Инструкция пользователя информационных систем персональных данных областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»

УТВЕРЖДЕНО
приказом директора
ОГБУК «БОУНБ им. Шолом-Алейхема»
от «19» февраля 2014 года № 25/4

ИНСТРУКЦИЯ
пользователя информационных систем персональных данных областного
государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»

1. Назначение Инструкции

Настоящая Инструкция разработана на основании требований Федерального закона от 27.07.2006 № 152 «О персональных данных».

Настоящая Инструкция состоит из правил, направленных на защиту персональных данных обрабатываемых в информационных системах персональных данных областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» от нежелательного разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности, незаконного тиражирования.

Список используемых сокращений, термины и определения

АРМ

Автоматизированное рабочее место

БД

Базы данных

ВП

Вредоносная программа

ИС

Информационная система

ИСПДн

Информационная система персональных данных

ЛВС

Локально-вычислительная сеть

НСД

Несанкционированный доступ

ПДн

Персональные данные

ПЭВМ

Персональная электронно-вычислительная машина

СЗИ

Средство защиты информации

СВТ

Средство вычислительной техники

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Доступ к информации – возможность получения информации и ее использования.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с Перечнем присвоенных идентификаторов.

Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Конфиденциальность персональных данных – обязательное для соблюдения областным государственным бюджетным учреждением культуры «Биробиджанская областная универсальная научная библиотека  им. Шолом-Алейхема» или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение  (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Ресурс информационной системы – именованный элемент системного прикладного или аппаратного обеспечения функционирования информационной системы.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

2. Область применения

Инструкция является внутренним нормативным документом, регламентирующим деятельность областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» в сфере защиты ПДн. Требования настоящей Инструкции обязательны для выполнения всеми работниками областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема», которые допущены к обработке ПДн.

3. Общие положения

Целью настоящей Инструкции является оказание помощи работникам областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» в практической реализации мер защиты и обеспечения безопасности информации при использовании информационных систем персональных данных (ИСПДн) областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема».

4. Нормативные ссылки

4.1.Внешние нормативные документы

-  Федеральный закон Российской Федерации от 08.06.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

-  Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

-  Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;

-  Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-  Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

-   «Положение о методах и способах защиты информации в информационных системах персональных данных» – утверждено приказом ФСТЭК России от 05.02.2010 № 58;

-     «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» – утверждена заместителем директора ФСТЭК России 14.02.2008;

-  «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» – утверждены заместителем директора ФСТЭК России 15.02.2008.

4.2. Внутренние нормативные документы областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»:

− Приказ директора ОГБУК «БОУНБ им. Шолом-Алейхем» от 17.02.2014 № 24 «О создании комиссии по приведению деятельности ОГБУК «БОУНБ им. Шолом-Алейхем» в соответствие с требованиями законодательных и нормативных актов, регламентирующих обработку персональных данных»;

− «Положение об обработке персональных данных работников областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;

− «Положение об обработке персональных данных третьих лиц в областном государственном бюджетном учреждении культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;

− «Положение об организации и обеспечении защиты персональных данных при их обработке в информационных системах персональных данных областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;

− «Политика в отношении обработки персональных данных ОГБУК «БОУНБ им. Шолом-Алейхема».

5. Задачи и обязанности пользователей

5.1. Пользователи ИСПДн имеют право:

− обрабатывать (создавать, редактировать и копировать) ПДн в пределах установленных им прав и полномочий;

− обращаться к Администратору информационной безопасности ИСПДн с просьбой об оказании технической и методической помощи при работе с общесистемным и прикладным программным обеспечением, установленным в ИСПДн, с системой защиты информации от несанкционированного доступа (НСД).

По всем возникающим вопросам обеспечения безопасности информации (неисправностях) при работе в ИСПДн необходимо обращаться к Администратору информационной безопасности данной ИСПДн.

5.2. На пользователей ИСПДн возлагается:

− выполнение в объеме должностных полномочий и обязанностей требований нормативных (руководящих) документов по защите ПДн;

− соблюдение конфиденциальности ПДн;

− защита целостности и доступности ПДн;

− сохранение действующего и используемого аутентификатора и другой парольной документации в тайне;

− при увольнении, перемещении в другое структурное подразделение, а также при уходе в отпуск (длительную командировку) необходимо сообщить об этом Администратору информационной безопасности ИСПДн;

− своевременное информирование непосредственного руководителя о возникновении предпосылок к нарушению конфиденциальности ПДн и о фактах нарушения, ставших ему известными;

− использование только разрешенных к применению программных продуктов и носителей информации;

− выполнение требований по обеспечению защиты информации ИСПДн от НСД и вредоносных программ;

− выполнение требований по исключению несанкционированного использования закрепленного АРМ и носителей информации;

− соблюдение правил эксплуатации средств вычислительной техники.

5.3. Пользователям ИСПДн запрещается:

− передавать ПДн по незащищенным (открытым) каналам связи (электронная почта);

− использовать скомпрометированные электронные аутентификаторы и парольную документацию;

− осуществлять без сопровождения ответственных работников допуск посторонних лиц в помещения, в которых размещены средства обработки информации содержащей ПДн;

− подключать к СВТ, участвующих в обработке ПДн, нештатные блоки и устройства, самовольно изменять схему подключения блоков, размещение СВТ;

− использовать незарегистрированные отчуждаемые носители информации содержащие ПДн;

− выносить учтенные носители информации, содержащие ПДн, за пределы областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» без соответствующего разрешения;

− использовать поступающие из сторонних организаций отчуждаемые носители информации без предварительной проверки их на наличие вирусов. При обнаружении на носителе зараженного и не поддающегося лечению файла дальнейшее использование носителя не допускается;

− умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению нештатной ситуации. Об обнаружении такого рода ошибок необходимо ставить в известность Администратора информационной безопасности ИСПДн.

6. Правила обеспечения конфиденциальности ПДн

6.1. В период исполнения трудовых обязанностей пользователи обязаны:

− выполнять относящиеся к ним требования приказов, инструкций и положений по обеспечению безопасности персональных данных;

− не разглашать сведения, являющиеся персональными данными, которые будут им доверены, станут известными случайно или по роду работы;

− не передавать третьим лицам и раскрывать публично сведения, составляющие персональные данные, без согласия субъекта данных, кроме случаев, оговоренных во внутренних организационно-распорядительных документах пределы областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;

− не использовать знания персональных данных субъектов для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущерб субъекту областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;

− об утрате или недостаче носителей содержащих персональные данные, а также причинах и условиях возможной утечке ПДн немедленно сообщать своим непосредственным руководителям и ответственному за защиту ПДн в областном государственном бюджетном учреждении культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема».

− в случае попытки посторонних лиц получить сведения к ПДн немедленно поставить в известность ответственного за защиту ПДн;

− размещать экран ПЭВМ образом, исключающим просмотр отображаемых на экране ПДн, лицами не допущенными к их обработке.

Обработка ПДн разрешена только в помещениях областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема», доступ к которым разграничен. Запрещается обработка и хранение ПДн на мобильных устройствах и незарегистрированных отчуждаемых носителях информации.

В помещениях, где расположены элементы ИСПДн запрещается фото и видеосъемка, без разрешения администратора информационной безопасности ИСПДн.

После увольнения из областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема», работники обязаны не разглашать, не передавать третьим лицам, не раскрывать публично сведения, составляющие ПДн, в течение срока, определенного «Соглашением о неразглашении».

7. Правила защиты ПДн от воздействий вредоносного кода

При работе с ПДн, как составе ИСПДн так и отдельно, пользователи должны соблюдать требования «Положения об организации и обеспечении защиты персональных данных при их обработке в информационных системах персональных данных ОГБУК «БОУНБ им. Шолом-Алейхема».

7.1. Пользователь обязан:

− проверять все файлы, полученные любым образом, с любых носителей информации или сетей общего пользования, средствами антивирусной защиты;

− проверять все файлы, передаваемые третьим лицам на наличие вредоносного кода системой антивирусной защиты до их передачи;

− осуществлять постоянный визуальный контроль за изменениями в работе своих ПЭВМ:

- периодически повторяющиеся сообщения средства защиты;

- изменился привычный характер работы хорошо известных программ;

- изменилось привычное количество файлов;

- появились ранее не встречавшиеся системные сообщения или эффекты;

- перестала загружаться операционная система;

- сообщать администратору информационной безопасности ИСПДн о любом инциденте, связанном с выявлением компьютерного вируса или вредоносных программ.

- в случае любых инцидентов связанных с работой системы антивирусной защиты предпринимать действия согласно «Регламента организации антивирусной защиты областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема», утверждаемого директором областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема».

7.2. Пользователям запрещается:

− изменять какие-либо настройки средств антивирусной защиты;

− отключать средства антивирусной защиты;

− устанавливать другие средства антивирусной защиты;

− подключать к автоматизированным рабочим местам незарегистрированные отчуждаемых носителей информации (дискеты, компакт-диски, съемные жесткие диски, сотовые телефоны, карманные персональные компьютеры, фотоаппараты и иные носители информации);

− осуществлять намеренные попытки написания, компиляции, хранения, запуска, пропагандирования или распространения пользователями компьютерных вирусов или вредоносных программ, а также иного кода предназначенного для саморазмножения, нанесения ущерба или снижения производительности систем областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;

− производить любые действия с файлами, вызывающими подозрение на заражение вредоносным кодом;

− предпринимать самостоятельные попытки по удалению компьютерного вируса или вредоносной программы;

− распространять информацию о типе и структуре систем защиты сети областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» или об инцидентах связанных воздействием вредоносного кода.

Пользователи обязаны сообщать администратору информационной безопасности ИСПДн о ставших им известными случаях нарушений правил защиты от воздействий вредоносного кода.

8. Правила использования ПЭВМ при обработке ПДн

При работе с ПДн, как составе ИСПДн так и отдельно, пользователи должны соблюдать требования «Положения об организации и обеспечении защиты персональных данных при их обработке в информационных системах персональных данных ОГБУК «БОУНБ им. Шолом-Алейхема».

Все компьютеры (серверы, ПЭВМ, ноутбуки), периферийные устройства (принтеры, сканеры), комплектующие (компьютерные мыши, клавиатуры, дисководы и т.п.), коммуникационное оборудование (сетевые карты, HUB, Switch и т.п.) и программное обеспечение являются собственностью областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека  им. Шолом-Алейхема» и должны использоваться только для выполнения задач определенных в должностных регламентах работников.

8.1 Пользователи обязаны:

− строго следовать предписаниям пользовательской документации;

− бережно обращаться с ПЭВМ и предпринимать все необходимые меры для предотвращения неавторизованного доступа, потерь и хищения информации;

− осуществлять хранение всей информации в местах, определенных документацией на ИСПДн, с реализованным механизмом разграничения доступа.

− обязаны выключать свои ПЭВМ по окончании рабочего дня.

8.2. Пользователям запрещено:

− использовать ИСПДн в нерегламентированных режимах;

− осуществлять несанкционированное вскрытие системных блоков ПЭВМ и периферийного оборудования;

− самостоятельно изменять конфигурацию своих ПЭВМ и подключать к ним какие-либо устройства;

− приносить собственные компьютеры, периферийные устройства, комплектующие и программное обеспечение;

− подключать к своим ПЭВМ другие ПЭВМ, а также незарегистрированные отчуждаемых носителей информации (дискеты, компакт-диски, съемные жесткие диски, сотовые телефоны, карманные персональные компьютеры, фотоаппараты и иные носители информации);

− подключать ПЭВМ к любым сетям, способом позволяющим обойти механизмы защиты информации, используемые в областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема»;

− выносить из помещений областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» любые элементы ПЭВМ, являющиеся собственностью областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека  им. Шолом-Алейхема»;

− предоставлять доступ к своим ПЭВМ другим пользователям;

− использовать в качестве рабочих личные ПЭВМ;

− загружать любое программное обеспечения из сетей общего пользования;

− устанавливать программное обеспечение на ПЭВМ;

− изменять (обновлять) программное обеспечение;

− участвовать в обмене пиратским программным обеспечением, серийными номерами программного обеспечения, нарушающем и/или ущемляющем права правообладателей обмениваемой информации.

В областном государственном бюджетном учреждении культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» используется стандартная конфигурация программного обеспечения. Установка, удаление или изменение его настроек, а также разрешение любых исключений в реализации требований по информационной безопасности производится в индивидуальном порядке и только администратором информационной безопасности.

Пользователи обязаны сообщать администратору информационной безопасности ИСПДн о ставших им известными случаях нарушений правил использования ПЭВМ.

8.3. Ответственность за нарушение требований Инструкции

Инструкция является локальным организационно-распорядительным документом областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема», обязательным для выполнения (в части касающейся) всеми работниками.

На работников возлагается персональная ответственность за невыполнение и/или нарушение требований и положений, установленных настоящей Инструкцией.

Владельцы ключевой информации средств криптографической защиты применяемых в ИСПДн несут полную ответственность за обеспечение сохранности, неразглашения и нераспространения ключей и ключевой информации.

Лица, виновные в нарушении безопасности ПДн в ИСПДн, могут быть привлечены к дисциплинарной, административной и уголовной ответственности в соответствии с действующим законодательством Российской Федерации и административно-правовыми нормами, установленными в областном государственном бюджетном учреждении культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема».

8.4. Порядок внесения изменений

Настоящая Инструкция может быть пересмотрена рабочей группой, наделенной подобными полномочиями. Все изменения отражаются в Листе изменений. Измененная Инструкция утверждается в установленном порядке. Утратившие актуальность версии Инструкции хранятся не менее срока, определяемого директором областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная библиотека им. Шолом-Алейхема» для хранения регламентирующих документов.

Приложение 1
Лист изменений

Лист изменений


версии

Приказ/

дата

Название
документа

Лист/

Статья

Содержание изменения

Характер
изменения

Изменения произвел

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Лист ознакомления
с Инструкцией пользователя информационных систем
персональных данных областного государственного бюджетного учреждения культуры «Биробиджанская областная универсальная научная
библиотека им. Шолом-Алейхема»

Ф.И.О.

Занимаемая должность

Личная подпись

Дата