Инструкция ответственного за обеспечение безопасности персональных данных в архивной службе и подведомственных ей государственных архивах РСО-Алания
ПРОЕКТ
Приложение № 7
УТВЕРЖДЕНО
Приказом Архивной службы
РСО-Алания от 30.08. 2011 г. № 23
Инструкция
ответственного за обеспечение безопасности персональных данных в Архивной службе и подведомственных ей государственных архивах РСО-Алания
Перечень сокращений
ИБ | - информационная безопасность; | |
ИСПДн | - информационная система персональных данных; | |
ПДн | - персональные данные; | |
СВТ | - средства вычислительной техники. |
1.Общие положения
1.1. Настоящая Инструкция определяет основные обязанности, права и ответственность лица, назначенного ответственным за обеспечение безопасности персональных данных (ПДн), обрабатываемых в информационных системах персональных данных (ИСПДн) в Архивной службе и подведомственных ей государственных архивах (далее – госархивах) Республики Северная Осетия-Алания. 1.2. Ответственный за обеспечение безопасности ПДн: назначается руководителем Архивной службы Республики Северная Осетия-Алания и функционально подчиняется начальнику подразделения, в штате которого он состоит; руководствуется требованиями нормативных документов Российской Федерации, нормативных актов Архивной службы Республики Северная Осетия-Алания, настоящей Инструкцией, а также другими распорядительными документами в части, его касающейся; в пределах своих функциональных обязанностей обеспечивает руководство процессом обеспечения безопасности ПДн, контроль над соблюдением инструкций по работе с ИСПДн, а также в пределах своих полномочий принимает меры при выявлении несоблюдения требований по защите ПДн, по привлечению к ответственности виновных лиц; обеспечивает безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники (СВТ) в ИСПДн Архивной службы и госархивов Республики Северная Осетия-Алания, а также обрабатываемой без использования средств автоматизации; обязан, в случае увольнения, все носители защищаемой информации (рукописи, черновики, чертежи, диски, дискеты, распечатки с принтеров, модели, материалы, изделия и пр.), которые находились в его распоряжении в связи с выполнением им служебных обязанностей во время работы передать начальнику подразделения, в штате которого он состоит. 1.3. Ответственный за обеспечение безопасности ПДн и администратор безопасности организуют проверку ИСПДн на предмет несанкционированного доступа к конфиденциальной информации и наличие документов и машинных носителей информации.
2.Функции и обязанности ответственного лица
Ответственное лицо обязано: 1) четко знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации (в том числе персональных данных) и распоряжений, регламентирующих порядок действий по защите информации; 2) разрабатывать и поддерживать в актуальном состоянии Перечень персональных данных, обрабатываемых в Архивной службе и госархивах Республики Северная Осетия-Алания; 3) организовывать подачу уведомлений в уполномоченный орган по защите прав субъектов персональных данных; 4) знать перечень подразделений, где осуществляется обработка ПДн, а также лиц, допущенных к обработке ПДн; 5) знать перечень задач, решаемых с использованием СВТ, по обработке ПДн; 6) производить классификацию информационных систем персональных данных, разрабатывать и представлять на утверждение руководителю Архивной службы акты классификации ИСПДн; 7) разрабатывать и поддерживать в актуальном состоянии модели угроз безопасности персональных данных; 8) организовывать работы по разработке внутренних нормативных документов по защите ПДн, принимать участие в их актуализации, представлять документы на утверждение руководителю Архивной службы; 9) распределять ответственность по вопросам обработки ПДн и обеспечению безопасности ПДн между исполнителями; 10) проводить мероприятия по контролю лояльности администратора ИБ ИСПДн; 11) определять необходимость обучения сотрудников по вопросам обеспечения безопасности ПДн, формы и программы обучения сотрудников Архивной службы и госархивов Республики Северная Осетия-Алания; 12) осуществлять контроль за целевым использованием автоматизированного рабочего места, а также всех его внешних устройств, за выполнением пользователями СВТ установленного комплекса мероприятий по обеспечению безопасности информации; 13) контролировать целостность печатей (пломб) на устройствах СВТ; 14) осуществлять плановые и внеплановые проверки соблюдения требований всех лиц, допущенных к обработке ПДн, а также выполнять другие возложенные на него работы в соответствии с распорядительными, инструктивными и методическими материалами в части, его касающейся; 15) осуществлять контроль соответствия изменений в составе и архитектуре ИСПДн требованиям нормативных документов Российской Федерации по защите ПДн, а также внутренних организационно-распорядительных документов Архивной службы; 16) обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических СВТ и отправке их в ремонт; 17) контролировать ввод в действие, эксплуатацию системы защиты персональных данных; 18) рассматривать поступающие предложения по усовершенствованию системы защиты персональных данных; 19) контролировать своевременное обновление программного обеспечения элементов ИСПДн и системы защиты ПДн по мере появления таких обновлений; 20) осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов; 21) в случае возникновения нештатных ситуаций (сбоев) принимать меры согласно требованиям соответствующих инструкций; 22) контролировать ведение «Журнала учета нештатных ситуаций»; 23) проводить служебные расследования фактов нарушений или угроз нарушения безопасности защищаемой информации. 24) организовывать и осуществлять взаимодействие с надзорными и регулирующими органами по вопросам защиты ПДн.
3.Права ответственного за обеспечение безопасности персональных данных
Ответственный за обеспечение безопасности ПДн имеет право: 1) требовать от пользователей безусловного соблюдения установленной технологии обработки персональных данных, выполнения требований внутренних документов Архивной службы, регламентирующих вопросы обеспечения безопасности ПДн; 2) контролировать работу пользователей в части соблюдения ими требований по обеспечению безопасности ПДн; 3) требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования СВТ; 4) инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности в ИСПДн в Архивной службе и госархивах Республики Северная Осетия-Алания; 5) инициировать привлечение к ответственности сотрудников Архивной службы и госархивов Республики Северная Осетия-Алания, не соблюдающих установленные требования по обеспечению безопасности персональных данных.
4.Ответственность ответственного за обеспечение безопасности персональных данных
4.1. Ответственный за обеспечение безопасности ПДн несет ответственность: за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей Инструкцией, другими инструктивными документами в соответствии с действующим трудовым законодательством Российской Федерации, за полноту и качество проводимых им работ по обеспечению безопасности персональных данных; за правонарушения, совершенные в процессе своей деятельности в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации; за разглашение сведений конфиденциального характера и другой защищаемой информации Архивной службы и госархивов Республики Северная Осетия-Алания в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.
5.Порядок пересмотра инструкции
Инструкция подлежит полному пересмотру при изменении требований законодательства Российской Федерации в части обеспечения безопасности персональных данных, приводящих к существенным изменениям технологии обработки и обеспечения безопасности персональных данных. Полный пересмотр Инструкции проводится ответственным за обеспечение безопасности ПДн по согласованию с руководителем Архивной службы с целью проверки соответствия ее положений реальным условиям применения их в Архивной службе и госархивах Республики Северная Осетия-Алания. Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности ПДн в Архивной службе и госархивах Республики Северная Осетия-Алания. Вносимые изменения не должны противоречить другим положениям Инструкции.
4.Ответственные за организацию и контроль выполнения инструкции
Ответственным за контроль выполнения требований данной Инструкции является заместитель руководителя Архивной службы РСО-Алания. Ответственность за соблюдение требований настоящей Инструкции возлагается на ответственного за обеспечение безопасности ПДн и директоров госархивов РСО-Алания.
_____________
приложение № 1
ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ № ____ регистрации изменений в Инструкции
№ п.п. |
Дата |
Внесенное изменение |
Основание (наименование, № и дата документа) |
Кем внесено изменение (должность, подпись) |
ЛИСТ ОЗНАКОМЛЕНИЯ
с Инструкцией ответственного за обеспечение безопасности персональных данных, утвержденной и введенной в действие «30» августа 2011 г.
№ п/п |
Фамилия, инициалы сотрудника |
Дата ознакомления |
Расписка сотрудника в ознакомлении |