Совершенствование работы с персональными данными в кадровой службе ООО «ПСО 2 «АСК»

11.5. Исполнители, работающие  с конфиденциальными документами,  на рабочих местах, проверяются не реже одного раза в квартал. При этом проверяется наличие всех числящихся за исполнителем документов, порядок хранения и работы с ними на рабочих местах.

11.6. О результатах проверок  информируются руководители и  при нарушениях принимаются соответствующие меры. При необходимости могут проводиться внеплановые проверки наличия документов у исполнителей при уходе в отпуск или при увольнении по изложенной выше методике.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

УТВЕРЖДАЮ

Директор ООО «ПСО 2 «АСК»

________________ А.А. Зуян

«___» _________  2011 г.

 

 

 

 

 

ОПИСАНИЕ

технологических процессов в информационных системах персональных данных

ООО «ПСО 2 «АСК»

 

 

 

 

          СОГЛАСОВАНО                        РАЗРАБОТАЛ

______________ _________ _______________________

Общее описание технологических  процессов обработки ПДн

Код	Наименование процедуры	Описание процедуры	Вид персональных данных	Входящие документы, содержащие ПДн	Исходящие документы, содержащие ПДн	Участники процедуры
1	2	3	4	5	6	7
OW1	Прием сотрудника на работу	Процедура производится при приеме сотрудника на вакансию	1.1. Первичные учетные данные 1.2 Сведения о занимаемой должности 1.3 Сведения о текущем должностном окладе 1.4 Сведения о реквизитах работника 1.5 Данные об образовании	- Паспорт - Страховое свидетельство - ИНН - Диплом об образовании - Заявление о приеме на работу - Трудовая книжка	- Трудовой договор - Сведения в БД 1С Бухгалтерия - Сведения об уникальном идентификаторе работника в ИСПДн	- Сотрудник отдела кадров - Системный администратор
OW2	Увольнение работника	Процедура производится при увольнении сотрудника из организации. Выполняется  удаление данных из средств автоматизированной обработки и передача данных в архив.	1.1. Первичные учетные данные 1.2 Сведения о занимаемой должности 1.3 Сведения о текущем должностном  окладе 1.4 Сведения о реквизитах работника 1.5 Сведения о семейном положении	-Заявление, приказ об увольнении - Трудовой договор - Копии документов работника - Трудовая книжка	- Расторгнутый трудовой договор - Копии документов - Заявление или приказ об  увольнении - Трудовая книжка	- Директор - Сотрудник отдела кадров - Системный администратор - Работник
OW3	Начисление работнику зарплаты	Обработка платежных документов, приказов о премиях при подготовке к  оплате	1.1. Первичные учетные данные 1.2 Сведения о занимаемой должности 1.3 Сведения о текущем должностном  окладе 1.4 Сведения о банковских реквизитах  работника 1.5 Сведения о семейном положении	- Трудовой договор  - Сведения из БД работников - Приказ о премии - Справка о семейном положении	- Квитанция о начислении зарплаты	- Главный бухгалтер

 

1	2	3	4	5	6	7
OW4	Кадровое перемещение работника	Операция производится  при необходимости  изменения внутреннего статуса  сотрудника	1.1. Первичные учетные данные 1.2 Сведения о занимаемой должности 1.3. Сведения о текущем должностном  окладе 1.6. Сведения о новой должности  сотрудника 1.7. Сведения о новом должностном  окладе	- заявление сотрудника о переводе; рекомендации настоящего руководителя	-  приказ о кадровом перемещении - дополнительное соглашение к  трудовому договору	- Сотрудник отдела кадров - руководитель подразделения - работник

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

УТВЕРЖДАЮ

Директор ООО «ПСО 2 «АСК»

________________ А.А. Зуян

«___» _________  2011 г.

 

 

ИНСТРУКЦИЯ

пользователя автоматизированной системы обработки конфиденциальной информации в ООО «ПСО 2 АСК»

 

1. Общие положения

 

Настоящая Инструкция разработана для обеспечения защиты конфиденциальной информации, хранящейся на сервере и на локальных компьютерах сотрудников ООО «ПСО 2 «АСК». Конфиденциальная информация относится к категории информации ограниченного распространения. Наиболее вероятными каналами утечки информации для автоматизированных систем (АС) являются:

• несанкционированный доступ к информации, обрабатываемой в автоматизированной системе;
• хищение технических средств с хранящейся в них информацией или отдельных носителей информации;
• просмотр информации с экранов дисплеев мониторов и других средств ее отображения с помощью оптических устройств;
• воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации, адресности и своевременности обмена, в том числе электромагнитного, через специально внедренные электронные и программные средства («закладки»).

Работа с конфиденциальной информацией (в том числе со служебными документами ограниченного распространения, персональными данными и т.д.) строится на следующих принципах:

• принцип персональной ответственности – в любой момент времени за каждый документ (не зависимо от типа носителя: бумажный, электронный, …) должен отвечать и распоряжаться конкретный работник, выдача документов осуществляется только под роспись;
• принцип контроля и учета – все операции с документами  должны отражаться в соответствующих журналах и карточках (передача из рук в руки, снятие копии и т.п.);

2. Обязанности работников, имеющих доступ к конфиденциальной информации.

Работники, получившие доступ к конфиденциальной информации, обязаны хранить в  тайне сведения ограниченного распространения, ставшие им известными во время работы или иным путем и пресекать действия других лиц, которые могут привести к разглашению такой информации. О таких фактах, а также о других причинах или условиях возможной утечки конфиденциальной информации немедленно информировать руководителя структурного подразделения, специалиста по защите информации.

Конфиденциальная информация не подлежит разглашению (распространению). Прекращение доступа к такой  информации не освобождает работника  от взятых им обязательств по неразглашению  сведений ограниченного распространения.

В случае оставления занимаемой должности работник обязан вернуть все документы и материалы, относящиеся к деятельности подразделения, организации. В том числе: отчеты, инструкции, переписку, списки работников, компьютерные программы, а также все прочие материалы и  копии названных материалов, имеющих какое-либо отношение к деятельности Правительства области, полученные в течение срока работы.

Работники при работе с конфиденциальной информацией обязаны:

Строго соблюдать установленные  правила обеспечения безопасности информации при работе с программными и техническими средствами АС;

Выполнять требования администратора безопасности, касающиеся защиты информации;

Знать и строго выполнять  правила работы со средствами защиты информации (средствами разграничения  доступа), используемыми на персональных компьютерах;

Хранить в тайне свой аудентификатор (пароль доступа в  автоматизированную систему), а также  информацию о системе защиты, установленной  на АС;

Использовать для работы, только учтенные съемные накопители информации (гибкие магнитные диски, компакт диски и т.д.);

Контролировать обновление антивирусных баз и в случае необходимости  сообщать о необходимости обновления администратору безопасности, ответственному за антивирусную защиту автоматизированной системы;

Немедленно ставить в известность руководителя подразделения, специалиста по отдела по защите информации:

- в случае утери  носителя с конфиденциальной  информацией или при подозрении  компрометации личных ключей  и паролей;

- нарушений целостности  пломб (наклеек с защитной и  идентификационной информацией, нарушении или несоответствии номеров печатей) на аппаратных средствах ПЭВМ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (НСД) к защищенной АС;

- несанкционированных  (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств АС.

В случае отклонений в  нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию рабочей станции, выхода из строя или неустойчивого функционирования узлов ПЭВМ или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных в автоматизированной системе технических средств защиты ставить в известность ответственного за техническое обслуживание и (или) ответственного за обслуживание программного обеспечения.

Ставить в известность  администратора безопасности структурного подразделения при:

- необходимости обновления  антивирусных баз;

- обновлении программного  обеспечения;

- проведении регламентных  работ, модернизации аппаратных  средств или изменении конфигурации  АС;

- необходимости вскрытия  системных блоков персональных  компьютеров входящих в состав  АС;

- резервном копировании  информации;

- и т.д.

Уборка помещений должна производиться под контролем сотрудника, имеющего доступ в помещение и постоянно в нем работающего.

Вынос ПЭВМ, на которой проводилась  обработка конфиденциальной  информации, за пределы территории здания с целью  их ремонта, замены и т. п. без согласования с руководителем подразделения запрещен. При принятии решения о выносе компьютеров, жесткие магнитные диски должны быть демонтированы и сданы на хранение ответственному за учет служебных документов ограниченного распространения структурного подразделения. В случае действия гарантийных обязательств фирмы-поставщика вскрытие корпуса и демонтаж носителей должны быть предварительно согласованы с ней.

ПЭВМ, используемые для работы с  конфиденциальной информацией, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра экрана видеомонитора, не имеющими отношения к конкретно обрабатываемой информации работниками.

Запрещается:

- передавать, кому бы то ни  было (в том числе родственникам)  устно или письменно сведения  ограниченного распространения;

- использовать сведения ограниченного  распространения при подготовке  открытых публикаций, докладов, научных  работ и т.д.;

- выполнять работы с документами  ограниченного распространения  на дому, выносить их из служебных  помещений, снимать копии или производить выписки из таких документов без разрешения руководителя;

- накапливать ненужную для работы  конфиденциальную информацию;

- передавать или принимать без  расписки документы ограниченного  распространения;

- оставлять на рабочих столах, в столах и незакрытых сейфах  документы ограниченного распространения, а также оставлять незапертыми и не опечатанными после окончания работы сейфы, помещения и хранилища с документами конфиденциального характера.

- использовать компоненты программного  и аппаратного обеспечения АС подразделения в неслужебных целях;

- самовольно вносить какие-либо  изменения в конфигурацию аппаратно-программных  средств рабочих станций или  устанавливать дополнительно любые  программные и аппаратные средства;

- осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;

- записывать и хранить конфиденциальную  информацию на неучтенных носителях  информации (гибких магнитных дисках  и т.п.);

- оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);

- умышленно использовать недокументированные  свойства и ошибки в программном  обеспечении или в настройках  средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок – ставить в известность руководителя своего подразделения, , ответственного за техническое и (или) программное обеспечение, начальника отдела защиты информации.

3. Ответственность

Пользователь несет ответственность  за соблюдение требований настоящей  инструкции, а также других нормативных  документов в области защиты информации. За разглашение информации ограниченного  распространения, а также за нарушение  порядка работы с документами или машинными носителями, содержащими такую информацию, работники могут быть привлечены к дисциплинарной или иной, предусмотренной законодательством ответственности.