Инструктаж по информационной безопасности


Журнал учета проведения инструктажей по вопросам защиты информации

Инструктаж должны проходить все сотрудники центра занятости населения, осуществляющие обработку персональных данных как в автоматизированном, так и в неавтоматизированном виде. В журнале учета указывается ФИО инструктируемого, подразделение, вид инструктажа (инструктаж по антивирусной защите/по ответственности за обработку персональных данных и пр.), дата проведения инструктажа, ФИО инструктора и подписи обоих лиц (инструктаж могут проводить администратор ИБ ИСПДн, ответственный за обеспечение ИБ в центре занятости населения – в зависимости от типа инструктажа).

«Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.» - Требование ч.1 ст. 18.1 ФЗ-152 «О персональных данных».

Перечень обязательных инструктажей:

«Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • «Обеспечение антивирусной защиты при работе в информационных системах персональных данных»;
  • «Порядок парольной защиты при работе в информационных системах персональных данных»;
  • «Действия пользователей информационных систем персональных данных в нештатных ситуациях»;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 (только для сотрудников, ответственных за обеспечение сохранности материальных носителей ПДн)
В журнале в обязательно порядке должны фиксироваться все запросы субъектов ПДн на доступ к своим персональным данным, при наличии таких запросов. В соответствии с ч. 7 ст. 14 ФЗ-152 «О персональных данных» Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

«Субъект вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки…»

Запрос субъекта должен содержать:

  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
  • подпись субъекта персональных данных или его представителя.
В соответствии с ч.3 ст. 20 - Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Если субъекту были предоставлены его ПДн для ознакомления, он вправе отправить повторный запрос не ранее чем через 30 дней после первоначального обращения, если другой срок не установлен федеральным законодательством/договором/иным правовым актом, за исключениев случаев, если субъекту были предоставлены неполные сведения при первоначальном запросе, но в таком случае, в его повторном запросе должно быть обоснование направления запроса.

Оператор вправе отказать субъекту ПДн в выполнении повторного/первичного запроса, если у операторы имеются мотивированное обоснования отказа. Доказательства обоснования отказа лежит на операторе.

Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ-152 или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

При получении запроса от уполномоченного органа по защите прав субъектов ПДн какой либо информации – оператор обязан дать ответ в течение 30 дней с даты получения такого запроса

Формы уведомлений субъектов об уничтожении/уточнении/блокировании/ и пр. его ПДн приведены в Приложениях к Положению о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных центра занятости населения.Регистрацию запросов должен вести Ответственный за обеспечение ИБ ПДн.
  1. Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
В журнале учета СКЗИ должны быть учтены все средства криптографической защиты, в том числе и установленные на АРМ пользователей (VipNet Coordinator, VipNet Client), техническая (формуляры, сертификаты соответствия ) и ключевая информация (файлы в формате *.dst) к ним.Должны быть учтены программно-аппаратные средства (VipNet Coordinator).Учет должен вести администратор ИБ ИСПДн. При использовании в центре занятости населения съемных носителей ПДн (дискеты, CD-диски, flash носители) – все съемные носители персональных данных должны быть учтены в данном журнале учета.Учет должен вести администратор ИБ ИСПДн. При выдачи электронных носителей персональных данных сотрудникам центра занятости населения для пользования по служебной необходимости – все факты выдачи/приема данных носителей должны быть зафиксированы в данном журнале учета.Учет должен вести администратор ИБ ИСПДн. В журнале учета технических средств должны быть учтены все технические средства, на которых осуществляется обработка персональных данных с указанием:
  • наименования ТС, его заводского (серийного) номер;
  • ФИО пользователя ТС;
  • роспись о получении ТС в пользование и датой выдачи;
  • роспись в обратном приеме ТС и датой приема;
  • местом установки ТС.
Учет должен вести администратор ИСПДн. Каждая СЗПДн информационных систем персональных данных должна быть введена в промышленную эксплуатацию. СЗПДн вводится в промышленную эксплуатацию после внедрения СЗИ в ИСПДн и тестирования их функций. К моменту аттестации, ИСПДн должна быть введена в промышленную эксплуатацию.Также, в Приложении к приказу должен быть указан весь перечень программных и технических средств, принимаемых в промышленную эксплуатацию в составе системы защиты персональных данных ИСПДн (например СКЗИ VipNet, СЗИ от НСД SecretNet и пр.)Приказ должен подготовить Администратор ИБ ИСПДн совместно с Администратором ИСПДн. В данном приказе указывается перечень сотрудников и кабинетов, допущенных к обработке персональных данных в информационных системах персональных данных. Обязательно должен быть проведен инструктаж сотрудников по тематике «обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» с отметкой в Журнале инструктажа. Инструктаж проводит Ответственный за обеспечение ИБ ПДн. При наличии в штате только одного сотрудника (специалиста АСУ), он назначается администратором информационной безопасности систем персональных данных центра занятости населения.Перечень обязанностей АИБ представлен в инструкции администратора ИБ ИСПДн. В соответствии с требованиями Федерального Законодательства – должна быть проведена классификация информационных систем персональных данных центра занятости населения.Классификация должна быть документально закреплена во внутренних документах.Для выполнения данного требования должны быть создана комиссия для проведения классификации ИСПДн, в составе:
  • председатель комиссии - Ответственным за обеспечение ИБ
  • члены комиссии:
  • Администратором информационной безопасности ИСПДн;
  • Администратор ИСПДн;
  • Специалист отдела кадров/юрист/начальники структурных подразделений.
Акт классификации ИСПДн заполняется и подписывается лицами, определенными в приказе «О Создании комиссии для проведения классификации информационных систем персональных данных» Периодически в центре занятости населения должен осуществляться контроль защищенности персональных данных (периодичность определятся «Планом внутренних проверок состояния защиты персональных данных»).Для выполнения данного требования должны быть создана комиссия в составе:
  • председатель комиссии - Ответственный за обеспечение ИБ
  • члены комиссии:
  • Администратор информационной безопасности ИСПДн;
  • при необходимости - Администратор ИСПДн/Начальники структурных подразделений;
  1. Приказ «О создании комиссии по уничтожению персональных данных»
В соответствии со ст. 21 ФЗ-152, Оператор ПДн должен осуществлять уничтожение ПДн в случае:
  • отзыва субъектом персональных данных согласия на обработку его персональных данных оператор
  • если сохранение персональных данных более не требуется для целей обработки персональных данных)
  • достижения цели обработки персональных данных
  • неправомерной обработки персональных данных при обращении субъекта персональных данных либо уполномоченного органа по защите прав субъектов персональных данных
При необходимости уничтожении персональных данных – должна быть создана комиссия по уничтожению ПДн, в составе:
  • председатель комиссии - Ответственный за обеспечение ИБ;
  • члены комиссии:
  • Администратором информационной безопасности ИСПДн;
  • Администратор ИСПДн/Начальник структурного подразделения;
  • Начальник отдела кадров/юридической службы.
Уничтожение ПДн должны осуществляться при наступлении одного из следующих случаев:
  • по требованию субъекта ПДн, в определенных законом случаях;
  • при истечении срока хранения;
  • в случае выявления неправомерных действий с персональными данными и невозможности устранения допущенных нарушений;
  • в случае достижения цели обработки ПДн;
  • в случае утраты необходимости достижения цели обработки.
Формы актов уничтожения ПДн, а также уведомления субъектов об уничтожении его ПДн приведены в Приложениях к Положению о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных центра занятости населения. Ответственным за обеспечение безопасности персональных данных должен назначаться заместитель руководителя либо юрист центра занятости населения.В своей работе Ответственный за обеспечение ИБ центра занятости населения должен руководствоваться нормативными правовыми актами в области обеспечения безопасности ПДн, Положением о персональных данных и пр. внутренними документами центра занятости населения, регламентирующих деятельность по обеспечения безопасности ПДн. Ответственный за обеспечение безопасности ПДн должен осуществлять организацию работы и общий контроль информационной безопасности центра занятости населения. Данным приказом утверждается Перечень мест хранения материальных носителей персональных данных и лиц, ответственных за их сохранность.Сотрудники, ответственные за обеспечение материальных носителей ПДн должны быть ознакомлены Ответственным за обеспечение ИБ с постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 под роспись в журнале инструктажа. Данная инструкция используется в повседневной работе Администратором ИБ ИСПДн центра занятости населения.С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 2) Ответственный за обеспечение ИБ, Администратор ИБ ИСПДн. Данная инструкция используется в повседневной работе Администратором ИСПДн центра занятости населения.С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 2) Ответственный за обеспечение ИБ, Администратор ИСПДн. Все изменения прав доступа пользователя к информационным ресурсам ИСПДн должны оформляться заявкой на доступ (Приложение 1), подаваемой непосредственным руководителем сотрудника, которому необходимо изменение прав доступа.С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 3) Ответственный за обеспечение ИБ, Администратор ИСПДн, Администратор ИБ ИСПДн, Начальники структурных подразделений центра занятости населения. Данная инструкция регламентирует порядок действия при возникновении нештатной ситуации.С данной инструкцией должны быть ознакомлены (с отметкой на листе ознакомления) Администратор ИБ ИСПДн и Ответственный за обеспечение ИБ центра занятости населения. Пользователи ИСПДн должны быть ознакомлены с данной инструкцией только в части их касающейся (с отметкой и росписью Пользователя в Журнале инструктажа). С данной инструкцией должны быть ознакомлены все сотрудники центра занятости населения, работающие в информационных системах персональных данных.Пользователи должны быть проинструктированы и ознакомлены под роспись с данной инструкцией в части их касающейся с отметкой в журнале инструктажа.Ответственность за организацию работ по антивирусной защите несет Администратор информационной безопасности центра занятости населения.Общий контроль информационной безопасности возлагается на Ответственного за обеспечение безопасности ПДн центра занятости населения.С данной инструкцией, как минимум, должны быть ознакомлены (под роспись на листе ознакомления – Приложение №2 инструкции) – Администратор ИБ ИСПД, Администратор ИСПДН, Ответственный за обеспечение ИБ. Администратор ИСПДн должен составить перечень ресурсов, подлежащих резервному копированию (в соответствии с формой, приведенной в Приложении 2). Перечень ресурсов должен быть согласован с соответствующими руководителями структурных подразделения и Администраторами ИБ ИСПДн и утвержден Руководителем центра занятости населения Также данные сведения должны быть внесены данные в Приложение 1 «Средства обеспечения непрерывной работы и восстановления» Инструкции по действию пользователей в нештатных ситуациях. График копирования должен быть утвержден руководителем центра занятости населения.Должностные лица, задействованные в процессе организации и осуществления резервного копирования, а также Администратор ИБ ИСПДн, Администратор ИСПДН и Ответственным за обеспечение ИБ центра занятости населения должны быть ознакомлены с данной инструкцией (с отметкой на листе ознакомления – Приложение 3) Данная инструкция регламентирует процедуру проведения проверок состояния защиты ПДн. По итогу проведения проверок должен разрабатываться план корректирующих действий, направленных на устранение (при наличии) или предупреждение возможны нарушений информационной безопасности.Проверки должны осуществляться комиссией, в которую входят:
  • председатель комиссии - Ответственным за обеспечение ИБ
  • члены комиссии - Администратором информационной безопасности ИСПДн, и при необходимости, Администратор ИСПДн/Начальник структурного подразделения, в котором осуществляется проверка.
По итогу проведения проверки должен быть составлен Акт (Приложение 2)С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 4) Ответственный за обеспечение ИБ, а также Администратор информационной безопасности Периодически (период указан в плане) должна осуществляется выборочная проверка подразделений центра занятости населения на предмет выполнения подразделениями требований по обеспечению безопасности персональных данных. Проверку должен осуществлять Ответственный за обеспечение безопасности персональных данных центра занятости населения совместно с Администратором информационной безопасности информационных систем персональных данных, а также, при необходимости, Начальниками структурных подразделений. С инструкцией должны быть ознакомлены ВСЕ пользователи информационных систем персональных данных центра занятости населения. Сотрудникам должны быть предоставлены твердые или электронные копии данной инструкции для повседневного использования.Все сотрудники должны быть ознакомлены со всеми положениями данной инструкции под роспись на листе ознакомления (Приложение 2). Перечень персональных данных, обрабатываемых в центре занятости населения содержит:
  • категории субъектов персональных данных;
  • состав обрабатываемых персональных данных применительно к каждой категории субъектов ПДн;
  • цели и допустимые сроки обработки ПДн;
  • источник получения ПДн;
  • вид обработки ПДн (автоматизированный/неавтоматизированный/смешанный) и допустимые операции с ПДн.
При изменениях законодательства РФ/внутренних нормативных актов центра занятости населения /ведомственных приказов/ и пр., затрагивающих процессы обработки персональных данных субъектов – данный перечень должен быть пересмотрен и при необходимости актуализирован.Процесс актуализации перечня персональных данных должен иметь централизованный подход для всех центров занятости населения.Ответственными за актуализацию Перечня ПДн должны является - Ответственный за обеспечение ИБ центра занятости населения. Ответственным за заполнение и дальнейшую работу по плану является Ответственный за обеспечение ИБ.Планом определяется перечень и срок выполнения мероприятий, необходимых для выполнения требований Федерального законодательства в области обеспечений безопасности персональных данных. Данное положение является основным документом, регламентирующим деятельностью по обеспечению информационной. Положением определяется порядок обработки ПДн в центре занятости населения. Также, Положение определяет формы основных документов (уведомления субъектов ПДн, согласия на обработку ПДн и др.)Все сотрудники центра занятости населения, обрабатывающие персональные данные, должны быть ознакомлены с данным положением в части их касающейся Ответственным за обеспечение безопасности ПДн центра занятости населения с отметкой о проведение ознакомления в Журнале проведения инструктажа. С данной инструкцией должны быть ознакомлены все сотрудники центра занятости населения, работающие в информационных системах персональных данных. Всем пользователям должны быть предоставлены твердые или электронные копии данной инструкции для повседневного использования.Пользователи должны быть проинструктированы и ознакомлены с данной инструкцией в части их касающейся (с роспись в журнале инструктажа).С данной инструкцией должны быть ознакомлены (под роспись на листе ознакомления – Приложение №2 инструкции) – Администратор ИБ ИСПД, Администратор ИСПДН, Ответственный за обеспечение ИБ. Данным регламентом определяется:
  • порядок учета и хранения средств защиты персональных данных;
  • порядок учета документации, содержащей персональные данные;
  • порядок учета носителей с ПДн;
  • порядок хранения носителей с ПДн,
и регламентируются формы журналов учета.С данным регламентом должны быть ознакомлены все сотрудники центра занятости населения (с росписью на листе Ознакомления), осуществляющие обработку персональных данных. Всем сотрудникам центра занятости населения должны быть вручены твердые или электронные копии данного регламента для повседневного использовании данного регламенты при работе с персональными данными.Ознакомление с требованиями регламента должно осуществляться следующим образом: Ответственный за обеспечение ИБ ознакамливает Администратора информационной безопасности, Администратор ИБ ознакамливает начальников структурных подразделений, Начальник структурных подразделений ознакамливает с данным регламентом сотрудников своих подразделений. Уведомление об обработке персональных данных подается в уполномоченный орган по защите прав субъектов персональных данных (Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Краснодарскому краю – Роскомнадзор).В уведомлении указываются:
  • правовое основание обработки персональных данных;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • перечень действий с персональными данными, общее описание используемых оператором; способов обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных;
  • описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке.
Также, помимо этого в Уведомлении должны быть указаны:
  • ФИО и контакты Ответственного за обеспечение ИБ ПДн центра занятости населения;
  • дата начала обработки ПДн.
При изменениях процессов обработки персональных данных, законодательства и пр., влекущие за собой изменения данных, указанных в Уведомлении – в Роскомнадзор должно оправляться повторное Уведомление с указанием произошедших изменений.Ответственный за процесс отправки Уведомления в Роскомнадзор и актуализацию данных в Уведомлении (при необходимости) должен являться Ответственный за обеспечение ИБ центра занятости населения.

Общие положения:

Все документы должны быть введены в действие приказом Руководителя центра занятости населения. Дата ввода в действие документов - 28.12.2011.

Изменения документов должны фиксироваться на «листах регистрации изменений», являющимися Приложениями к каждому нормативному документу.

rykovodstvo.ru

Инструкции

Главная» Образцы ОРД»Инструкции

Настоящая инструкция по резервирования и восстановления работоспособности технических средств , программного обеспечения, баз данных, средств защиты информации и средств криптографической защиты информации информационной системы персональных данных  определяет действия, связанные с функционированием технических и программных средств АИС  и системы защиты персональных данных.

Настоящая инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаление учетных записей пользователей) в информационной системе персональных данных.

Инструкция разработана в соответствии с руководящими и нормативными документами регуляторов Российской Федерации в области защиты персональных данных.

 Настоящая инструкция разработана в целях защиты персональных данных  в информационных системах персональных данных  от несанкционированного копирования, модификации и уничтожения под действием вирусов и другого вредоносного программного обеспечения.

Инструкция пользователя ИСПДн по работе с ПДн

Инструкция по обеспечению безопасности персональных данных

Инструкция администратора государственной информационной системы персональных данных

Инструкция ответственного за обеспечение безопасности персональных данных информационных систем персональных данных

Положение о разграничении прав доступа в государственной информационной системе персональных данных

Порядок доступа сотрудников

Должностная инструкция ответственного за организацию обработки персональных данных

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

Правила  рассмотрения запросов субъектов персональных данных или их представителей

Правила обработки персональных данных 

itsec2012.ru

Журнал учета проведения инструктажей по вопросам защиты информации

Инструктаж должны проходить все сотрудники центра занятости населения, осуществляющие обработку персональных данных как в автоматизированном, так и в неавтоматизированном виде. В журнале учета указывается ФИО инструктируемого, подразделение, вид инструктажа (инструктаж по антивирусной защите/по ответственности за обработку персональных данных и пр.), дата проведения инструктажа, ФИО инструктора и подписи обоих лиц (инструктаж могут проводить администратор ИБ ИСПДн, ответственный за обеспечение ИБ в центре занятости населения – в зависимости от типа инструктажа).

«Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.» - Требование ч.1 ст. 18.1 ФЗ-152 «О персональных данных».

Перечень обязательных инструктажей:

«Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • «Обеспечение антивирусной защиты при работе в информационных системах персональных данных»;
  • «Порядок парольной защиты при работе в информационных системах персональных данных»;
  • «Действия пользователей информационных систем персональных данных в нештатных ситуациях»;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 (только для сотрудников, ответственных за обеспечение сохранности материальных носителей ПДн)
В журнале в обязательно порядке должны фиксироваться все запросы субъектов ПДн на доступ к своим персональным данным, при наличии таких запросов. В соответствии с ч. 7 ст. 14 ФЗ-152 «О персональных данных» Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

«Субъект вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки…»

Запрос субъекта должен содержать:

  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
  • подпись субъекта персональных данных или его представителя.
В соответствии с ч.3 ст. 20 - Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Если субъекту были предоставлены его ПДн для ознакомления, он вправе отправить повторный запрос не ранее чем через 30 дней после первоначального обращения, если другой срок не установлен федеральным законодательством/договором/иным правовым актом, за исключениев случаев, если субъекту были предоставлены неполные сведения при первоначальном запросе, но в таком случае, в его повторном запросе должно быть обоснование направления запроса.

Оператор вправе отказать субъекту ПДн в выполнении повторного/первичного запроса, если у операторы имеются мотивированное обоснования отказа. Доказательства обоснования отказа лежит на операторе.

Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ-152 или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

При получении запроса от уполномоченного органа по защите прав субъектов ПДн какой либо информации – оператор обязан дать ответ в течение 30 дней с даты получения такого запроса

Формы уведомлений субъектов об уничтожении/уточнении/блокировании/ и пр. его ПДн приведены в Приложениях к Положению о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных центра занятости населения.Регистрацию запросов должен вести Ответственный за обеспечение ИБ ПДн.
  1. Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
В журнале учета СКЗИ должны быть учтены все средства криптографической защиты, в том числе и установленные на АРМ пользователей (VipNet Coordinator, VipNet Client), техническая (формуляры, сертификаты соответствия ) и ключевая информация (файлы в формате *.dst) к ним.Должны быть учтены программно-аппаратные средства (VipNet Coordinator).Учет должен вести администратор ИБ ИСПДн. При использовании в центре занятости населения съемных носителей ПДн (дискеты, CD-диски, flash носители) – все съемные носители персональных данных должны быть учтены в данном журнале учета.Учет должен вести администратор ИБ ИСПДн. При выдачи электронных носителей персональных данных сотрудникам центра занятости населения для пользования по служебной необходимости – все факты выдачи/приема данных носителей должны быть зафиксированы в данном журнале учета.Учет должен вести администратор ИБ ИСПДн. В журнале учета технических средств должны быть учтены все технические средства, на которых осуществляется обработка персональных данных с указанием:
  • наименования ТС, его заводского (серийного) номер;
  • ФИО пользователя ТС;
  • роспись о получении ТС в пользование и датой выдачи;
  • роспись в обратном приеме ТС и датой приема;
  • местом установки ТС.
Учет должен вести администратор ИСПДн. Каждая СЗПДн информационных систем персональных данных должна быть введена в промышленную эксплуатацию. СЗПДн вводится в промышленную эксплуатацию после внедрения СЗИ в ИСПДн и тестирования их функций. К моменту аттестации, ИСПДн должна быть введена в промышленную эксплуатацию.Также, в Приложении к приказу должен быть указан весь перечень программных и технических средств, принимаемых в промышленную эксплуатацию в составе системы защиты персональных данных ИСПДн (например СКЗИ VipNet, СЗИ от НСД SecretNet и пр.)Приказ должен подготовить Администратор ИБ ИСПДн совместно с Администратором ИСПДн. В данном приказе указывается перечень сотрудников и кабинетов, допущенных к обработке персональных данных в информационных системах персональных данных. Обязательно должен быть проведен инструктаж сотрудников по тематике «обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» с отметкой в Журнале инструктажа. Инструктаж проводит Ответственный за обеспечение ИБ ПДн. При наличии в штате только одного сотрудника (специалиста АСУ), он назначается администратором информационной безопасности систем персональных данных центра занятости населения.Перечень обязанностей АИБ представлен в инструкции администратора ИБ ИСПДн. В соответствии с требованиями Федерального Законодательства – должна быть проведена классификация информационных систем персональных данных центра занятости населения.Классификация должна быть документально закреплена во внутренних документах.Для выполнения данного требования должны быть создана комиссия для проведения классификации ИСПДн, в составе:
  • председатель комиссии - Ответственным за обеспечение ИБ
  • члены комиссии:
  • Администратором информационной безопасности ИСПДн;
  • Администратор ИСПДн;
  • Специалист отдела кадров/юрист/начальники структурных подразделений.
Акт классификации ИСПДн заполняется и подписывается лицами, определенными в приказе «О Создании комиссии для проведения классификации информационных систем персональных данных» Периодически в центре занятости населения должен осуществляться контроль защищенности персональных данных (периодичность определятся «Планом внутренних проверок состояния защиты персональных данных»).Для выполнения данного требования должны быть создана комиссия в составе:
  • председатель комиссии - Ответственный за обеспечение ИБ
  • члены комиссии:
  • Администратор информационной безопасности ИСПДн;
  • при необходимости - Администратор ИСПДн/Начальники структурных подразделений;
  1. Приказ «О создании комиссии по уничтожению персональных данных»
В соответствии со ст. 21 ФЗ-152, Оператор ПДн должен осуществлять уничтожение ПДн в случае:
  • отзыва субъектом персональных данных согласия на обработку его персональных данных оператор
  • если сохранение персональных данных более не требуется для целей обработки персональных данных)
  • достижения цели обработки персональных данных
  • неправомерной обработки персональных данных при обращении субъекта персональных данных либо уполномоченного органа по защите прав субъектов персональных данных
При необходимости уничтожении персональных данных – должна быть создана комиссия по уничтожению ПДн, в составе:
  • председатель комиссии - Ответственный за обеспечение ИБ;
  • члены комиссии:
  • Администратором информационной безопасности ИСПДн;
  • Администратор ИСПДн/Начальник структурного подразделения;
  • Начальник отдела кадров/юридической службы.
Уничтожение ПДн должны осуществляться при наступлении одного из следующих случаев:
  • по требованию субъекта ПДн, в определенных законом случаях;
  • при истечении срока хранения;
  • в случае выявления неправомерных действий с персональными данными и невозможности устранения допущенных нарушений;
  • в случае достижения цели обработки ПДн;
  • в случае утраты необходимости достижения цели обработки.
Формы актов уничтожения ПДн, а также уведомления субъектов об уничтожении его ПДн приведены в Приложениях к Положению о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных центра занятости населения. Ответственным за обеспечение безопасности персональных данных должен назначаться заместитель руководителя либо юрист центра занятости населения.В своей работе Ответственный за обеспечение ИБ центра занятости населения должен руководствоваться нормативными правовыми актами в области обеспечения безопасности ПДн, Положением о персональных данных и пр. внутренними документами центра занятости населения, регламентирующих деятельность по обеспечения безопасности ПДн. Ответственный за обеспечение безопасности ПДн должен осуществлять организацию работы и общий контроль информационной безопасности центра занятости населения. Данным приказом утверждается Перечень мест хранения материальных носителей персональных данных и лиц, ответственных за их сохранность.Сотрудники, ответственные за обеспечение материальных носителей ПДн должны быть ознакомлены Ответственным за обеспечение ИБ с постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 под роспись в журнале инструктажа. Данная инструкция используется в повседневной работе Администратором ИБ ИСПДн центра занятости населения.С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 2) Ответственный за обеспечение ИБ, Администратор ИБ ИСПДн. Данная инструкция используется в повседневной работе Администратором ИСПДн центра занятости населения.С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 2) Ответственный за обеспечение ИБ, Администратор ИСПДн. Все изменения прав доступа пользователя к информационным ресурсам ИСПДн должны оформляться заявкой на доступ (Приложение 1), подаваемой непосредственным руководителем сотрудника, которому необходимо изменение прав доступа.С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 3) Ответственный за обеспечение ИБ, Администратор ИСПДн, Администратор ИБ ИСПДн, Начальники структурных подразделений центра занятости населения. Данная инструкция регламентирует порядок действия при возникновении нештатной ситуации.С данной инструкцией должны быть ознакомлены (с отметкой на листе ознакомления) Администратор ИБ ИСПДн и Ответственный за обеспечение ИБ центра занятости населения. Пользователи ИСПДн должны быть ознакомлены с данной инструкцией только в части их касающейся (с отметкой и росписью Пользователя в Журнале инструктажа). С данной инструкцией должны быть ознакомлены все сотрудники центра занятости населения, работающие в информационных системах персональных данных.Пользователи должны быть проинструктированы и ознакомлены под роспись с данной инструкцией в части их касающейся с отметкой в журнале инструктажа.Ответственность за организацию работ по антивирусной защите несет Администратор информационной безопасности центра занятости населения.Общий контроль информационной безопасности возлагается на Ответственного за обеспечение безопасности ПДн центра занятости населения.С данной инструкцией, как минимум, должны быть ознакомлены (под роспись на листе ознакомления – Приложение №2 инструкции) – Администратор ИБ ИСПД, Администратор ИСПДН, Ответственный за обеспечение ИБ. Администратор ИСПДн должен составить перечень ресурсов, подлежащих резервному копированию (в соответствии с формой, приведенной в Приложении 2). Перечень ресурсов должен быть согласован с соответствующими руководителями структурных подразделения и Администраторами ИБ ИСПДн и утвержден Руководителем центра занятости населения Также данные сведения должны быть внесены данные в Приложение 1 «Средства обеспечения непрерывной работы и восстановления» Инструкции по действию пользователей в нештатных ситуациях. График копирования должен быть утвержден руководителем центра занятости населения.Должностные лица, задействованные в процессе организации и осуществления резервного копирования, а также Администратор ИБ ИСПДн, Администратор ИСПДН и Ответственным за обеспечение ИБ центра занятости населения должны быть ознакомлены с данной инструкцией (с отметкой на листе ознакомления – Приложение 3) Данная инструкция регламентирует процедуру проведения проверок состояния защиты ПДн. По итогу проведения проверок должен разрабатываться план корректирующих действий, направленных на устранение (при наличии) или предупреждение возможны нарушений информационной безопасности.Проверки должны осуществляться комиссией, в которую входят:
  • председатель комиссии - Ответственным за обеспечение ИБ
  • члены комиссии - Администратором информационной безопасности ИСПДн, и при необходимости, Администратор ИСПДн/Начальник структурного подразделения, в котором осуществляется проверка.
По итогу проведения проверки должен быть составлен Акт (Приложение 2)С инструкцией должны быть ознакомлены (с отметкой на листе ознакомления – Приложение 4) Ответственный за обеспечение ИБ, а также Администратор информационной безопасности Периодически (период указан в плане) должна осуществляется выборочная проверка подразделений центра занятости населения на предмет выполнения подразделениями требований по обеспечению безопасности персональных данных. Проверку должен осуществлять Ответственный за обеспечение безопасности персональных данных центра занятости населения совместно с Администратором информационной безопасности информационных систем персональных данных, а также, при необходимости, Начальниками структурных подразделений. С инструкцией должны быть ознакомлены ВСЕ пользователи информационных систем персональных данных центра занятости населения. Сотрудникам должны быть предоставлены твердые или электронные копии данной инструкции для повседневного использования.Все сотрудники должны быть ознакомлены со всеми положениями данной инструкции под роспись на листе ознакомления (Приложение 2). Перечень персональных данных, обрабатываемых в центре занятости населения содержит:
  • категории субъектов персональных данных;
  • состав обрабатываемых персональных данных применительно к каждой категории субъектов ПДн;
  • цели и допустимые сроки обработки ПДн;
  • источник получения ПДн;
  • вид обработки ПДн (автоматизированный/неавтоматизированный/смешанный) и допустимые операции с ПДн.
При изменениях законодательства РФ/внутренних нормативных актов центра занятости населения /ведомственных приказов/ и пр., затрагивающих процессы обработки персональных данных субъектов – данный перечень должен быть пересмотрен и при необходимости актуализирован.Процесс актуализации перечня персональных данных должен иметь централизованный подход для всех центров занятости населения.Ответственными за актуализацию Перечня ПДн должны является - Ответственный за обеспечение ИБ центра занятости населения. Ответственным за заполнение и дальнейшую работу по плану является Ответственный за обеспечение ИБ.Планом определяется перечень и срок выполнения мероприятий, необходимых для выполнения требований Федерального законодательства в области обеспечений безопасности персональных данных. Данное положение является основным документом, регламентирующим деятельностью по обеспечению информационной. Положением определяется порядок обработки ПДн в центре занятости населения. Также, Положение определяет формы основных документов (уведомления субъектов ПДн, согласия на обработку ПДн и др.)Все сотрудники центра занятости населения, обрабатывающие персональные данные, должны быть ознакомлены с данным положением в части их касающейся Ответственным за обеспечение безопасности ПДн центра занятости населения с отметкой о проведение ознакомления в Журнале проведения инструктажа. С данной инструкцией должны быть ознакомлены все сотрудники центра занятости населения, работающие в информационных системах персональных данных. Всем пользователям должны быть предоставлены твердые или электронные копии данной инструкции для повседневного использования.Пользователи должны быть проинструктированы и ознакомлены с данной инструкцией в части их касающейся (с роспись в журнале инструктажа).С данной инструкцией должны быть ознакомлены (под роспись на листе ознакомления – Приложение №2 инструкции) – Администратор ИБ ИСПД, Администратор ИСПДН, Ответственный за обеспечение ИБ. Данным регламентом определяется:
  • порядок учета и хранения средств защиты персональных данных;
  • порядок учета документации, содержащей персональные данные;
  • порядок учета носителей с ПДн;
  • порядок хранения носителей с ПДн,
и регламентируются формы журналов учета.С данным регламентом должны быть ознакомлены все сотрудники центра занятости населения (с росписью на листе Ознакомления), осуществляющие обработку персональных данных. Всем сотрудникам центра занятости населения должны быть вручены твердые или электронные копии данного регламента для повседневного использовании данного регламенты при работе с персональными данными.Ознакомление с требованиями регламента должно осуществляться следующим образом: Ответственный за обеспечение ИБ ознакамливает Администратора информационной безопасности, Администратор ИБ ознакамливает начальников структурных подразделений, Начальник структурных подразделений ознакамливает с данным регламентом сотрудников своих подразделений. Уведомление об обработке персональных данных подается в уполномоченный орган по защите прав субъектов персональных данных (Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Краснодарскому краю – Роскомнадзор).В уведомлении указываются:
  • правовое основание обработки персональных данных;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • перечень действий с персональными данными, общее описание используемых оператором; способов обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных;
  • описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке.
Также, помимо этого в Уведомлении должны быть указаны:
  • ФИО и контакты Ответственного за обеспечение ИБ ПДн центра занятости населения;
  • дата начала обработки ПДн.
При изменениях процессов обработки персональных данных, законодательства и пр., влекущие за собой изменения данных, указанных в Уведомлении – в Роскомнадзор должно оправляться повторное Уведомление с указанием произошедших изменений.Ответственный за процесс отправки Уведомления в Роскомнадзор и актуализацию данных в Уведомлении (при необходимости) должен являться Ответственный за обеспечение ИБ центра занятости населения.

Общие положения:

Все документы должны быть введены в действие приказом Руководителя центра занятости населения. Дата ввода в действие документов - 28.12.2011.

Изменения документов должны фиксироваться на «листах регистрации изменений», являющимися Приложениями к каждому нормативному документу.

filling-form.ru

Инструкция пользователю автоматизированной системы общие обязанности сотрудников организации по обеспечению информационной безопасности при работе с ас

Сохрани ссылку в одной из сетей:

ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЮ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ

Общие обязанности сотрудников ОРГАНИЗАЦИИ по обеспечению информационной безопасности при работе с АС

Каждый сотрудник подразделений ОРГАНИЗАЦИИ, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным автоматизированной системы (АС), несет персональную ответственность за свои действия и обязан:

  • строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;

  • знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции (РС);

  • хранить в тайне свой пароль (пароли). В соответствии с «Инструкцией по организации парольной защиты автоматизированной системы» с установленной периодичностью менять свой пароль (пароли);

  • передавать для хранения установленным порядком свое индивидуальное устройство идентификации Touch Memory, личную ключевую дискету и другие реквизиты разграничения доступа только руководителю своего подразделения или ответственному за информационную безопасность в подразделении (в пенале, опечатанном своей личной печатью);

  • если сотруднику (исполнителю) предоставлено право защиты (подтверждения подлинности и авторства) документов, передаваемых по технологическим цепочкам в АС, при помощи электронной цифровой подписи, то он дополнительно обязан соблюдать все требования «Порядка работы с ключевыми дискетами»;

  • надежно хранить и никому не передавать личную печать и использовать ее только для опечатывания пенала с личной ключевой дискетой (и другими реквизитами доступа) при передаче его на хранение ответственному за информационную безопасность своего технологического участка или руководителю подразделения;

  • выполнять требования «Инструкции по организации антивирусной защиты в АС _____» в части касающейся действий пользователей РС АС;

  • немедленно вызывать ответственного за безопасность информации в подразделении и ставить в известность руководителя подразделения в случае утери персональной ключевой дискеты, индивидуального устройства идентификации Touch Memory или при подозрении компрометации личных ключей и паролей, а также при обнаружении:

  • нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах РС или иных фактов совершения в его отсутствие попыток несанкционированного доступа (НСД) к защищенной РС;

  • несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств РС;

  • отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию РС, выхода из строя или неустойчивого функционирования узлов РС или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;

  • некорректного функционирования установленных на РС технических средств защиты;

  • непредусмотренных формуляром РС отводов кабелей и подключенных устройств;

  • присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленной за ним РС в подразделении.

Сотрудникам ОРГАНИЗАЦИИ категорически ЗАПРЕЩАЕТСЯ:

  • использовать компоненты программного и аппаратного обеспечения АС ОРГАНИЗАЦИИ в неслужебных целях;

  • самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами рабочих станций;

  • осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;

  • записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных носителях информации (гибких магнитных дисках и т.п.);

  • оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);

  • передавать кому-либо свою персональную ключевую дискету (кроме ответственного за информационную безопасность или руководителя своего подразделения установленным порядком), делать неучтенные копии ключевой дискеты (на любой другой носитель), снимать с дискеты защиту записи и вносить какие-либо изменения в файлы ключевой дискеты;

  • использовать свою ключевую дискету для формирования цифровой подписи любых электронных документов, кроме регламентированных технологическим процессом на его рабочем месте;

  • оставлять без личного присмотра на рабочем месте или где бы то ни было свою персональную ключевую дискету, персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);

  • умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок – ставить в известность ответственного за безопасность информации и руководителя своего подразделения.

    Выдержки из статей Уголовного кодекса РФ (в памятку пользователей АС ОРГАНИЗАЦИИ)

  • Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну.

1. Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений - наказываются штрафов в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.

2. Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельцев, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, - наказывается штрафом в размере от двухсот до пятисот минимальных окладов оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.

  • Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказываются штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительным работам на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

  • Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сетей, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказывается лишением свободы на срок от трех до семи лет.

  • Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

  • Статья 283. Разглашение государственной тайны

1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены - наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

  • Статья 284. Утрата документов, содержащих государственную тайну

Нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами, а равно с предметами, сведения о которых составляют государственную тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий, - наказывается ограничением свободы на срок до трех лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок от шести месяцев до одного года, либо арестом на срок до трех месяцев.

  1. Закон

    1.1. Настоящий документ разработан на основе Концепции информационной безопасности ОРГАНИЗАЦИИ и определяет комплекс организационно-технических мер по защите автоматизированной системы (подсистемы) (наименование системы) ОРГАНИЗАЦИИ

  2. Документ

    РАССМОТРЕН И РЕКОМЕНДОВАН к применению Подкомитетом 3 “Защита информации в кредитно-финансовой сфере” Технического комитета 362 “Защита информации” национального органа по стандартизации следующим составом членов подкомитета: Банк России, Ассоциация

  3. Методические рекомендации

    Настоящий документ определяет рекомендации по формированию требований обеспечения информационной безопасности в информационных системах и ресурсах органах исполнительной власти города Москвы, государственных органах и учреждениях

  4. Курс лекций

    усвоение знаний по нормативно-правовым основам организации информационной безопасности, изучение стандартов и руководящих документов по защите информационных систем;

  5. Документ

    Сборник содержит доклады и тезисы, представленные на региональную научно-практическую конференцию «Проблемы обеспечения информационной безопасности в регионе», проводимую 28 марта 2008 года в Волгоградском государственном университете.

refdb.ru


Смотрите также