Типы документов

Реклама

Партнеры


Приказ Управления Росреестра по МО от 29.04.2015 N 132-Пр "Об утверждении Положения о допуске к персональным данным в Управлении Федеральной службы государственной регистрации, кадастра и картографии по Московской области"



УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ,
КАДАСТРА И КАРТОГРАФИИ ПО МОСКОВСКОЙ ОБЛАСТИ

ПРИКАЗ
от 29 апреля 2015 г. № 132-Пр

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ДОПУСКЕ К ПЕРСОНАЛЬНЫМ ДАННЫМ
В УПРАВЛЕНИИ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ,
КАДАСТРА И КАРТОГРАФИИ ПО МОСКОВСКОЙ ОБЛАСТИ

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" приказываю:
1. Утвердить Положение о допуске к персональным данным в Управлении Федеральной службы государственной регистрации, кадастра и картографии по Московской области согласно приложению к настоящему приказу.
2. Контроль за исполнением настоящего приказа оставляю за собой.

И.о. руководителя
С.И. Богданов





Приложение
к приказу Управления
Федеральной службы государственной
регистрации, кадастра и картографии
по Московской области
от 29 апреля 2015 г. № 132-Пр

ПОЛОЖЕНИЕ
О ДОПУСКЕ К ПЕРСОНАЛЬНЫМ ДАННЫМ В УПРАВЛЕНИИ ФЕДЕРАЛЬНОЙ
СЛУЖБЫ ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ, КАДАСТРА
И КАРТОГРАФИИ ПО МОСКОВСКОЙ ОБЛАСТИ

1. Общие положения

Настоящее Положение регламентирует вопросы обеспечения безопасности персональных данных (далее - ПДн) при их обработке в информационных системах персональных данных (далее - ИСПДн) в Управлении Федеральной службы государственной регистрации, кадастра и картографии по Московской области (далее - Управление) и определяет порядок доступа к информационным ресурсам ИСПДН Управления.
Настоящее Положение разработано на основании следующих основных нормативных правовых актов и документов в области обеспечения безопасности ПДн:
- Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (в редакции от 25.07.2011 № 261-ФЗ);
- постановление Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановление Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 № 282.
Действие настоящего Положения не распространяется на вопросы, связанные с обработкой ПДн, осуществляемой без использования средств автоматизации. Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Управления, определяются в отдельном документе с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687.

2. Допуск к информационным ресурсам ИСПДн Управления

2.1. Наделение пользователей полномочиями доступа
к информационным ресурсам ИСПДн Управления

2.1.1. Лица, доступ которых к персональным данным, обрабатываемым в ИСПДн Управления, необходим для выполнения служебных (трудовых) обязанностей, допускаются к ним на основании списков пользователей, утверждаемых руководителем Управления.
2.1.2. Необходимость доступа работника к информационным ресурсам ИСПДн Управления определяет начальник структурного подразделения Управления на основании должностных (трудовых) обязанностей работника. Допуск работников к информации, содержащей персональные данные, осуществляется в объеме, необходимом для выполнения ими должностных обязанностей.
2.1.3. Основанием для предоставления (изменения либо прекращения (отзыва) прав доступа пользователям ИСПДн Управления является заполненная в установленном порядке письменная Заявка (приложение к настоящему Положению), подписанная начальником структурного подразделения Управления и согласованная с начальником соответствующего структурного подразделения обладателя информационного ресурса.
2.1.4. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в сети администратором ИСПДн.
Оформленная заявка поступает к администратору безопасности информации, который ее визирует и направляет администратору ИСПДн, осуществляющему администрирование указанных в заявке ИСПДн Управления.
После получения заявки администратор ИСПДн в соответствии с документацией на средства защиты производит необходимые действия по созданию (изменению, удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам ИСПДн Управления, включению его в соответствующие группы пользователей и другие необходимые действия. Для всех пользователей ИСПДн Управления устанавливается режим принудительного запроса смены пароля не реже одного раза в квартал.
Уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе, присваивается каждому пользователю ИСПДн для обеспечения персональной ответственности за свои действия. В случае производственной необходимости пользователю ИСПДн могут быть предоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя ("группового имени") запрещается.
2.1.5. При изменении должностных обязанностей работника, связанных с переводом в другое подразделение, переводом на другую должность и т.п., учетная запись пользователя на основании заявки начальника соответствующего структурного подразделения подлежит изменению (корректировке), при этом старые полномочия аннулируются.
2.1.6. При необходимости уполномоченный работник (администратор) в соответствии с назначаемыми правами доступа осуществляет настройку телекоммуникационных средств ИСПДн Управления в части контроля доступа пользователей.
2.1.7. Администратор ИСПДн проводит регистрацию прав доступа к ресурсам указанных в заявке рабочих станций (автоматизированных рабочих мест) с отметкой изменений доступа и другие необходимые операции.
2.1.8. После внесения изменений доступа администратор безопасности информации производит настройку (при их наличии) специализированных средств защиты рабочих станций (автоматизированных рабочих мест).
2.1.9. По результатам изменений в правах доступа администратор безопасности информации и администратор ИСПДн делают отметку об исполнении задания на бланке Заявки.
2.1.10. Все изменения в правах доступа выполняются администраторами не позднее трех рабочих дней с момента получения заявки на внесение изменений.
2.1.11. Работнику, зарегистрированному в качестве нового пользователя системы, под подпись доводится имя соответствующего ему пользователя и начальное значение пароля, которое он обязан сменить при первом же входе в систему (при первом подключении к ИСПДн).
2.1.12. Оригиналы исполненных заявок хранятся в Отделе информационных систем, технических средств и каналов связи Управления (администратора безопасности информации) и могут впоследствии использоваться в следующих случаях:
- для восстановления полномочий пользователей после сбоев в ИСПДн;
- для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;
- для проверки правильности настройки средств разграничения доступа к ресурсам ИСПДн.
2.1.13. Блокирование учетных записей на время отпуска пользователей ИСПДн Управления осуществляется администратором ИСПДн по заявке начальника соответствующего структурного подразделения. Учетная запись пользователя ИСПДн Управления может быть временно разблокирована, либо изменены права доступа по заявке начальника структурного подразделения, в котором работает пользователь.

2.2. Отзыв прав доступа

2.2.1. При увольнении должностных лиц - пользователей ИСПДн Управления и/или лишения их прав доступа к ресурсам ИСПДн Управления начальник структурного подразделения, в котором работает увольняемый работник, подает заявку на имя заместителя руководителя, курирующего Отдел эксплуатации информационных систем, технических средств и каналов связи Управления (далее - Отдел ИТ). Заместитель руководителя Управления визирует Заявку, утверждая тем самым лишение прав пользователя на доступ к информационным ресурсам ИСПДн Управления.
2.2.2. После визирования Заявка на бумажном носителе или в электронном виде поступает в Отдел ИТ.
2.2.3. Администратор ИСПДн удаляет учетные записи из всех указанных в заявке списков доступа.
Администратор безопасности информации:
- проводит смену (удаление) действующих настроек прав доступа на соответствующих средствах защиты в соответствии с изменившимися полномочиями;
- производит необходимые отметки доступа;
- совместно с непосредственным руководителем работника анализирует целостность данных, к которым имел доступ работник.
Удаление или сохранение содержимого почтового ящика, личных локальных и сетевых папок согласовывается с начальником структурного подразделения и администратором безопасности информации.
Администратор безопасности информации вместе с администратором ИСПДн анализирует автоматизированное рабочее место уволенного работника на наличие закладок, вирусов, после чего все данные на жестком диске работника уничтожаются и операционная система (ОС) на рабочем месте переинсталлируется.
По результатам изменений в правах доступа администратор безопасности информации и администратор ИСПДн делают отметку об исполнении задания на бланке Заявки.
Все изменения в правах доступа, связанные с увольнением пользователя ИСПДн Управления, выполняются администраторами не позднее трех суток с момента получения заявки на внесение изменений.

3. Допуск к информационным ресурсам ИСПДн Управления
сторонних организаций

3.1. К организациям, деятельность которых не связана с выполнением функций ИСПДн Управления, относятся в том числе:
- правоохранительные органы;
- судебные органы;
- органы статистики;
- органы исполнительной и законодательной власти субъектов Российской Федерации;
- средства массовой информации и др.
3.2. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с выполнением функций ИСПДн Управления, регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение такой информации, а также настоящим Положением.
3.3. Доступ к информационным ресурсам ИСПДн Управления сторонних организаций осуществляется в соответствии с действующим законодательством на основании письменных запросов.
В письменном запросе указывается:
- основание (с приведением ссылки на нормативный акт), в соответствии с которым предоставляется информация;
- для каких целей необходима информация;
- конкретное наименование предоставляемой информации и ее объем;
- способ доступа (предоставления).
3.4. Основанием для доступа (предоставления) информации служит резолюция руководителя Управления на соответствующем документе (запросе).

4. Допуск к информационным ресурсам ИСПДн Управления
сторонних организаций, выполняющих работы
на договорной основе

4.1. К организациям, выполняющим работы на договорной основе, могут относиться:
- организации, оказывающие услуги связи от имени Управления на основании договора по поручению услуг связи третьему лицу;
- организации, осуществляющие монтаж и настройку ИСПДн Управления, сопровождение программно-прикладного обеспечения и технических средств;
- организации, оказывающие услуги в области защиты информации (проведение обследований, монтаж и настройка средств защиты информации, контроль эффективности системы защиты информации, аттестация объектов информатизации и т.п.);
- другие организации, оказывающие услуги по информационно-техническому обеспечению, и т.п.
4.2. Решением о допуске является подписанный в установленном порядке договор на выполнение работ или оказание услуг.
4.3. Доступ к информационным ресурсам ИСПДн Управления сторонних организаций осуществляется на основании:
- письменных запросов;
- письменных соглашений (договоров) сторон об обмене информацией.
4.4. В письменном запросе указывается:
- основание (ссылка на нормативный акт, договор), в соответствии с которым предоставляется информация;
- для каких целей необходима информация;
- конкретное наименование предоставляемой информации и ее объем;
- способ доступа (предоставления).
4.5. Основанием для доступа (предоставления) информации служит резолюция руководителя Управления на запросе.
4.6. При наличии официального соглашения со сторонней организацией о допуске (предоставлении) к информации доступ к ней осуществляется в порядке, указанном в подписанном соглашении (договоре).
4.7. Запрещается передача электронных копий баз данных любым сторонним организациям, за исключением санкционированных случаев передачи электронных файлов, выгружаемых из баз данных в рамках осуществления уставной деятельности Управления в соответствии с действующим законодательством.
4.8. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, а также иной защищаемой информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.
4.9. Допуск сотрудников Государственного казенного учреждения Московской области "Московский областной многофункциональный центр предоставления государственных и муниципальных услуг" осуществляется в соответствии с Соглашением о взаимодействии между Государственным казенным учреждением Московской области "Московский областной многофункциональный центр предоставления государственных и муниципальных услуг", Управлением и филиалом Федерального государственного бюджетного учреждения "Федеральная кадастровая палата Федеральной службы государственной регистрации, кадастра и картографии" по Московской области от 26.06.2013 № 01-12-8/13.

5. Контроль функционирования разрешительной системы
допуска к информационным ресурсам ИСПДн Управления

5.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам организуется в соответствии с:
- планом основных мероприятий по защите информации на текущий год;
- функциональными обязанностями должностных лиц;
- приказами руководителя Управления.
5.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам осуществляется ответственными должностными лицами Управления.
5.3. Организация контроля возлагается на заместителя руководителя Управления, непосредственно курирующего Отдел ИТ, а также на начальников структурных подразделений, назначенных ответственными за защиту информации (ПДн).





Приложение
к Положению

ФОРМА
ЗАЯВКИ ДЛЯ ПРЕДОСТАВЛЕНИЯ (ИЗМЕНЕНИЯ ЛИБО ПРЕКРАЩЕНИЯ
(ОТЗЫВА)) ПРАВ ДОСТУПА ПОЛЬЗОВАТЕЛЯМ ИСПДН УПРАВЛЕНИЯ


№ ФИО сотрудника Должность Наименование Наименование 2
Управления отдела информационной Уровень доступа
1
системы








__________________
1
Согласно приказу Управления от 08.10.2014 № 251-Пр.
2
Только для заявок на получение доступа к ПК ИС ЕГРП.


------------------------------------------------------------------