Политика в отношении обработки персональных данных

Приложение 1 к Приказу

от 06.11.2015 № 181/ОД

ПОЛОЖЕНИЕ о разрешительной системе допуска к информационным системам персональных данных в ГКОУ НАО "Ненецкая СКШИ"

1. Общие положения

1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом «О персональных данных» от 27 июля 2006г. № 152-ФЗ, постановлением Правительства Российской Федерации от 15 сентября 2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативными документами.
2. Разрешительная система допуска к информационным системам персональных данных (далее - ИСПДн) Государственного казенного "Ненецкая специальная (коррекционная) школа-интернат" (далее - ГКОУ НАО "Ненецкая СКШИ") представляет собой совокупность процедур оформления права субъектов на доступ к информационным ресурсам (объекты доступа) организации, содержащим персональные данные, и ответственных лиц, осуществляющих реализацию этих процедур.
3. Объектами доступа являются:

документированная информация на бумажных носителях в виде отдельных документов или дел;

информационные ресурсы в информационной системе в виде баз данных, библиотек, архивов и их копий на машинных носителях.

4. Субъектами доступа являются: работники ГКОУ НАО "Ненецкая СКШИ"; юридические и физические лица.
5. Субъекты доступа несут персональную ответственность за соблюдение ими установленного в ГКОУ НАО "Ненецкая СКШИ" порядка обеспечения защиты информационных ресурсов.
6. Ответственными лицами ГКОУ НАО "Ненецкая СКШИ", осуществляющими реализацию процедур оформления прав субъектов на доступ к информационным ресурсам, являются:

- руководитель;

заместители руководителя;

начальники отделов;

администратор ИСПДн, ИБ;

ответственный за обработку персональных данных;

• ответственный за обеспечение безопасности персональных данных (администратор безопасности).

2. Перечень используемых определений, обозначений и сокращений

АИБ - администратор информационной безопасности.

АРМ - автоматизированное рабочее место.

ИБ - информационная безопасности.

ИС - информационная система.

ИСПДн - информационная система персональных данных.

3. Порядок формирования информационных ресурсов организации

1. Формирование информационных ресурсов на бумажных носителях осуществляется в структурных подразделениях и регламентируется внутренними документами ГКОУ НАО "Ненецкая СКШИ".
2. Информационные ресурсы, формируемые в ИС подразделяются на: сетевые ресурсы с доступом одной группы пользователей (ресурсыотдела);

сетевые ресурсы с доступом нескольких групп пользователей (базы данных и т.п.);

ресурсы общего пользования (справочно-информационные система, библиотеки, каталоги и т.п.);сетевой ресурс почтового обмена; сетевые принтеры; ресурсы пользователя (сетевые или локальные).

3. Информационные ресурсы, содержащие персональные данные, указываются в «Перечне защищаемых информационных ресурсов».
4. Решение о формировании новых информационных ресурсов принимает начальник отдела, инициирующего это решение. В заявке на формирование обосновывается необходимость создания новых информационных ресурсов и указывается, в интересах каких групп пользователей они создаются.
5. Непосредственное формирование нового сетевого информационного ресурса осуществляется администратором ИСПДн. На исполненной заявке администратор ИСПДн, проставляет отметку о создании и местонахождении ресурса.
6. На основании исполненной заявки вносятся изменения и дополнения в «Матрицу разграничения доступа» (Приложение 1 к настоящему Положению) и «Перечень защищаемых информационных ресурсов».

4. Допуск к информационным ресурсам работников организации

1. Допуск работников к информации, содержащей персональные данные, осуществляется в соответствии с занимаемой должностью и в объеме, необходимом для выполнения ими должностных обязанностей.
2. Допуск к персональным данным разрешается руководителем, только уполномоченным лицам с соблюдением требований «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
3. Допуск работника к информационным ресурсам ИСПДн, оформляется заявкой администратору ИСПДн, которая предоставляется начальником соответствующего отдела после согласования с руководителем. В заявке указывается, к каким ресурсам и с какими правами (полномочиями) допустить конкретного работника.

Заявку подписывает начальник Администрации, Администрации подтверждающий, что указанный сотрудник действительно принят в штат ГКОУ НАО "Ненецкая СКШИ".                            м

Заявка согласуется с АИБом и передается Администрации, Администрации.

Администрация, Администрация рассматривает представленную заявку и совершает необходимые операции по созданию учетной записи пользователя, присвоению ему начального значения пароля и прав доступа к ресурсам ГКОУ НАО "Ненецкая СКШИ" в соответствии с «Матрицей доступа».

По окончании регистрации учетной записи пользователя в заявке делается отметка о выполнении задания за подписями исполнителей.

Минимальные права в ИС ГКОУ НАО "Ненецкая СКШИ", определенные выше, а также присвоение начального пароля производится АИБом, при согласовании заявки на предоставление (изменение) прав доступа пользователя к ИР.

4. Процедура предоставления (или изменения) прав доступа пользователя к ресурсам ГКОУ НАО "Ненецкая СКШИ" инициируется заявкой руководителя структурного подразделения сотрудника.

Заявка согласуется с АИБом и передается Администрации, Администрации на исполнение.

По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.

5. При наступлении момента прекращения срока действия полномочий пользователя (окончание договорных отношений, увольнение сотрудника) учетная запись должна немедленно блокироваться.                                                                                                                                 1

Предпочтительно использовать механизмы автоматического блокирования учетных записей уволенных сотрудников, используя соответствующие ИС. При невозможности автоматического блокирования учетных записей, сотрудникам сопоставляются временные учетные записи (с фиксированным сроком действия), о чем делается отметка в заявке при ее исполнении и в обязательном порядке доводится до инициатора заявки.

Допускается регистрация постоянных учетных записей при отсутствии механизмов автоматической блокировки. В этом случае Специалист по кадрам

Администрации, Администрации обязан своевременно подавать заявки на блокирование учетной записи сотрудника не позднее, чем за сутки до момента прекращения срока действия полномочий пользователя.

Заявку подписывает Специалист по кадрам Администрации, Администрации, утверждая тем самым факт прекращения срока действия полномочий пользователя.

АИБ рассматривает представленную заявку и передает заявку на исполнение Администрации, Администрации.

По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.

В случае необходимости сохранения персональных документов (профайла пользователя) на АРМ сотрудника, после прекращения срока действия его полномочий, сотрудник (или его непосредственный руководитель) должен своевременно (не позднее, чем за 3 суток до момента прекращения срока действия своих полномочий) подать заявку на блокирование учетной записи пользователя с указанием срока хранения указанной информации. Заявка должна подаваться даже в случае применения механизмов автоматической блокировки учетных записей уволенных сотрудников.

Такая заявка должна быть предварительно согласована с АИБом, и после выполнения действий по блокированию учетной записи передается Администрации, Администрации для исполнения требования по сохранению данных.

6. Исполненные заявки передаются АИБу, и хранятся в архиве в течение 5 лет с момента окончания предоставления доступа к ИС ГКОУ НАО "Ненецкая СКШИ".

Копии исполненных заявок хранятся у системного администратора.

В случае невозможности исполнения инициатору заявки направляется мотивированный отказ с приложением Заявки.

7. Администратором безопасности (или ответственным лицом) проверяется соответствие требуемых прав доступа с реально необходимыми для выполнения должностных (функциональных) обязанностей данного работника.
8. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в сети администратором ИСПДн.

5. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций организации

1. 1. К организациям, деятельность которых не связана с исполнением функций организации, могут относиться:правоохранительные органы; судебные органы; органы статистики;

органы исполнительной и законодательной власти субъектов Российской Федерации;

средства массовой информации и пр.

1. 2. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций организации, регламентируется законодательством Российской Федерации, договорами и соглашениями об информационном обмене и другими нормативными актами.

6. Допуск к информационным ресурсам организации сторонних организаций, выполняющих работы в организации на договорной основе

1. К организациям, выполняющим работы на договорной основе, могут относиться:

организации, выполняющие строительные работы и осуществляющие ремонт зданий, систем инженерно-технического обеспечения (отопления, освещения, водоснабжения, канализации, электропитания, кондиционирования и т.п.);

организации, осуществляющие монтаж и настройку технических средств ИСПДн, сопровождение программно-прикладного обеспечения;

организации, оказывающие услуги в области защиты информации (проведение специальных проверок и исследований, монтаж и настройка средств защиты информации, контроль эффективности системы защиты информации, аттестация объектов информатизации и т.п.);

организации, осуществляющие поставку товаров для обеспечения повседневной деятельности (мебели, канцтоваров, оргтехники, расходных материалов и т.п.);

организации и частные лица, оказывающие юридические услуги, услуги по         информационно-техническому                                                               обеспечению,              осуществляющие

преподавательскую деятельность и т.п.

2. Порядок допуска определяется в договоре на выполнение работ (оказание услуг), в соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
3. Решением о допуске является подписанный в установленном порядке договор на выполнение работ или оказание услуг.
4. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений. Со всех работников сторонней организации, участвующих в выполнении работ, в этом случае берется подписка о неразглашении таких сведений.

7. Доступ к информационным ресурсам организации

1. Правила и процедуры доступа к информационным ресурсам ГКОУ НАО "Ненецкая СКШИ" определяются «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и «Положением о разрешительной системе допуска».
2. Администрирование прав доступа к информации в ИСПДн, производится

администратором ИСПДн.

7.3. После регистрации пользователя в ИСПДн, администратор безопасности вносит изменения в «Матрицу разграничения доступа» для последующего контроля прав и полномочий пользователя.

8. Контроль функционирования разрешительной системы допуска к информационным ресурсам организации

1. Контроль функционирования разрешительной системы допуска к информационным ресурсам организуется в соответствии с:

планом основных мероприятий по защите информации на текущий год; функциональными обязанностями должностных лиц; приказами руководителя.

2. Контроль функционирования разрешительной системы допуска к информационным ресурсам осуществляется ответственными лицами. Организация контроля возлагается на администратора безопасности.