29 марта 2024 года, пятница 14:20
В базе 55 000 документов За неделю добавлено +28

Положение о разрешительной системе допуска к информационным ресурсам информационных систем персональных данных территориального органа Росреестра (проект)

Документ относится к группе «Реестр». Рекомендуем сохранить ссылку на эту страницу в своем социальном профиле или скачать файл в удобном вам формате.

Приложение А к Положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных федеральной службы государственной регистрации, кадастра и картографии



ПОЛОЖЕНИЕ (ИНСТРУКЦИЯ) О РАЗРЕШИТЕЛЬНОЙ СИСТЕМЕ ДОПУСКА К ОБРАБАТЫВАЕМОЙ В ИСПДН ИНФОРМАЦИИ (ПРОЕКТ)

                                                      УТВЕРЖДАЮ

Руководитель
территориального органа Росреестра
_________________
(личная подпись)
"__" _________ 2013 г.

ПОЛОЖЕНИЕ
о разрешительной системе допуска к информационным ресурсам
информационных систем персональных данных территориального
органа Росреестра

(Проект)

СОГЛАСОВАНО                                             СОГЛАСОВАНО

2013


1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее "Положение о разрешительной системе допуска к информационным ресурсам информационных систем персональных данных территориального органа Росреестра" (далее - Положение) разработано в соответствии с Федеральным законом "О персональных данных" от 27.07.2006 N 152-ФЗ, Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и руководящими документами ФСТЭК России по вопросам обеспечения безопасности персональных данных, разработанными в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 N 1119.

1.2. Разрешительная система доступа к информационным ресурсам информационных систем персональных данных территориального органа Росреестра (далее - ИСПДн территориального органа Росреестра) представляет собой совокупность процедур оформления прав субъектов на доступ к информационным ресурсам (ИР) (объектам доступа) Росреестра и прав и обязанностей ответственных лиц, осуществляющих реализацию этих процедур.

1.3. Действие настоящего Положения распространяется на структурные подразделения территориального органа Росреестра.

1.4. Объектами доступа являются:

- ИР, обрабатываемые в ИСПДн Росреестра (в том числе содержащие персональные данные), в виде баз данных, библиотек, архивов и на отдельных съемных носителях;

- технологическая информация системы защиты информации ИСПДн Росреестра.

1.5. Субъектами доступа являются:

- уполномоченные работники Росреестра и территориальных органов Росреестра (далее - территориальные органы Росреестра);

- уполномоченные органы государственной власти и юридические лица;

- физические лица - субъекты персональных данных (ПДн);

- уполномоченные представители субъектов ПДн.

1.6. Субъекты доступа несут персональную ответственность за соблюдение ими установленного порядка обеспечения защиты ИР ИСПДн Росреестра.

1.7. Ответственными лицами, осуществляющими реализацию процедур оформления и прав субъектов на доступ к ИР, являются:

- руководитель Росреестра;

- назначенные работники информационной безопасности территориального органа Росреестра (далее - подразделение информационной безопасности (ИБ));

- руководители отделов территориальных органов Росреестра, управлений и отделов Росреестра;

- администраторы ИСПДн Росреестра;

- администратор безопасности информации.



2. ПОРЯДОК ФОРМИРОВАНИЯ ИНФОРМАЦИОННЫХ РЕСУРСОВ ИСПДН РОСРЕЕСТРА

2.1. Порядок формирования и использования информационных ресурсов ИСПДн Росреестра в соответствии с Федеральным законом от 07.07.2003 N 126-ФЗ "О связи", Постановлением Правительства Российской Федерации от 18.05.2005 N 310 "Об утверждении правил оказания услуг местной, внутризоновой, междугородной и международной телефонной связи", Постановлением Правительства Российской Федерации от 10.09.2007 N 575 "Об утверждении правил оказания телематических услуг связи", главой 14 Трудового кодекса Российской Федерации (Федеральный закон от 30.12.2001 N 197-ФЗ) определяется Росреестром, который является собственником информационных ресурсов ИСПДн Росреестра.

2.2. Подлежащие защите информационные ресурсы ИСПДн включаются в "Перечень информационных ресурсов, подлежащих защите в ИСПДн территориального органа Росреестра" (Приложение N 1).



3. ДОПУСК К ИНФОРМАЦИОННЫМ РЕСУРСАМ ИСПДН РОСРЕЕСТРА

3.1. Наделение пользователей полномочиями доступа к информационным ресурсам ИСПДн Росреестра

3.1.1. Лица, доступ которых к персональным данным, обрабатываемым в ИСПДн Росреестра, необходим для выполнения служебных (трудовых) обязанностей, допускаются к ним на основании списков 9 , утверждаемых руководителем Росреестра (руководителем/заместителем руководителя территориального органа Росреестра).

9 Списки пользователей оформляются в виде отдельного документа.

3.1.2. Необходимость доступа работника к ИР ИСПДн Росреестра определяет начальник структурного подразделения Росреестра, территориального органа Росреестра на основании должностных (трудовых) обязанностей работника. Допуск работников к информации, содержащей персональные данные, осуществляется в объеме, необходимом для выполнения ими должностных обязанностей. Права доступа работников к защищаемой информации определяются в Матрице доступа.

3.1.3. Основанием для предоставления (изменения либо прекращения (отзыва)) прав доступа пользователям ИСПДн Росреестра является заполненная в установленном порядке письменная Заявка, подписанная начальником структурного подразделения Росреестра, территориального органа Росреестра и согласованная с начальником соответствующего структурного подразделения - обладателя информационного ресурса, а также руководителем подразделения ИБ (уполномоченным лицом в удаленных подразделениях территориального органа Росреестра).

3.1.4. Согласованная заявка является разрешением на допуск и основанием для регистрации пользователя в сети администратором ИСПДн.

Оформленная заявка поступает к администратору безопасности информации, который ее визирует и направляет администратору ИСПДн, осуществляющему администрирование указанных в заявке ИСПДн Росреестра.

После получения заявки администратор ИСПДн в соответствии с документацией на средства защиты производит необходимые действия по созданию (изменению, удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам ИСПДн Росреестра, включению его в соответствующие группы пользователей и другие необходимые действия. Для всех пользователей ИСПДн Росреестра устанавливается режим принудительного запроса смены пароля не реже одного раза в квартал.

Уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе, присваивается каждому пользователю ИСПДн для обеспечения персональной ответственности за свои действия. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя ("группового имени") запрещается.

3.1.5. При изменении должностных обязанностей работника, связанных с переводом в другое подразделение, переводом на другую должность и т.п., учетная запись пользователя на основании заявки начальника соответствующего структурного подразделения подлежит изменению (корректировке), при этом старые полномочия аннулируются.

3.1.6. При необходимости уполномоченный работник (администратор) в соответствии с назначаемыми правами доступа осуществляют настройку телекоммуникационных средств ИСПДн Росреестра в части контроля доступа пользователей.

3.1.7. Администратор ИСПДн проводит регистрацию прав доступа к ресурсам указанных в заявке рабочих станций (автоматизированных рабочих мест) с отметкой изменений в Матрице доступа и другие необходимые операции.

3.1.8. После внесения изменений в Матрицу доступа администратор безопасности информации производит настройку (при их наличии) специализированных средств защиты рабочих станций (автоматизированных рабочих мест).

3.1.9. По результатам изменений в правах доступа администратор безопасности информации и администратор ИСПДн делают отметку об исполнении задания на бланке Заявки.

3.1.10. Все изменения в правах доступа выполняются администраторами не позднее трех суток с момента получения заявки на внесение изменений.

3.1.11. Работнику, зарегистрированному в качестве нового пользователя системы, под роспись (подпись) доводится имя соответствующего ему пользователя и начальное значение пароля, которое он обязан сменить при первом же входе в систему (при первом подключении к ИСПДн).

3.1.12. Оригиналы исполненных заявок хранятся в подразделении ИБ (администратора безопасности информации) и могут впоследствии использоваться в следующих случаях:

- для восстановления полномочий пользователей после сбоев в ИСПДн;

- для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;

- для проверки правильности настройки средств разграничения доступа к ресурсам ИСПДн.

3.1.13. Блокирование учетных записей на время отпуска пользователей ИСПДн Росреестра осуществляется администратором ИСПДн по заявке начальника соответствующего структурного подразделения. Учетная запись пользователя ИСПДн Росреестра может быть временно разблокирована, либо изменены права доступа по заявке начальника структурного подразделения, в котором работает пользователь.



3.2. Отзыв прав доступа

3.2.1. При увольнении должностных лиц - пользователей ИСПДн Росреестра и/или лишения их прав доступа к ресурсам ИСПДн Росреестра начальник структурного подразделения, в котором работает увольняемый работник, подает заявку на имя заместителя руководителя, ответственного за ИТ территориального органа Росреестра/Управления информационных технологий и эксплуатации систем Росреестра (далее - подразделение ИТ). Руководитель подразделения ИТ визирует Заявку, утверждая тем самым лишение прав пользователя на доступ к информационным ресурсам ИСПДн Росреестра.

3.2.2. После визирования Заявка на бумажном носителе или в электронном виде поступает к соответствующему администратору ИСПДн и администратору безопасности информации.

3.2.3. Администратор ИСПДн удаляет учетные записи из всех указанных в заявке списков доступа.

Администратор безопасности информации:

- проводит смену (удаление) действующих настроек прав доступа на соответствующих средствах защиты в соответствии с изменившимися полномочиями;

- производит необходимые отметки в Матрице доступа;

- совместно с непосредственным руководителем работника анализирует целостность данных, к которым имел доступ работник.

Удаление или сохранение содержимого почтового ящика, личных локальных и сетевых папок согласовывается с начальником структурного подразделения и администратором безопасности информации.

Администратор безопасности информации вместе с администратором ИСПДн анализирует автоматизированное рабочее место уволенного работника на наличие закладок, вирусов, после чего все данные на жестком диске работника уничтожаются и операционная система (ОС) на рабочем месте переинсталлируется.

По результатам изменений в правах доступа администратор безопасности информации и администратор ИСПДн делают отметку об исполнении задания на бланке Заявки.

Все изменения в правах доступа, связанные с увольнением пользователя ИСПДн Росреестра, выполняются администраторами не позднее трех суток с момента получения заявки на внесение изменений.



3.3. Порядок и периодичность проверки прав пользователей

Проверка прав пользователей проводится администратором безопасности информации с периодичностью не реже одного раза в три месяца путем сравнения прав согласно утвержденной Матрице доступа с правами пользователей по доступу к информационным ресурсам, указанным в Матрице доступа к информационным ресурсам ИСПДн Росреестра.



4. ДОПУСК К ИНФОРМАЦИОННЫМ РЕСУРСАМ ИСПДН РОСРЕЕСТРА СТОРОННИХ ОРГАНИЗАЦИЙ

4.1. К организациям, деятельность которых не связана с выполнением функций ИСПДн Росреестра, относятся в том числе:

- правоохранительные органы;

- судебные органы;

- органы статистики;

- органы исполнительной и законодательной власти субъектов Российской Федерации;

- средства массовой информации и др.

4.2. Допуск к информационным ресурсам сторонних организаций, деятельность которых не связана с исполнением функций ИСПДн Росреестра, регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение такой информации, а также настоящим Положением.

4.3. Доступ к информационным ресурсам ИСПДн Росреестра сторонних организаций осуществляется на основании письменных запросов.

В письменном запросе указывается:

- основание (с приведением ссылки на нормативный акт), в соответствии с которым предоставляется информация;

- для каких целей необходима информация;

- конкретное наименование предоставляемой информации и ее объем;

- способ доступа (предоставления).

4.4. Основанием для доступа (предоставления) информации служит резолюция уполномоченного руководителя (Росреестра или территориального органа Росреестра) на соответствующем документе (запросе).



5. ДОПУСК К ИНФОРМАЦИОННЫМ РЕСУРСАМ ИСПДН РОСРЕЕСТРА СТОРОННИХ ОРГАНИЗАЦИЙ, ВЫПОЛНЯЮЩИХ РАБОТЫ НА ДОГОВОРНОЙ ОСНОВЕ

5.1. К организациям, выполняющим работы на договорной основе, могут относиться:

- организации, оказывающие услуги связи от имени Росреестра на основании договора по поручению услуг связи третьему лицу;

- организации, осуществляющие монтаж и настройку ИСПДн Росреестра, сопровождение программно-прикладного обеспечения и технических средств;

- организации, оказывающие услуги в области защиты информации (проведение обследований, монтаж и настройка средств защиты информации, контроль эффективности системы защиты информации, аттестация объектов информатизации и т.п.);

- другие организации, оказывающие услуги по информационно-техническому обеспечению, и т.п.

5.2. Порядок допуска определяется в договоре на выполнение работ (оказание услуг) в соответствии с требованиями Федерального закона от 21.07.2005 N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд". Обязательным условием договора является заключение соглашения о конфиденциальности.

5.3. Решением о допуске является подписанный в установленном порядке "Договор на выполнение работ или оказание услуг".

5.4. Доступ к информационным ресурсам ИСПДн Росреестра сторонних организаций осуществляется на основании:

- письменных запросов;

- письменных соглашений (договоров) сторон об обмене информацией.

5.5. В письменном запросе (договоре) указывается:

- основание (ссылка на нормативный акт, договор), в соответствии с которым предоставляется информация;

- для каких целей необходима информация;

- конкретное наименование предоставляемой информации и ее объем;

- способ доступа (предоставления).

5.6. Основанием для доступа (предоставления) информации служит резолюция руководителя Росреестра/руководителя территориального органа Росреестра на соответствующем документе (запросе).

5.7. При наличии официального соглашения со сторонней организацией о допуске (предоставлении) к информации доступ к ней осуществляется в порядке, указанном в подписанном соглашении (договоре).

5.8. Запрещается передача электронных копий баз данных любым сторонним организациям, за исключением санкционированных случаев передачи электронных файлов, выгружаемых из баз данных в рамках осуществления уставной деятельности Росреестра.

5.9. В договор на оказание услуг включается условие о неразглашении сведений, составляющих персональные данные, а также иной защищаемой информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.



6. КОНТРОЛЬ ФУНКЦИОНИРОВАНИЯ РАЗРЕШИТЕЛЬНОЙ СИСТЕМЫ ДОПУСКА К ИНФОРМАЦИОННЫМ РЕСУРСАМ ИСПДН РОСРЕЕСТРА

6.1. Контроль функционирования разрешительной системы допуска к информационным ресурсам организуется в соответствии с:

- планом основных мероприятий по защите информации на текущий год;

- функциональными обязанностями должностных лиц;

- приказами руководителей Росреестра и территориальных органов Росреестра.

6.2. Контроль функционирования разрешительной системы допуска к информационным ресурсам осуществляется ответственными должностными лицами Росреестра и территориальных органов Росреестра.

Организация контроля возлагается на руководителей подразделений ИБ, а также на начальников структурных подразделений, назначенных ответственными за защиту информации (ПДн).



Источник - Приказ Росреестра от 29.01.2013 № П/31

, заглавная страница
Похожие документы