Обработка персональных данных
Инструкция пользователя информационных систем персональных данных областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»
УТВЕРЖДЕНО
приказом директора
ОГБУК «БОУНБ им. Шолом-Алейхема»
от «19» февраля 2014 года № 25/4
ИНСТРУКЦИЯ
пользователя информационных систем персональных данных областного
государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»
1. Назначение Инструкции
Настоящая Инструкция разработана на основании требований Федерального закона от 27.07.2006 № 152 «О персональных данных».
Настоящая Инструкция состоит из правил, направленных на защиту персональных данных обрабатываемых в информационных системах персональных данных областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» от нежелательного разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности, незаконного тиражирования.
Список используемых сокращений, термины и определения
АРМ |
Автоматизированное рабочее место |
БД |
Базы данных |
ВП |
Вредоносная программа |
ИС |
Информационная система |
ИСПДн |
Информационная система персональных данных |
ЛВС |
Локально-вычислительная сеть |
НСД |
Несанкционированный доступ |
ПДн |
Персональные данные |
ПЭВМ |
Персональная электронно-вычислительная машина |
СЗИ |
Средство защиты информации |
СВТ |
Средство вычислительной техники |
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Доступ к информации – возможность получения информации и ее использования.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с Перечнем присвоенных идентификаторов.
Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Конфиденциальность персональных данных – обязательное для соблюдения областным государственным бюджетным учреждением культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Ресурс информационной системы – именованный элемент системного прикладного или аппаратного обеспечения функционирования информационной системы.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
2. Область применения
Инструкция является внутренним нормативным документом, регламентирующим деятельность областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» в сфере защиты ПДн. Требования настоящей Инструкции обязательны для выполнения всеми работниками областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема», которые допущены к обработке ПДн.
3. Общие положения
Целью настоящей Инструкции является оказание помощи работникам областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» в практической реализации мер защиты и обеспечения безопасности информации при использовании информационных систем персональных данных (ИСПДн) областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема».
4. Нормативные ссылки
4.1.Внешние нормативные документы
- Федеральный закон Российской Федерации от 08.06.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- «Положение о методах и способах защиты информации в информационных системах персональных данных» – утверждено приказом ФСТЭК России от 05.02.2010 № 58;
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» – утверждена заместителем директора ФСТЭК России 14.02.2008;
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» – утверждены заместителем директора ФСТЭК России 15.02.2008.
4.2. Внутренние нормативные документы областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»:
− Приказ директора ОГБУК «БОУНБ им. Шолом-Алейхем» от 17.02.2014 № 24 «О создании комиссии по приведению деятельности ОГБУК «БОУНБ им. Шолом-Алейхем» в соответствие с требованиями законодательных и нормативных актов, регламентирующих обработку персональных данных»;
− «Положение об обработке персональных данных работников областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;
− «Положение об обработке персональных данных третьих лиц в областном государственном бюджетном учреждении культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;
− «Положение об организации и обеспечении защиты персональных данных при их обработке в информационных системах персональных данных областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;
− «Политика в отношении обработки персональных данных ОГБУК «БОУНБ им. Шолом-Алейхема».
5. Задачи и обязанности пользователей
5.1. Пользователи ИСПДн имеют право:
− обрабатывать (создавать, редактировать и копировать) ПДн в пределах установленных им прав и полномочий;
− обращаться к Администратору информационной безопасности ИСПДн с просьбой об оказании технической и методической помощи при работе с общесистемным и прикладным программным обеспечением, установленным в ИСПДн, с системой защиты информации от несанкционированного доступа (НСД).
По всем возникающим вопросам обеспечения безопасности информации (неисправностях) при работе в ИСПДн необходимо обращаться к Администратору информационной безопасности данной ИСПДн.
5.2. На пользователей ИСПДн возлагается:
− выполнение в объеме должностных полномочий и обязанностей требований нормативных (руководящих) документов по защите ПДн;
− соблюдение конфиденциальности ПДн;
− защита целостности и доступности ПДн;
− сохранение действующего и используемого аутентификатора и другой парольной документации в тайне;
− при увольнении, перемещении в другое структурное подразделение, а также при уходе в отпуск (длительную командировку) необходимо сообщить об этом Администратору информационной безопасности ИСПДн;
− своевременное информирование непосредственного руководителя о возникновении предпосылок к нарушению конфиденциальности ПДн и о фактах нарушения, ставших ему известными;
− использование только разрешенных к применению программных продуктов и носителей информации;
− выполнение требований по обеспечению защиты информации ИСПДн от НСД и вредоносных программ;
− выполнение требований по исключению несанкционированного использования закрепленного АРМ и носителей информации;
− соблюдение правил эксплуатации средств вычислительной техники.
5.3. Пользователям ИСПДн запрещается:
− передавать ПДн по незащищенным (открытым) каналам связи (электронная почта);
− использовать скомпрометированные электронные аутентификаторы и парольную документацию;
− осуществлять без сопровождения ответственных работников допуск посторонних лиц в помещения, в которых размещены средства обработки информации содержащей ПДн;
− подключать к СВТ, участвующих в обработке ПДн, нештатные блоки и устройства, самовольно изменять схему подключения блоков, размещение СВТ;
− использовать незарегистрированные отчуждаемые носители информации содержащие ПДн;
− выносить учтенные носители информации, содержащие ПДн, за пределы областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» без соответствующего разрешения;
− использовать поступающие из сторонних организаций отчуждаемые носители информации без предварительной проверки их на наличие вирусов. При обнаружении на носителе зараженного и не поддающегося лечению файла дальнейшее использование носителя не допускается;
− умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению нештатной ситуации. Об обнаружении такого рода ошибок необходимо ставить в известность Администратора информационной безопасности ИСПДн.
6. Правила обеспечения конфиденциальности ПДн
6.1. В период исполнения трудовых обязанностей пользователи обязаны:
− выполнять относящиеся к ним требования приказов, инструкций и положений по обеспечению безопасности персональных данных;
− не разглашать сведения, являющиеся персональными данными, которые будут им доверены, станут известными случайно или по роду работы;
− не передавать третьим лицам и раскрывать публично сведения, составляющие персональные данные, без согласия субъекта данных, кроме случаев, оговоренных во внутренних организационно-распорядительных документах пределы областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;
− не использовать знания персональных данных субъектов для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущерб субъекту областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;
− об утрате или недостаче носителей содержащих персональные данные, а также причинах и условиях возможной утечке ПДн немедленно сообщать своим непосредственным руководителям и ответственному за защиту ПДн в областном государственном бюджетном учреждении культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема».
− в случае попытки посторонних лиц получить сведения к ПДн немедленно поставить в известность ответственного за защиту ПДн;
− размещать экран ПЭВМ образом, исключающим просмотр отображаемых на экране ПДн, лицами не допущенными к их обработке.
Обработка ПДн разрешена только в помещениях областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема», доступ к которым разграничен. Запрещается обработка и хранение ПДн на мобильных устройствах и незарегистрированных отчуждаемых носителях информации.
В помещениях, где расположены элементы ИСПДн запрещается фото и видеосъемка, без разрешения администратора информационной безопасности ИСПДн.
После увольнения из областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема», работники обязаны не разглашать, не передавать третьим лицам, не раскрывать публично сведения, составляющие ПДн, в течение срока, определенного «Соглашением о неразглашении».
7. Правила защиты ПДн от воздействий вредоносного кода
При работе с ПДн, как составе ИСПДн так и отдельно, пользователи должны соблюдать требования «Положения об организации и обеспечении защиты персональных данных при их обработке в информационных системах персональных данных ОГБУК «БОУНБ им. Шолом-Алейхема».
7.1. Пользователь обязан:
− проверять все файлы, полученные любым образом, с любых носителей информации или сетей общего пользования, средствами антивирусной защиты;
− проверять все файлы, передаваемые третьим лицам на наличие вредоносного кода системой антивирусной защиты до их передачи;
− осуществлять постоянный визуальный контроль за изменениями в работе своих ПЭВМ:
- периодически повторяющиеся сообщения средства защиты;
- изменился привычный характер работы хорошо известных программ;
- изменилось привычное количество файлов;
- появились ранее не встречавшиеся системные сообщения или эффекты;
- перестала загружаться операционная система;
- сообщать администратору информационной безопасности ИСПДн о любом инциденте, связанном с выявлением компьютерного вируса или вредоносных программ.
- в случае любых инцидентов связанных с работой системы антивирусной защиты предпринимать действия согласно «Регламента организации антивирусной защиты областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема», утверждаемого директором областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема».
7.2. Пользователям запрещается:
− изменять какие-либо настройки средств антивирусной защиты;
− отключать средства антивирусной защиты;
− устанавливать другие средства антивирусной защиты;
− подключать к автоматизированным рабочим местам незарегистрированные отчуждаемых носителей информации (дискеты, компакт-диски, съемные жесткие диски, сотовые телефоны, карманные персональные компьютеры, фотоаппараты и иные носители информации);
− осуществлять намеренные попытки написания, компиляции, хранения, запуска, пропагандирования или распространения пользователями компьютерных вирусов или вредоносных программ, а также иного кода предназначенного для саморазмножения, нанесения ущерба или снижения производительности систем областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;
− производить любые действия с файлами, вызывающими подозрение на заражение вредоносным кодом;
− предпринимать самостоятельные попытки по удалению компьютерного вируса или вредоносной программы;
− распространять информацию о типе и структуре систем защиты сети областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» или об инцидентах связанных воздействием вредоносного кода.
Пользователи обязаны сообщать администратору информационной безопасности ИСПДн о ставших им известными случаях нарушений правил защиты от воздействий вредоносного кода.
8. Правила использования ПЭВМ при обработке ПДн
При работе с ПДн, как составе ИСПДн так и отдельно, пользователи должны соблюдать требования «Положения об организации и обеспечении защиты персональных данных при их обработке в информационных системах персональных данных ОГБУК «БОУНБ им. Шолом-Алейхема».
Все компьютеры (серверы, ПЭВМ, ноутбуки), периферийные устройства (принтеры, сканеры), комплектующие (компьютерные мыши, клавиатуры, дисководы и т.п.), коммуникационное оборудование (сетевые карты, HUB, Switch и т.п.) и программное обеспечение являются собственностью областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» и должны использоваться только для выполнения задач определенных в должностных регламентах работников.
8.1 Пользователи обязаны:
− строго следовать предписаниям пользовательской документации;
− бережно обращаться с ПЭВМ и предпринимать все необходимые меры для предотвращения неавторизованного доступа, потерь и хищения информации;
− осуществлять хранение всей информации в местах, определенных документацией на ИСПДн, с реализованным механизмом разграничения доступа.
− обязаны выключать свои ПЭВМ по окончании рабочего дня.
8.2. Пользователям запрещено:
− использовать ИСПДн в нерегламентированных режимах;
− осуществлять несанкционированное вскрытие системных блоков ПЭВМ и периферийного оборудования;
− самостоятельно изменять конфигурацию своих ПЭВМ и подключать к ним какие-либо устройства;
− приносить собственные компьютеры, периферийные устройства, комплектующие и программное обеспечение;
− подключать к своим ПЭВМ другие ПЭВМ, а также незарегистрированные отчуждаемых носителей информации (дискеты, компакт-диски, съемные жесткие диски, сотовые телефоны, карманные персональные компьютеры, фотоаппараты и иные носители информации);
− подключать ПЭВМ к любым сетям, способом позволяющим обойти механизмы защиты информации, используемые в областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;
− выносить из помещений областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» любые элементы ПЭВМ, являющиеся собственностью областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;
− предоставлять доступ к своим ПЭВМ другим пользователям;
− использовать в качестве рабочих личные ПЭВМ;
− загружать любое программное обеспечения из сетей общего пользования;
− устанавливать программное обеспечение на ПЭВМ;
− изменять (обновлять) программное обеспечение;
− участвовать в обмене пиратским программным обеспечением, серийными номерами программного обеспечения, нарушающем и/или ущемляющем права правообладателей обмениваемой информации.
В областном государственном бюджетном учреждении культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» используется стандартная конфигурация программного обеспечения. Установка, удаление или изменение его настроек, а также разрешение любых исключений в реализации требований по информационной безопасности производится в индивидуальном порядке и только администратором информационной безопасности.
Пользователи обязаны сообщать администратору информационной безопасности ИСПДн о ставших им известными случаях нарушений правил использования ПЭВМ.
8.3. Ответственность за нарушение требований Инструкции
Инструкция является локальным организационно-распорядительным документом областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема», обязательным для выполнения (в части касающейся) всеми работниками.
На работников возлагается персональная ответственность за невыполнение и/или нарушение требований и положений, установленных настоящей Инструкцией.
Владельцы ключевой информации средств криптографической защиты применяемых в ИСПДн несут полную ответственность за обеспечение сохранности, неразглашения и нераспространения ключей и ключевой информации.
Лица, виновные в нарушении безопасности ПДн в ИСПДн, могут быть привлечены к дисциплинарной, административной и уголовной ответственности в соответствии с действующим законодательством Российской Федерации и административно-правовыми нормами, установленными в областном государственном бюджетном учреждении культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема».
8.4. Порядок внесения изменений
Настоящая Инструкция может быть пересмотрена рабочей группой, наделенной подобными полномочиями. Все изменения отражаются в Листе изменений. Измененная Инструкция утверждается в установленном порядке. Утратившие актуальность версии Инструкции хранятся не менее срока, определяемого директором областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» для хранения регламентирующих документов.
Приложение 1
Лист изменений
Лист изменений
№ |
Приказ/ дата |
Название |
Лист/ Статья |
Содержание изменения |
Характер |
Изменения произвел |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Лист ознакомления
с Инструкцией пользователя информационных систем
персональных данных областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная
библиотека им. Шолом-Алейхема»
Ф.И.О. |
Занимаемая должность |
Личная подпись |
Дата |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|