МИНИСТЕРСТВО ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 16 апреля 2019 г. N 256
ОБ УТВЕРЖДЕНИИ ПОРЯДКА ПРЕДОСТАВЛЕНИЯ ДОСТУПА ПОЛЬЗОВАТЕЛЯМ
К ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ,
ОБРАБАТЫВАЕМОЙ В ИНФОРМАЦИОННЫХ СИСТЕМАХ МИНИСТЕРСТВА ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
В соответствии с федеральными законами от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказами ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" в целях обеспечения защиты информации, не составляющей государственную тайну, обрабатываемой в информационных системах Министерства труда и социальной защиты Российской Федерации, приказываю:
Утвердить прилагаемый Порядок предоставления доступа пользователям к информации, не составляющей государственную тайну, обрабатываемой в информационных системах Министерства труда и социальной защиты Российской Федерации.
Министр
М.А.ТОПИЛИН
Утвержден
приказом Министерства
труда и социальной защиты
Российской Федерации
от 16 апреля 2019 г. N 256
ПОРЯДОК
ПРЕДОСТАВЛЕНИЯ ДОСТУПА ПОЛЬЗОВАТЕЛЯМ К ИНФОРМАЦИИ,
НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, ОБРАБАТЫВАЕМОЙ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ МИНИСТЕРСТВА ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
I. Общие положения
1. Настоящий Порядок разработан с учетом Положения об организации защиты информации, не составляющей государственную тайну, обрабатываемой в информационных системах Министерства труда и социальной защиты Российской Федерации, утвержденного приказом Министерства труда и социальной защиты Российской Федерации от 27 декабря 2018 г. N 853а, и устанавливает порядок предоставления доступа федеральных государственных гражданских служащих Министерства труда и социальной защиты Российской Федерации и работников Федерального государственного бюджетного учреждения "Управление служебными зданиями и материально-техническим обеспечением" Министерства труда и социальной защиты Российской Федерации (далее соответственно - пользователи, Министерство, Учреждение) к информации, не составляющей государственную тайну, обрабатываемой в информационных системах Министерства (далее - доступ, информация, Порядок).
2. Устанавливаемый Порядок предоставления доступа направлен на предотвращение несанкционированного доступа к такой информации и (или) передачи ее лицам, не имеющим права на доступ к информации.
3. Требования Порядка не распространяются на порядок доступа к информации, содержащей сведения, составляющие государственную тайну.
4. Доступ предоставляется пользователям < 1 > только в объеме, необходимом для исполнения служебных обязанностей.
< 1 > Пользователь - федеральный государственный гражданский служащий Министерства или работник Учреждения, которому разрешено выполнять некоторые действия (операции) по обработке информации в информационной системе или использующий результаты ее функционирования.
5. Предоставление пользователям доступа осуществляется на основании заявок, которые оформляются с использованием автоматизированной системы по управлению информационно-технической инфраструктурой и обслуживанию пользователей в Министерстве (далее - АСУ ИТ).
6. Структурное подразделение и (или) руководство Министерства, инициирующие подключение пользователя к информационной системе (разделу информационной системы), обеспечивают оформление заявки на его доступ к информационной системе (разделу информационной системы). Заявка на доступ к информационной системе (далее - заявка) заполняется в АСУ ИТ ответственным за оформление заявок < 2 > или самим пользователем, при этом указывается цель подключения и прилагается основание для предоставления доступа.
< 2 > Ответственный за оформление заявок - федеральный государственный гражданский служащий Министерства, являющийся ответственным за делопроизводство в структурном подразделении Министерства и имеющий соответствующие права доступа к АСУ ИТ.
7. При отсутствии возможности использования АСУ ИТ заявка оформляется согласно приложению к Порядку и вместе с сопроводительным письмом, в котором указываются цель подключения и основание для предоставления доступа, регистрируется в Системе электронного документооборота Министерства (далее - СЭД) с соблюдением требований Порядка.
8. Заявка должна содержать:
фамилию, имя, отчество (при наличии) и должность пользователя;
наименование информационной системы (раздела информационной системы), к которой запрашиваются права доступа;
уровень полномочий (чтение, запись, изменение и т.д.) и (или) установленные роли пользователя.
9. Ответственность за обоснованность предоставления прав пользователя на доступ возлагается на подписавшего заявку руководителя.
10. Контроль за соблюдением условий предоставления доступа возлагается на администраторов безопасности.
11. За нарушения требований использования информации, не составляющей государственную тайну, пользователи могут быть привлечены к дисциплинарной или иной ответственности в соответствии с законодательством Российской Федерации.
12. Доступ сторонних организаций и внешних пользователей < 3 > к информации осуществляется в порядке, утверждаемом приказом Министерства.
< 3 > Внешний пользователь - пользователь, не являющийся федеральным государственным гражданским служащим Министерства и работником Учреждения.
II. Предоставление доступа пользователям
к информационно-коммуникационной инфраструктуре
Минтруда России
13. Основанием предоставления доступа к информационно-коммуникационной инфраструктуре (далее - ИКИ) Министерства является приказ Министерства о назначении гражданина на должность федеральной государственной гражданской службы Министерства или оформленная в соответствии с пунктами 4 - 8 Порядка заявка.
14. После получения Департаментом информационных технологий и обеспечения проектной деятельности копии приказа о назначении гражданина на должность в Министерство или заявки уполномоченные работники Учреждения, осуществляющие прием и регистрацию заявок в АСУ ИТ (далее - уполномоченные работники), не позднее одного рабочего дня создают и направляют ответственным исполнителям заявки:
на предоставление (выдачу) пользователю автоматизированного рабочего места, а также выполнение иных действий для технического подключения к ИКИ Министерства;
на создание учетной записи пользователю в ИКИ Министерства.
15. На основании заявки на создание учетной записи администраторами ИКИ Министерства не позднее двух рабочих дней обеспечивается доступ пользователя к следующим информационным ресурсам и сервисам ИКИ Министерства:
к справочно-правовым системам;
к внешней электронной почте;
к информационным системам (разделам информационной системы), содержащим общедоступную информацию, не требующим предоставления дополнительных разрешений.
16. Доступ к информационным ресурсам и сервисам ИКИ Министерства предоставляется администраторами ИКИ Министерства после ознакомления пользователя с Инструкцией пользователя информационных систем Министерства труда и социальной защиты Российской Федерации, утверждаемой приказом Министерства. Подтверждением предоставления пользователю доступа является его подпись на оформляемых администраторами ИКИ Министерства карточке учета рабочего места, в журнале учета выдачи паролей и журнале ознакомления с инструкциями пользователей.
17. Форма карточки учета рабочего места, журнала учета выдачи паролей, журнала ознакомления с инструкциями пользователей разрабатывается Департаментом информационных технологий и обеспечения проектной деятельности и утверждается его директором.
III. Предоставление доступа пользователям к информации
18. Основанием предоставления доступа пользователям к информации, обрабатываемой в информационных системах Министерства, является оформленная в соответствии с пунктами 4 - 8 Порядка заявка.
19. После получения заявки на доступ уполномоченные работники не позднее одного рабочего дня создают и направляют ответственным исполнителям заявки на создание учетной записи пользователя в информационных системах, оператором которых является Министерство.
20. На основании заявки на создание учетной записи администраторы информационных систем Министерства обеспечивают доступ пользователя и сообщают пользователю его учетные данные не позднее одного рабочего дня после обеспечения доступа.
21. Доступ предоставляется после ознакомления пользователя с инструкцией пользователя конкретной информационной системы, подтверждением предоставления доступа является подпись пользователя в оформляемых администраторами информационных систем Министерства журнале учета выдачи паролей и журнале ознакомления с инструкциями пользователей.
22. Доступ пользователей Министерства к информации, обрабатываемой в информационных системах государственных органов и организаций < 4 > (далее - внешние информационные системы), эксплуатируемых в Министерстве, предоставляется операторами внешних информационных систем на основании обращений Министерства в соответствии с положениями законодательства о конкретной внешней информационной системе.
< 4 > Федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, нормативных правовых актов органов государственной власти, оператором которых не является Министерство.
23. Доступ пользователей к информации, не составляющей государственную тайну, обрабатываемой в информационных системах органов государственной власти и организаций, эксплуатируемых Министерством, осуществляется на основании решения Министра труда и социальной защиты Российской Федерации, его заместителя и (или) руководителя соответствующего структурного подразделения Министерства, с учетом требований о защите информации, установленных положениями законодательства о конкретной информационной системе.
24. Решения о предоставлении доступа, принимаемые в соответствии с пунктом 23 Порядка, оформляются в виде заявок на предоставление доступа с использованием АСУ ИТ, в порядке, определенном в пунктах 6 - 8 Порядка, и с учетом положений законодательства Российской Федерации о конкретной внешней информационной системе.
25. Запрещается использование информации, полученной из внешних информационных систем, для выполнения функций и решения задач, не относящихся к деятельности Министерства.
IV. Изменение прав доступа пользователей к информации
26. Изменение прав доступа пользователя к информации производится при изменении его функциональных обязанностей на основании:
приказа Министерства о переводе пользователя на иную должность, в том числе, в другое структурное подразделение Министерства;
решения руководителя структурного подразделения Министерства, поступившего в Департамент информационных технологий и обеспечения проектной деятельности в форме заявки в АСУ ИТ или СЭД.
27. При получении Департаментом информационных технологий и обеспечения проектной деятельности документов, содержащих информацию о решениях соответствующих руководителей, принятых в соответствии с пунктом 26 Порядка, уполномоченные работники в течение одного рабочего дня создают соответствующие заявки в АСУ ИТ.
28. При переводе на иную должность или перемещении пользователя внутри структурного подразделения Министерства изменение доступа к информации осуществляется не позднее следующего рабочего дня после получения заявок администраторами информационных систем, оформленных в соответствии с требованиями раздела III Порядка.
29. При переводе пользователя в другое структурное подразделение:
предоставленный ему доступ к информации прекращается не позднее следующего рабочего дня после получения администраторами информационных систем и администраторами ИКИ заявок, созданных в соответствии с пунктом 27 Порядка;
в случае необходимости доступ к информации переведенному пользователю оформляется в соответствии с требованиями раздела III Порядка.
V. Прекращение доступа пользователей к информации
30. Прекращение доступа пользователя к информации производится на основании приказа об увольнении пользователя.
31. После получения Департаментом информационных технологий и обеспечения проектной деятельности копии приказа об увольнении пользователя, уполномоченные работники в течение одного рабочего дня в АСУ ИТ создают соответствующие заявки, на основании которых:
администратор информационных систем осуществляет блокировку прав доступа пользователя к информационным системам Министерства не позднее даты, установленной приказом об увольнении пользователя;
администратор ИКИ Министерства удаляет (блокирует) учетную запись пользователя, внешний ящик электронной почты в течение семи рабочих дней, после даты установленной приказом об увольнении пользователя.
32. В случае служебной необходимости срок удаления учетной записи пользователя, внешнего ящика электронной почты может быть пересмотрен в соответствии с заявкой руководителя структурного подразделения Министерства, в котором числился уволенный пользователь.
33. Заявка оформляется с использованием АСУ ИТ, при этом в ней указывается срок сохранности учетной записи, внешнего ящика электронной почты. В случае отсутствия в заявке указания срока сохранности такой учетной записи администратор ИКИ руководствуется требованиями пункта 31 Порядка.
34. Ответственность за сохранность необходимых данных (информации), указанных в пунктах 32 и 33 Порядка, возлагается на руководителя соответствующего структурного подразделения Министерства.
VI. Требования к системе предоставления
доступа пользователей к информации
35. Для ограничения доступа к информации в Министерстве используются пароли и (или) ключевые носители с размещенной на них ключевой информацией.
36. Общие требования к паролям:
длина пароля должна быть не менее 8 символов;
в числе символов пароля обязательно должны присутствовать буквы и цифры;
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т.д.), а также общепринятые сокращения;
наличие специальных символов (@, #, $, & , *, % и т.п.).
37. По функциональным требованиям к паролям информационные системы Министерства подразделяются на:
информационные системы Министерства, предоставляющие возможность самостоятельной смены пароля пользователем;
информационные системы Министерства, где смена паролей возможна только администратором информационной системы.
38. При первом подключении к информационной системе Министерства, в которой предусмотрена возможность самостоятельной смены пароля пользователем, пользователь обязан изменить первоначальный пароль, полученный у администратора информационных систем, на индивидуальный, известный только пользователю.
39. При наличии технической возможности информационные системы Министерства должны быть настроены на принудительную смену пароля пользователем не реже одного раза в 90 дней.
40. Внеплановая смена личного пароля пользователя информационных систем Министерства производится:
в случае компрометации личного пароля пользователя;
по требованию администратора безопасности;
по инициативе самого пользователя.
41. Внеплановая смена пароля администратора информационных систем производится в случае прекращения полномочий администраторов информационных систем и других лиц, которым в связи со служебной необходимостью мог быть известен пароль администратора информационных систем.
42. В информационных системах Министерства при наличии технической возможности устанавливаются:
ограничение неуспешных попыток входа в информационную систему;
блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя.
Максимальное количество неуспешных попыток входа в информационную систему (аутентификации) - не более 10.
43. Минимальная продолжительность времени для блокировки учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации составляет 10 минут. Максимальная продолжительность времени бездействия (неактивности) пользователя до блокирования сеанса доступа в информационную систему составляет 30 минут.
Приложение
к Порядку предоставления доступа пользователям
к информации, не составляющей государственную
тайну, обрабатываемой в информационных системах
Министерства труда и социальной защиты
Российской Федерации, утвержденному приказом
Министерства труда и социальной защиты
Российской Федерации
от 16 апреля 2019 г. N 256
Заявка на доступ к информационным системам и информационно-коммуникационной инфраструктуре Минтруда России Прошу предоставить доступ к информационно-коммуникационной инфраструктуре Минтруда России ____________________________________________ (Ф.И.О. пользователя, должность, дата и номер ___________________________________________________________________________ приказа о назначении на должность пользователя, номер кабинета, контактный телефон) и следующим информационным ресурсам: 1) ____________________________________________________________________ (наименование программ, файлов, массивов, архивов, баз данных и т.п.) чтение, изменение, копирование, удаление с полномочиями на _________________________________________; (ненужное зачеркнуть) 2) ____________________________________________________________________ (наименование информационных систем (разделов информационных систем)) чтение, изменение, копирование, удаление; и (или) роли с полномочиями на _________________________________________________________ (ненужное зачеркнуть) пользователя; _____________ 3) к информации, содержащейся в почтовом ящике _______________________, чтение, изменение, копирование, удаление с полномочиями на _________________________________________; (ненужное зачеркнуть) 4) к информации, содержащейся на дисках ______________________________, чтение, изменение, копирование, удаление с полномочиями на _________________________________________; (ненужное зачеркнуть) 5) к принтерам общего пользования _____________________________________ (модель принтера, номер кабинета) Пользователь ознакомлен с требованиями Порядка предоставления доступа пользователям к информации, не составляющей государственную тайну, обрабатываемой в информационных системах Минтруда России. Руководитель структурного подразделения Минтруда России (подпись) Расшифровка подписи Пользователь (подпись) Расшифровка подписи