Инструкция
по работе с информационными ресурсами информационно-коммуникационной сети "Интернет"
1. Общие положения
1.1. Настоящая инструкция предназначена для пользователей информационных систем персональных данных Федеральной службы по аккредитации, доступ к сети Интернет которым необходим для исполнения служебных обязанностей.
1.2. Работа в сети Интернет для неавторизованных пользователей запрещена.
1.3. Устанавливаются ограничения на получение информации из сети Интернет в соответствии с настройками прокси-сервера. Доступ к социальным сетям, видеохостингам и прочим ресурсам развлекательного характера запрещен.
1.4. Контроль за соблюдением настоящей инструкции возлагается на администратора информационной безопасности Росаккредитации (далее - администратор) и руководителей структурных подразделений Росаккредитации.
2. Правила работы в сети Интернет
2.1. При работе в сети Интернет запрещается:
обход учетных систем получаемого трафика, их повреждение или дезинформация;
преднамеренная рассылка вирусов посредством сети Интернет;
предоставление служебной информации для общего доступа;
предоставление информации, касающейся устройства и архитектуры локальной вычислительной сети (далее - ЛВС), в том числе схемы ЛВС и ее сегментов, точек подключения, информации о назначенных рабочим станциям IР-адресах и именах, используемых на серверах, средствах удаленного доступа и т.п.;
предоставление информации о других государственных гражданских служащих Росаккредитации без их личного согласия;
распространение посредством сети Интернет информации, запрещенной законодательством Российской Федерации или не соответствующей общепринятым морально-этическим нормам, а также рассылка обманных, беспокоящих или угрожающих сообщений и рассылка незапрашиваемых сообщений (спама) за исключением служебных сообщений от администрации;
использование сети Интернет в коммерческих целях;
установка и/или удаление программного обеспечения без согласования с администратором.
___________________
Л И С Т О З Н А К О М Л Е Н И Я
с Инструкцией по работе с информационными ресурсами информационно-коммуникационной сети "Интернет"
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 10
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ___
Инструкция
по порядку учета, хранения и уничтожения машинных носителей персональных данных в Федеральной службе по аккредитации
1. Общие положения
1.1. Настоящая инструкция предназначена для пользователей информационных систем персональных данных (далее - ИСПДн) в Федеральной службе по аккредитации, осуществляющих использование машинных носителей персональных данных (далее - ПДн), а также администратора информационной безопасности Росаккредитации (далее - администратор).
1.2. Под использованием носителей информации в ИСПДн понимается их подключение к инфраструктуре ИСПДн в целях обработки, приема/передачи информации между ИСПДн и носителями информации.
1.3. Ответственность за поддержание установленного в настоящей инструкции порядка использования машинных носителей ПДн возлагается на администратора.
1.4. В ИСПДн допускается использование только учтенных носителей информации, которые являются собственностью Росаккредитации и подвергаются регулярной ревизии и контролю.
1.5. К машинным носителям ПДн предъявляются требования информационной безопасности, что и для стационарных автоматизированных рабочих мест (целесообразность дополнительных мер обеспечения информационной безопасности определяется администратором).
1.6. Пользователи ИСПДн, нарушившие требования настоящей инструкции, несут ответственность в соответствии с законодательством Российской Федерации и правовыми актами Росаккредитации.
2. Порядок использования машинных носителей ПДн
2.1. Машинные носители ПДн предоставляются федеральным государственным гражданским служащим Росаккредитации по инициативе руководителей структурных подразделений в случаях:
необходимости выполнения вновь принятым работником своих должностных обязанностей;
возникновения у сотрудника производственной необходимости.
2.2. Порядок учета, хранения и обращения с машинными носителями ПДн:
все находящиеся на хранении и в обращении машинные носители ПДн подлежат учету администратором в Журнале учета и выдачи машинных носителей персональных данных в Федеральной службе по аккредитации (далее - Журнал);
каждый машинный носитель ПДн должен иметь этикетку, на которой указывается его уникальный учетный номер;
сотрудники получают учтенный машинный носитель ПДн от администратора. При выдаче делаются соответствующие записи в Журнале;
пользователь заполняет заявку в соответствии с приложением к настоящей инструкции и направляет на исполнение в обслуживающую организацию посредством электронной почты;
по окончании работ пользователь сдает машинный носитель ПДн для хранения администратору, о чем делается соответствующая запись в Журнале.
2.3. При использовании пользователями ИСПДн машинных носителей ПДн необходимо:
соблюдать требования настоящей инструкции;
использовать машинные носители ПДн исключительно для выполнения своих служебных обязанностей;
информировать администратора о любых фактах нарушения требований настоящей инструкции;
бережно относиться к машинным носителям ПДн;
хранить машинные носители ПДн в сейфе (шкафу, ящике) в условиях, исключающих бесконтрольный доступ к ним;
информировать администратора о фактах утраты (кражи) машинных носителей ПДн.
II.4. При использовании машинных носителей ПДн запрещено:
использовать машинные носители ПДн в личных целях;
передавать машинные носители ПДн другим лицам (за исключением администратора);
хранить машинные носители ПДн вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра;
выносить машинные носители ПДн за пределы контролируемой зоны.
2.5. Любое взаимодействие (обработка, прием/передача информации), инициированное пользователем между ИСПДн и неучтенными (личными) носителями информации, рассматривается как несанкционированное (за исключением случаев, согласованных с администратором). Администратор имеет право ограничивать использование носителей информации.
2.6. Информация об использовании сотрудником носителей информации в ИСПДн протоколируется и, при необходимости, может быть предоставлена администратором ответственному за организацию обработки ПДн.
2.7. В случае выявления фактов несанкционированного и/или нецелевого использования носителей информации инициируется служебная проверка, проводимая комиссией, состав которой определяется ответственным за организацию обработки ПДн.
2.8. По факту выясненных обстоятельств составляется акт расследования инцидента и передается ответственному за организацию обработки ПДн для принятия мер согласно правовым актам Росаккредитации и законодательству Российской Федерации.
2.9. Информация, хранящаяся на машинных носителях ПДн, подлежит обязательной проверке на отсутствие вредоносного программного обеспечения.
2.10. При отправке или передаче ПДн адресатам на съемные машинные носители ПДн записываются только предназначенные адресатам данные. Отправка ПДн адресатам на съемных машинных носителях ПДн осуществляется в порядке, установленном для документов для служебного пользования.
2.11. Вынос съемных машинных носителей ПДн для непосредственной передачи адресату осуществляется только с письменного разрешения администратора.
2.12. В случае утраты или уничтожения машинных носителей ПДн либо разглашения содержащихся в них сведений немедленно ставится в известность администратор. На утраченные машинные носители ПДн составляется акт. Соответствующие отметки вносятся в Журнал.
2.13. Машинные носители ПДн, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. Уничтожение машинных носителей ПДн осуществляется уполномоченной комиссией. По результатам уничтожения машинных носителей ПДн составляется акт уничтожения ПДн.
2.14. В случае увольнения или перевода работника в другое структурное подразделение, предоставленные машинные носители ПДн изымаются администратором.
____________________
Приложение
Заявка
на предоставление доступа к внешним машинным носителям информации в Правительственном комплексе
| Описание производственной необходимости использования внешнего машинного носителя: | ||||
|---|---|---|---|---|
| ФИО пользователя | Логин пользователя | Наименование персонального АРМ | Параметры внешнего машинного носителя (ID устройства) | Срок действия разрешения на работу |
После оформления заявки пользователю необходимо самостоятельно подключить внешний машинный носитель к USB-интерфейсу АРМ, затем обратиться в службу технической поддержки РТК ЦТ hd@rtk-it.ru
______________/___________________________/
(подпись руководителя структурного подразделения / расшифровка)
______________/___________________________/
(подпись администратора информационной безопасности / расшифровка)
Л И С Т О З Н А К О М Л Е Н И Я
с Инструкцией по порядку учета, хранения и уничтожения машинных носителей персональных данных в Федеральной службе по аккредитации
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 11
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ___
Инструкция
по порядку учета, хранения и уничтожения персональных данных в Федеральной службе по аккредитации
1. Общие положения
1.1. Настоящая инструкция предназначена для государственных гражданских служащих Федеральной службы по аккредитации (далее - сотрудники), осуществляющих обработку персональных данных (далее - ПДн).
1.2. В Росаккредитации должны быть разработаны и утверждены руководителем Федеральной службы по аккредитации следующие перечни:
перечень сведений, составляющих персональные данные федерального государственного гражданского служащего Федеральной службы по аккредитации, обрабатываемых в связи с реализацией трудовых отношений и прохождением федеральной государственной гражданской службы в Федеральной службе по аккредитации; перечень сведений, составляющих персональные данные, обрабатываемых в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
перечень информационных систем персональных данных Федеральной службы по аккредитации.
1.3. Сотрудники, нарушившие требования настоящей инструкции, несут ответственность в соответствии с законодательством Российской Федерации.
2. Хранение и уничтожение персональных данных
2.1. Персональные данные субъекта ПДн хранятся в структурном подразделении Росаккредитации, которое осуществляет их обработку и отвечает за взаимодействие с субъектом ПДн.
2.2. ПДн на бумажном носителе хранятся в папках в сейфе или в металлическом шкафу в условиях, исключающих бесконтрольный доступ к ним.
2.3. Персональные данные субъекта ПДн в электронном виде хранятся в информационных системах персональных данных (далее - ИСПДн). Доступ к ИСПДн обеспечивается и ограничивается средствами защиты информации.
2.4. Сотрудник, имеющий доступ к персональным данным субъектов ПДн, в связи с исполнением служебных обязанностей обеспечивает хранение информации, содержащей персональные данные субъекта, исключающее доступ к ним третьих лиц.
2.5. В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные субъектов ПДн.
2.6. При уходе в отпуск, служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные субъектов ПДн лицу, на которое приказом руководителя Федеральной службы по аккредитации будет возложено исполнение его трудовых обязанностей.
2.7. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные субъектов ПДн, по указанию руководителя структурного подразделения передаются другому сотруднику, имеющему доступ к персональным данным субъектов ПДн.
2.8. При увольнении сотрудника, имеющего доступ к персональным данным субъектов ПДн, документы и иные носители, содержащие персональные данные субъектов ПДн, по указанию руководителя структурного подразделения передаются другому сотруднику, имеющему доступ к персональным данным субъектов ПДн.
2.9. Повседневный контроль за выполнением требований по защите хранилищ ПДн осуществляют руководители структурных подразделений.
2.10. Контроль эффективности мер защиты хранилищ ПДн осуществляется администратором информационной безопасности Росаккредитации.
2.11. Уничтожение персональных данных субъектов ПДн на бумажном носителе, а также содержащихся в ИСПДн в электронном виде, осуществляется комиссией, назначенной приказом руководителя Федеральной службы по аккредитации.
____________________
Л И С Т О З Н А К О М Л Е Н И Я
с Инструкцией по порядку учета, хранения и уничтожения персональных данных в Федеральной службе по аккредитации
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 12
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ___
Порядок
действий при инцидентах информационной безопасности в Федеральной службе по аккредитации
1. Общие положения
I.1. Инцидент информационной безопасности - возникновение одного или нескольких нежелательных событий, с которыми связана значительная вероятность реализации угрозы безопасности информации.
I.2. Общий порядок реагирования на нештатные ситуации:
обнаружение и оповещение администратора информационной безопасности Федеральной службы по аккредитации (далее - администратор) о возникновении события;
оперативный сбор информации, связанной с событием, и оценка этой информации с целью определить, относится ли событие к категории инцидентов информационной безопасности;
идентификация инцидента информационной безопасности и его классификация (определение типа инцидента информационной безопасности и его источника), определение уровня потенциального риска (определение возможности и характера ущерба, оценка темпа развития инцидента информационной безопасности);
локализация инцидента информационной безопасности;
проведение расследования (внутреннего или с привлечением правоохранительных органов);
анализ результатов проведенного расследования;
разработка и принятие мер по недопущению инцидентов информационной безопасности в дальнейшем и восстановление системы;
принятие решений о взаимодействии со средствами массовой информации.
2. Порядок действий в случае возникновения инцидента информационной безопасности
2.1. В Росаккредитации должен быть предусмотрен список лиц (в том числе, замещающих), ответственных за обеспечение штатного функционирования элементов информационных систем персональных данных (далее - ИСПДн) и безопасности (как физической, так и информационной), с указанием контактной информации.
Данный список разрабатывается структурным подразделением, ответственным за обеспечение безопасности персональных данных при их обработке в ИСПДн (далее - СПОБПДн).
Ответственность за поддержание данного списка в актуальном состоянии возлагается на руководителя СПОБПДн.
Ответственность за доведение данного списка до сведения пользователей ИСПДн возлагается на администратора.
2.2. Пользователь ИСПДн при обнаружении нештатной ситуации (события, выходящего за рамки штатного функционирования ИСПДн) должен незамедлительно уведомить администратора. Действия пользователя ИСПДн в случае обнаружения нештатной ситуации могут дополнительно регламентироваться внутренними документами Росаккредитации.
2.3. Администратор при поступлении уведомления о возникновении нештатной ситуации осуществляет оперативный сбор информации,и оценку этой информации с целью определить, относится ли событие к категории инцидентов информационной безопасности.
2.4. К инцидентам информационной безопасности должны быть отнесены следующие события:
уничтожение или блокирование данных, технических средств, инфраструктуры и элементов информационной системы вследствие стихийного бедствия, пожара, затопления или техногенных факторов (сбои, отказы программного обеспечения, технических средств, систем обеспечения функционирования информационной системы);
нежелательная сетевая активность (сканирование сети, попытки подбора пароля, взлома системы защиты или воздействия на технические (в том числе, программные) средства);
уничтожение, кража, раскрытие, модификация или блокирование информации, обрабатываемой в ИСПДн, вследствие несанкционированного проникновения в контролируемую зону;
утрата отчуждаемого носителя информации;
уничтожение, модификация, блокирование, раскрытие информации или нарушение работоспособности ИСПДн или ее отдельных элементов вследствие успешно проведенной атаки или воздействия вредоносного программного обеспечения;
уничтожение, модификация, блокирование, раскрытие информации или нарушение работоспособности ИСПДн, совершенные пользователем ИСПДн (или от его имени) с использованием назначенных ему прав в ИСПДн;
нарушение установленных в Росаккредитации требований по безопасности.
2.5. При отнесении события к категории инцидентов информационной безопасности (за исключением случая, когда инцидентом информационной безопасности является нарушение установленных в Росаккредитации требований по безопасности) вся имеющаяся информация, касающаяся инцидента информационной безопасности, должна быть сообщена СПОБПДн.
2.6. СПОБПДн должно оценить уровень потенциального риска (путем определения возможности и характера ущерба, оценки темпа развития инцидента информационной безопасности):
уровень 1 - инцидент информационной безопасности является локальным и может быть разрешен силами Росаккредитации;
уровень 2 - инцидент информационной безопасности может привести к существенному ущербу субъектам информационных отношений (субъектам персональных данных, обладателям информации, должностным лицам, Росаккредитации) и может быть разрешен силами Росаккредитации лишь частично;
уровень 3 - последствия инцидента информационной безопасности являются критическими, и он не может быть разрешен силами Росаккредитации.
2.7. В случае отнесения инцидента информационной безопасности к уровню 2 или уровню 3 СПОБПДн определяет круг лиц, которые должны быть привлечены к участию в реагировании на инцидент информационной безопасности.
2.8. СПОБПДн (с привлечением при необходимости иных специалистов) осуществляет локализацию инцидента информационной безопасности.
При локализации инцидента информационной безопасности СПОБПДн с учетом оценки реальной ситуации и существующих возможностей под свою ответственность осуществляет выбор стратегии и способа реагирования на инцидент информационной безопасности.
В рамках локализации инцидента информационной безопасности могут быть предприняты реактивные действия (отключение технических средств от внешних сетей или их изоляция; изменение настроек межсетевого экрана, маршрутизаторов, других технических средств; принятие иных экстренных мер) или проактивные действия (наблюдение, предупреждение дальнейшего развития инцидента информационной безопасности).
Допустимость реактивных действий определяется на основе списка структурных единиц ИСПДн в соответствии с требованиями по обеспечению непрерывности их функционирования с учетом характера инцидента информационной безопасности и уровня потенциального риска в случае непринятия реактивных мер.
2.9. После локализации инцидента информационной безопасности СПОБПДн составляет письменный отчет об инциденте информационной безопасности. На СПОБПДн возлагается ответственность за достоверность сведений, указанных в отчете об инциденте информационной безопасности.
В отчете должны быть зафиксированы:
дата и время, когда произошел инцидент информационной безопасности;
перечень лиц (должность, фамилия, имя, отчество), бывших свидетелями события или сообщивших о нем;
описание инцидента информационной безопасности;
перечень свидетельств события и место их хранения (при наличии свидетельств);
последовательность проведенных мероприятий и действий по локализации инцидента информационной безопасности;
описание ущерба и иных последствий инцидента информационной безопасности, в том числе вероятных;
выводы о возможных причинах инцидента информационной безопасности.
Данный документ хранится СПОБПДн.
СПОБПДн отвечает за обеспечение сохранности информации, относящейся к инциденту информационной безопасности. Указанная информация в дальнейшем может использоваться при проведении компьютерно-технической экспертизы, а также в качестве доказательной базы при судебном разбирательстве.
____________________
Л И С Т О З Н А К О М Л Е Н И Я
с Порядком действий при инцидентах информационной безопасности в Федеральной службе по аккредитации
| N п/п | ФИО | Дата | Подпись |
|---|---|---|---|
Приложение N 13
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ____
ЖУРНАЛ
учета и выдачи машинных носителей персональных данных в Федеральной службе по аккредитации
Начат: _________________________
Окончен: _________________________
| N п.п. | Регистрационный номер/дата | Тип/емкость носителя | Откуда поступил | Ответственный за хранение/место хранения | Категория обрабатываемой информации | Отметка о получении (ФИО, дата, подпись) | Отметка об обратном приеме (ФИО, дата, подпись) | Сведения об уничтожении машинных носителей (метод уничтожения, подпись, дата) |
|---|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
Приложение N 14
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ___
ЖУРНАЛ
учета средств защиты информации, эксплуатационной и технической документации к ним в Федеральной службе по аккредитации
Начат: _________________________
Окончен: ________________________
| N п.п. | Наименование СЗИ, эксплуатационной и технической документации к ним, документов | Серийные (заводские) номера СЗИ, эксплуатационной и технической документации к ним, документов | Номера экземпляров документов | Отметка о получении | Отметка о выдаче | ||
|---|---|---|---|---|---|---|---|
| От кого получены | Дата и номер сопроводительного письма | Ф.И.О. пользователя СЗИ | Дата и расписка в получении | ||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| Отметка о подключении (установке) СЗИ | Отметка об изъятии СЗИ из аппаратных средств, уничтожении ключевых документов | Примечание | ||||
|---|---|---|---|---|---|---|
| Ф.И.О. пользователя СЗИ, произведшего подключение, установку | Дата подключения (установки) и подписи лица, произведшего подключение(установку) | Номера аппаратных средств, в которые установлены или к которым подключены СЗИ | Ф.И.О. пользователя СЗИ, произведшего изъятие (уничтожение) | Дата изъятия (уничтожения) | Номер акта или расписка об уничтожении | |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
Приложение N 15
к приказу Федеральной службы по аккредитации
от "___" __________ 20___ г. N ____
ЖУРНАЛ
учета и контроля мероприятий по защите персональных данных в Федеральной службе по аккредитации
Начат: _________________________
Окончен: _________________________
| N п/п | Наименование мероприятия | Краткое описание | Цель проводимого мероприятия | Основания для проведения мероприятия (номер и дата приказа/ распоряжения) | Дата проведения мероприятия | Ф.И.О. проводившего мероприятия | Подпись лица, проводившего мероприятие | Ф.И.О. участников мероприятия | Примечание |
|---|---|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
Приложение N 16
к приказу Федеральной службы по аккредитации
от "___" __________ 20___ г. N ____
ЖУРНАЛ
учета обращений и запросов субъектов персональных данных в Федеральной службе по аккредитации
Начат: _________________________
Окончен: _________________________
| N п/п | Регистрационный номер | Дата поступления запроса/обращения | Ф.И.О. субъекта или законного представителя | Краткое содержание запроса/обращения | Исполнитель | Срок исполнения (дата) | Отметка об исполнении или причина неисполнения |
|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
Приложение N 17
к приказу Федеральной службы по аккредитации
от "___" __________ 20___ г. N ____
ЖУРНАЛ
регистрации пользователей средств криптографической защиты информации в Федеральной службе по аккредитации
Начат: _________________________
Окончен: _________________________
| N п/п | Ф.И.О. и должность допущенного к работе с СКЗИ | Наименование СКЗИ | Серийный номер СКЗИ |
|---|---|---|---|
| 1 | 2 | 3 | 4 |
Приложение N 18
к приказу Федеральной службы по аккредитации
от "___" __________ 20___ г. N ____
ЖУРНАЛ
учета пользователей, допущенных к обработке персональных данных в информационных системах персональных данных в Федеральной службе по аккредитации
Начат: _________________________
Окончен: _________________________
| N п/п | Ф.И.О. и должность пользователя | Наименование ИСПДн | Дата, подпись пользователя |
|---|---|---|---|
| 1 | 2 | 3 | 4 |
Приложение N 19
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ____
ЖУРНАЛ
поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним в Федеральной службе по аккредитации
Начат: _________________________
Окончен: ________________________
| N п.п. | Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов | Серийные (заводские) номера СКЗИ, эксплуатационной и технической документации к ним, ключевых документов | Номера экземпляров (криптографические номера) ключевых документов | Отметка о получении | Отметка о выдаче | ||
|---|---|---|---|---|---|---|---|
| От кого получены | Дата и номер сопроводительного письма | Ф.И.О. пользователя СКЗИ | Дата и расписка в получении | ||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| Отметка о подключении (установке) СКЗИ | Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов | Примечание | ||||
|---|---|---|---|---|---|---|
| Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение, установку | Дата подключения (установки) и подписи лиц, произведших подключение (установку) | Номера аппаратных средств, в которые установлены или к которым подключены СЗИ | Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших изъятие (уничтожение) | Дата изъятия (уничтожения) | Номер акта или расписка об уничтожении | |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
Приложение N 20
к приказу Федеральной службы по аккредитации
от "___" __________ 20___ г. N ____
ЖУРНАЛ
инструктажа пользователей по вопросам информационной безопасности в Федеральной службе по аккредитации
Начат: _________________________
Окончен: _________________________
| N п/п | Ф.И.О. | Дата | Должность | Подразделение | Подпись об ознакомлении с локальными нормативными актами |
|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 |
Приложение N 21
к приказу Федеральной службы по аккредитации
от "___" __________ 20___ г. N ____
ЖУРНАЛ
учета технических средств, участвующих в обработке персональных данных в Федеральной службе по аккредитации
Начат: _________________________
Окончен: _________________________
| N п/п | Инвентарный номер | Имя компьютера | Ф.И.О. пользователя | Размещение | Примечание |
|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 |
Приложение N 22
к приказу Федеральной службы по аккредитации
от "___" _________ 20___ г. N ____
АКТ N _____
об уничтожении персональных данных,
обрабатываемых в ___________________
Комиссия в составе:
| ФИО | Должность | |
|---|---|---|
| Председатель | ||
| Члены комиссии | ||
составила настоящий Акт о том, что информация, зафиксированная на перечисленных в нем носителях информации (электронных, бумажных), подлежат уничтожению.
| Учетный номер материального носителя, номер дела и т.д. | Причина уничтожения носителя информации; стирания/ обезличивания информации | Тип носителя информации | Производимая операция (стирание, уничтожение, обезличивание) | Дата |
|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 |
Всего подлежит уничтожению_______________________________________ носителей. (цифрами и прописью)
Правильность произведенных записей в акте проверена.
Регистрационные данные на носителях информации перед уничтожением (стиранием с них информации) с записями в акте сверены, произведено уничтожение путем:__________________________________________________________________.
(стирания на устройстве гарантированного уничтожения информации, разрезания, сжигания, механического уничтожения, вымарывания и т.п.)
Отметки о стирании информации (уничтожении носителей информации) в учетных формах произведены.
Председатель комиссии: _________________ / /
Члены комиссии: _________________ / /
_________________ / /
Приложение N 23
к приказу Федеральной службы по аккредитации
от "___" __________ 20___ г. N ___
Согласие на обработку персональных данных государственных гражданских служащих Федеральной службы по аккредитации
Я,____________________________________________________________,
(фамилия, имя, отчество (при наличии)
зарегистрированный (-ая) по адресу:
___________________________________________________________________
___________________________________________________________________,
паспорт серия ______ N _______, выдан_________________________________
(кем и когда)
___________________________________________________________________,
свободно, своей волей и в своем интересе даю согласие уполномоченным должностным лицам Федеральной службы по аккредитации , расположенной адресу: г. Москва, Пресненская набережная, д. 10, стр. 2, на обработку (любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) обезличивание, блокирование, удаление, уничтожение) следующих персональных данных:
фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и отчества (при наличии) в случае их изменения; сведения о том, когда, где и по какой причине они изменялись);
дата рождения (число, месяц и год рождения);
место рождения;
вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;
фотография;
сведения о гражданстве;
адрес и дата регистрации по месту жительства (места пребывания);
адрес фактического проживания (места нахождения);
сведения о семейном положении, о составе семьи;
реквизиты свидетельств государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата);
сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения);
сведения о владении иностранными языками и языками народов Российской Федерации;
сведения о трудовой деятельности до поступления на федеральную государственную гражданскую службу (работу) в Росаккредитацию (территориальный орган Росаккредитации; организацию, находящуюся в ведении Росаккредитации; организацию, созданную для выполнения задач, поставленных перед Росаккредитацией);
сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;
информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
сведения о классном чине федеральной государственной гражданской службы и (или) гражданской службы субъекта Российской Федерации и (или) муниципальной службы, дипломатический ранг, воинское и (или) специальное звание, классный чин правоохранительной службы, классный чин юстиции (кем и когда присвоены);
сведения о родителях, детях, сестрах, братьях, о супруге (бывшем или бывшей супруге) (дата рождения, место рождения, места работы (службы), домашний адрес);
сведения о форме и дате оформления допуска к государственной тайне, ранее имевшемся и (или) имеющемся;
сведения о государственных наградах, иных наградах и знаках отличия;
сведения о пребывании за границей (когда, где, с какой целью);
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
сведения о близких родственниках (родителях, братьях, сестрах, детях), а также супругах, в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество (при его наличии), с какого времени проживают за границей);
реквизиты страхового свидетельства обязательного пенсионного страхования, содержащиеся в нем сведения;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования, содержащиеся в нем сведения;
сведения о воинском учете, реквизиты документов воинского учета, а также сведения, содержащиеся в документах воинского учета;
сведения о наличии (отсутствии) судимости;
сведения о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также сведения о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруга (супруги) и несовершеннолетних детей;
номер расчетного счета;
номер банковской карты;
номера контактных телефонов (домашнего, служебного, мобильного) и другие виды связи;
сведения о наличии (отсутствии) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению;
сведения об инвалидности, сроке действия установленной инвалидности;
иные сведения, которые я пожелал(а) сообщить о себе.
Вышеуказанные персональные данные предоставляю для обработки в целях обеспечения соблюдения в отношении меня законодательства Российской Федерации в сфере отношений, связанных с поступлением на федеральную государственную гражданскую службу Российской Федерации (работу), ее прохождением и прекращением (служебных (трудовых) и непосредственно связанных с ними отношений), для реализации полномочий, возложенных законодательством Российской Федерации на Росаккредитацию.
Персональные данные, а именно: фамилию, имя, отчество (при наличии) разрешаю использовать в качестве общедоступных в электронной почте и системе электронного документооборота Росаккредитации, а также в иных случаях, предусмотренных законодательством Российской Федерации об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления.
Персональные данные, а именно: дату рождения (число, месяц и год рождения) и фотографию разрешаю/не разрешаю (нужное подчеркнуть) использовать в качестве общедоступных для публикации на внутреннем информационном портале Росаккредитации, а также в иных случаях, предусмотренных законодательством Российской Федерации об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления.
Я ознакомлен(а), что:
согласие на обработку персональных данных действует с даты подписания настоящего согласия в течение всего срока федеральной государственной гражданской службы (работы) в Росаккредитации (территориальном органе Росаккредитации; организации, находящейся в ведении Росаккредитации; организации, созданной для выполнения задач, поставленных перед Росаккредитацией);
согласие на обработку персональных данных может быть отозвано на основании письменного заявления в произвольной форме;
в случае отзыва согласия на обработку персональных данных Росаккредитация вправе продолжить обработку персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451;2021, N 27, ст. 5159);
после увольнения с федеральной государственной гражданской службы (прекращения трудовых отношений) персональные данные хранятся в Росаккредитации в течение срока хранения документов, предусмотренного действующим законодательством Российской Федерации в области архивного дела;
персональные данные, предоставляемые в отношении третьих лиц, будут обрабатываться только в целях осуществления и выполнения функций, возложенных законодательством Российской Федерации на Росаккредитацию.
Дата начала обработки персональных данных:
_________________________ ____________________________
(дата) (подпись)
Приложение N 24
к приказу Федеральной службы по аккредитации
от "___" __________ 20___ г. N ___
| УТВЕРЖДАЮ |
|---|
| ____ _______________ 20___ |
Акт классификации информационной системы персональных данных Федеральной службы по аккредитации по уровню защищенности персональных данных
Настоящий акт составлен в соответствии с положениями постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Комиссия, в составе:
| Председатель комиссии: | |
|---|---|
| (должность назначенного лица, фамилия и инициалы) | |
| Члены комиссии: | |
| (должность назначенного лица, фамилия и инициалы) | |
| (должность назначенного лица, фамилия и инициалы) | |
| (должность назначенного лица, фамилия и инициалы) | |
| (должность назначенного лица, фамилия и инициалы) |
провела определение уровня защищенности персональных данных (далее - ПДн) при их обработке в Федеральной государственной информационной системе Федеральной службы по аккредитации (далее - ФГИС Росаккредитации).
КОМИССИЯ УСТАНОВИЛА:
В состав персональных данных пользователей, обрабатываемых в ФГИС Росаккредитации, входят:
- ________________
- ________________
- ________________
В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" ФГИС Росаккредитации является информационной системой персональных данных со следующими квалификационными характеристиками, определенными постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных":
- в ФГИС Росаккредитации (не) обрабатываются специальные категории ПДн - сведения о судимости;
- в ФГИС Росаккредитации (не) обрабатываются биометрические ПДн (данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн);
- в ФГИС Росаккредитации (не) обрабатываются ПДн полученные из общедоступных источников персональных данных;
- в ФГИС Росаккредитации обрабатываются персональные данные более/менее 100 000 субъектов, (не) являющихся сотрудниками оператора;
В ФГИС Росаккредитации на системном и прикладном уровнях используются следующие виды программного обеспечения:
1. ____________________
2. ____________________
С учетом вышеизложенного для ФГИС Росаккредитации признаются актуальными угрозы 1/2/3-го типа типа - (не) связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.
КОМИССИЯ РЕШИЛА:
В соответствии с п.9/10/11/12 постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" установить необходимость обеспечения 1 (первого) / 2 (второго) /3 (третьего) / 4 (четвертого) уровня защищенности персональных данных при их обработке в ФГИС Росаккредитации.
| Председатель комиссии | (подпись) | (фамилия и инициалы) |
|---|---|---|
| Члены комиссии | (подпись) | (фамилия и инициалы) |
| (подпись) | (фамилия и инициалы) | |
| (подпись) | (фамилия и инициалы) | |
| (подпись) | (фамилия и инициалы) |
Обзор документа
Росаккредитация подготовила проект приказа об утверждении организационно-распорядительных документов по обработке и защите персональных данных.
Разработано положение об организации обработки и обеспечения безопасности персональных данных. Подготовлены инструкции для работы информационной системы, средств криптографической защиты информации, антивирусной и парольной защиты, для резервного копирования и восстановления данных. Представлены проекты форм необходимых документов.
