Порядок доступу співробітників, захист інформації з людським обличчям

доступу співробітників ______________________________________________________________________________________

1.1. Справжні порядок доступу (далі - Порядок) співробітників ______________________________________________________________________________________ (далі - __________________) в приміщення, в яких ведеться обробка персональних даних (далі - ПДН) в інформаційних системах персональних даних (далі - ІСПДн), встановлює єдині вимоги до доступу співробітників __________________ в службові приміщення з метою запобігання порушенню прав суб'єктів ПДН, обробка ПДН яких необхідна для надання державних і муніципальних послуг та забезпечення кадрової та бухгалтерської діяльності в __ ________________, а також з метою забезпечення дотримання вимог законодавства України в області ПДН.

1.3. Контрольована зона (далі - контрольована зона) - простір (територія, будівля, частина будівлі, приміщення), в якому розташовані засоби автоматизації і захисту ІСПДн, в тому числі автоматизовані робочі місця (далі - АРМ), на яких ведеться обробка ПДН.

1.4. Перелік приміщень, в яких ведеться обробка ПДН, і їх межі встановлюються наказом __________________ «Про визначення меж контрольованої зони і вимог до її безпеки».

1.5. Цей Порядок обов'язковий для застосування і виконання всіма співробітниками __________________.

1.6. Відповідальність за дотримання положень цього Порядку несуть співробітники структурних підрозділів __________________, обробні ПДН, а також керівники даних структурних підрозділів.

1.7. Контроль за дотриманням вимог цього Порядку забезпечує відповідальний за організацію обробки ПДН в __________________.

  1. Вимоги до приміщень контрольованої зони

2.1. Безконтрольний доступ сторонніх осіб в приміщення контрольованої зони повинен бути виключений.

2.2. Всі приміщення контрольованої зони повинні бути обладнані охоронною сигналізацією, або передбачати цілодобове чергування.

2.3. Огороджувальні конструкції приміщень контрольованої зони повинні припускати істотні труднощі для порушника щодо їх подолання.

2.4. До приміщень контрольованої зони, в яких встановлені криптографічні засоби захисту ПДН (далі - кріптосредства) або зберігаються ключові документи до них, (далі - режимні приміщення), пред'являються посилені вимоги щодо безпеки, зазначені в розділі 5 цих Правил.

3.1. Доступ сторонніх осіб в приміщення контрольованої зони, повинен здійснюється тільки через службову необхідність.

3.2. На момент присутності сторонніх осіб в приміщенні контрольованої зони, повинні бути вжиті заходи щодо недопущення ознайомлення сторонніх осіб з ПДН (наприклад: монітори повернені в сторону від відвідувачів, документи прибрані в стіл, або знаходяться в непрозорій папці або накриті чистими аркушами паперу).

3.3. Допуск співробітників в приміщення контрольованої зони оформляється після підписання співробітником Зобов'язання про нерозголошення інформації, що містить персональні дані, і інструктажу відповідальним за організацію обробки ПДН в __________________, або відповідальним за забезпечення безпеки персональних даних інформаційних систем персональних даних __________________.

3.4. У неробочий час приміщення контрольованої зони повинні ставитися на охорону. При цьому всі вікна і двері в суміжні приміщення повинні бути надійно закриті, матеріальні носії ПДН повинні бути прибрані в замикаються шафи (сейфи), АРМ вимкнені або заблоковані.

  1. Доступ в серверні приміщення контрольованої зони

4.1. Доступ в серверні приміщення контрольованої зони дозволений тільки адміністратору ІСПДн, відповідального за забезпечення безпеки персональних даних інформаційних систем персональних даних __________________ і відповідального за організацію обробки ПДН в __________________.

4.2. Прибирання серверних приміщень відбувається тільки при строгому контролі осіб, зазначених у пункті 4.1 цих Правил

4.4. Доступ в серверні приміщення контрольованої зони сторонніх осіб допускається виключно за погодженням з відповідальним за організацію обробки ПДН в __________________.

4.5. Знаходження в серверних приміщеннях контрольованої зони сторонніх осіб без супроводжуючого не припустимо.

5.1. Режимні приміщення виділяють з урахуванням розмірів контрольованих зон, регламентованих експлуатаційної та технічної документації до кріптосредствам. Приміщення повинні мати міцні вхідні двері з замками, що гарантують надійне закриття приміщень в неробочий час. Вікна приміщень, розташованих на перших або останніх поверхах будівель, а також вікна, що знаходяться близько пожежних сходів і інших місць, звідки можливе проникнення в режимні приміщення сторонніх осіб, необхідно обладнати металевими гратами, або віконницями, або охоронною сигналізацією, або іншими засобами, що перешкоджають неконтрольованого проникненню в режимні приміщення.

5.4. Режимні приміщення повинні бути оснащені охоронною сигналізацією, пов'язаної зі службою охорони будівлі або черговим по організації. Справність сигналізації періодично необхідно перевіряти відповідального за організацію обробки ПДН в спільно з представником служби охорони або черговим по організації з відміткою у відповідних журналах.

5.5. Для зберігання ключових документів, експлуатаційної та технічної документації, встановлюються кріптосредства носіїв має бути передбачено необхідну кількість надійних металевих сховищ, обладнаних внутрішніми замками з двома екземплярами ключів і кодовими замками або пристосуваннями для опечатування замкових щілин. Один екземпляр ключа від сховища повинен знаходитися у відповідального за організацію обробки ПДН в __________________.

5.6. Після закінчення робочого дня режимне приміщення і встановлені в ньому сховища повинні бути закриті, сховища опечатані.

5.7. Ключі від режимних приміщень, а також ключ від сховища, в якому знаходяться ключі від усіх інших сховищ режимного приміщення, в опечатаному вигляді мають бути здані під розписку у відповідному журналі служби охорони або черговому по організації одночасно з передачею під охорону самих режимних приміщень. Друку, призначені для опечатування сховищ, повинні перебувати у користувачів кріптосредств, відповідальних за ці сховища.

5.8. При втраті ключа від сховища або від вхідних дверей в режимне приміщення замок необхідно замінити або переробити його секрет з виготовленням до нього нових ключів з документальним оформленням. Якщо замок від сховища переробити неможливо, то таке сховище необхідно замінити. Порядок зберігання ключових та інших документів в сховище, від якого втрачений ключ, до зміни секрету замка встановлює відповідальний за організацію обробки ПДН в __________________.

5.9. У звичайних умовах режимні приміщення, що знаходяться в них опечатані сховища можуть бути розкриті лише користувачами кріптосредств або відповідальним за організацію обробки ПДН в __________________. При виявленні ознак, що вказують на можливе несанкціоноване проникнення в ці приміщення або сховища сторонніх осіб, про те, що трапилося має бути негайно повідомлено відповідального за організацію обробки ПДН в __________________. Прибулий відповідальний за організацію обробки ПДН в __________________ повинен оцінити можливість компрометації зберігаються ключових та інших документів, скласти акт і прийняти, при необхідності, заходи до локалізації наслідків компрометації персональних даних і до заміни скомпрометованих кріптоключа.

5.10. Розміщення і монтаж кріптосредств, а також іншого обладнання, яке функціонує з кріптосредствамі, в режимних приміщеннях повинні звести до мінімуму можливість неконтрольованого доступу сторонніх осіб до зазначених засобів. Технічне обслуговування такого обладнання і зміна кріптоключа здійснюються за відсутності осіб, що не допущені до роботи з даними кріптосредствамі.

5.11. На час відсутності користувачів кріптосредств вказане обладнання, при наявності технічної можливості, повинно бути вимкнено, відключено від лінії зв'язку і прибрано в опечатувати сховища. В іншому випадку за погодженням з відповідальним за організацію обробки ПДН в __________________ необхідно передбачити організаційно-технічні заходи, що виключають можливість використання кріптосредств сторонніми особами.