Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми ...



БАШKОРТОСТАН РЕСПУБЛИКАHЫ

Администрация муниципального района Бирский район Республики Башкортостан

ПОСТАНОВЛЕНИЕ

05 июня 2020 года № 531

Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными

правовыми актами

В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", в целях реализации Постановления Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» администрация муниципального района Бирский район Республики Башкортостан ПОСТАНОВЛЯЕТ:

1. Утвердить и ввести в действие организационно-распорядительные документы, регламентирующие порядок работы по обработке и защите персональных данных в администрации муниципального района Бирский район Республики Башкортостан:

1.1              Правила обработки, хранения и уничтожения персональных данных (приложение № 1).

1.2              Политика обработки персональных данных (приложение № 2).

1.3              Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение № 3).

1.4              Перечень информационных систем персональных данных (приложение № 4).

1.5              Перечень персональных данных (приложение № 5).

1.6              Порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных (приложение № 6).

1.7              Матрица доступа сотрудников к защищаемым информационным ресурсам ИСПДн (приложение № 7).

1.8              Инструкция лица, ответственного за организацию обработки персональных данных (приложение № 8).

1.9              Инструкция лица, ответственного за обеспечение безопасности персональных данных (приложение № 9).

1.10              Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации (приложение № 10).

1.11              Типовая форма согласия субъекта на обработку персональных данных (приложение № 11).

1.12 Типовая форма обязательства о неразглашении конфиденциальной информации (персональных данных), не содержащих сведений, составляющих государственную тайну (приложение №12).

1.13              Типовая форма акта об уничтожении персональных данных (приложение № 13).

1.14              Типовая форма согласия для кандидатов на участие в конкурсе (приложение № 14).

1.15              Правила проведения мероприятий по контролю процессов обработки и защиты персональных данных (приложение № 15).

1.16              Правила рассмотрения запросов субъектов персональных данных или их представителей (приложение № 16).

1.17              Журнал учета машинных носителей персональных данных (приложение № 17).

1.18              Журнал учета применяемых средств защиты информации, эксплуатационной и технической документации к ним (приложение № 18).

1.19 Положение по организации парольной защиты (приложение № 19).

1.20              Положение по организации антивирусной защиты(приложение № 20).

1.21              Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в связи с поступлением на муниципальную службу (приложение № 21).

1.22              Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в связи с поступлением на работу или выполнением работы (приложение № 22).

1.23 Правила работы с обезличенными данными (приложение №23).

1.24              Инструкция по обеспечению безопасности персональных данных (приложение № 24).

1.25              Инструкция по действиям персонала во внештатных ситуациях при обработке конфиденциальной информации и персональных данных (приложение № 25).

1.26              Инструкция должностного лица, ответственного за защиту информации (приложение № 27).

2. Признать утратившими силу следующие постановления администрации муниципального района Бирский район Республики Башкортостан:

- от 30 сентября 2016 года № 2331 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами»;

- от 1 февраля 2019 года № 84 «О внесении изменений в постановление администрации муниципального района Бирский район Республики Башкортостан от 30.09.2016»;

- от 13 мая 2020 года № 449 «О внесении изменений в постановление администрации муниципального района Бирский район Республики Башкортостан от 30.09.2016 № 2331».

3. Заведующему сектором муниципальной службы и кадровой работы администрации муниципального района Бирский район Республики Башкортостан:

- обеспечить при приеме на работу новых сотрудников проведение инструктажа по режиму обработки персональных данных в организации;

-ознакомить сотрудников администрации муниципального района Бирский район Республики Башкортостан с настоящим постановлением.

4. Опубликовать политику обработки персональных данных на официальном сайте администрации муниципального района Бирский район Республики Башкортостан.

5. Контроль за исполнением настоящего постановления возложить на управляющего делами администрации муниципального района Бирский район Республики Башкортостан Князеву О.В.

Глава администрации

А.В. Талалов

Приложение № 1

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ПРАВИЛА

обработки, хранения и уничтожения персональных данных

Общие положения

Настоящие Правила обработки, хранения и уничтожения персональных данных (далее – Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Настоящие Правила определяют правила обработки персональных данных; сроки обработки и хранения персональных данных, порядок их уничтожения, ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных в Администрации муниципального района Бирский район Республики Башкортостан (далее - Оператор).

Организацию работ по осуществлению обработки и защиты персональных данных, осуществлению контроля за соблюдением требований законодательства по персональным данным и локальных актов Оператора осуществляет ответственный за организацию обработки персональных данных.

Текущий контроль за соблюдением правил по обработке персональных данных без использования средств автоматизации осуществляет ответственный за организацию обработки персональных данных.

Настоящие Правила не исключают обязательного выполнения других руководящих документов по вопросам обработки, передачи, хранения и уничтожения персональных данных.

Должностные лица, допустившие нарушения требований руководящих и нормативных документов по вопросам защиты персональных данных, привлекаются к ответственности в соответствии с законодательством Российской Федерации.

2. Основные понятия

В настоящих Правилах используются следующие основные понятия:

персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу;

обработка персональных данных - любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированное рабочее место (АРМ) — программно-технический комплекс автоматизированной системы, предназначенный для автоматизации деятельности определенного вида;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

конфиденциальность персональных данных - обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

носитель - материальный объект, в том числе физическое поле, в котором информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Общие требования к обработке персональных данных

Обработке подлежат только те персональные данные, которые отвечают целям их обработки.

Сотрудники Оператора и иные лица, получившие доступ к персональным данным, не вправе раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Персональные данные не могут быть использованы в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и свобод граждан.

Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно, либо его законным представителем. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с федеральным законодательством.

Необходимо получить согласие субъекта персональных данных на обработку его персональных данных (за исключением случаев, предусмотренных федеральными законами):

при передаче персональных данных третьим лицам;

при распространении персональных данных,

при принятии решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

Обязанность получения письменного согласия на обработку персональных данных субъекта персональных данных возлагается на отдел кадров Оператора.

Оператор не вправе запрашивать у субъектов информацию об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

4. Порядок обработки персональных данных в информационной системе персональных данных

В информационной системе персональных данных должна соблюдаться парольная защита.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Все машинные носители информации, на которых записана информация, содержащая персональные данные субъектов, должны быть зарегистрированы в «Журнале учета машинных носителей информации», и иметь этикетку, на которой указывается учетный (регистрационный) номер.

При эксплуатации информационной системы, предназначенной для обработки персональных данных, пользователям запрещается:

вносить изменения в состав, конструкцию, конфигурацию и размещение технических средств информационной системы;

вносить изменения в состав программного обеспечения, структуру файловой системы;

осуществлять попытки несанкционированного доступа к ресурсам информационной системы и к информации других пользователей;

подключать информационную систему персональных данных к информационным сетям общего пользования без использования дополнительных средств защиты (сертифицированные межсетевые экраны и средства криптографической защиты данных);

использовать неучтенные машинные накопители информации.

При проведении технического обслуживания и ремонта компонентов информационной системы персональных данных, запрещается передавать указанные компоненты третьим лицам в отсутствии пункта о соблюдении конфиденциальности в соглашении, заключенном с этими лицами.

Обязанности сотрудника по обработке ПДн в информационной системе персональных данных:

при работе с АРМ использовать только установленное программное обеспечение, необходимое для выполнения должностных обязанностей сотрудника;

при обработке персональных данных на АРМ исключить возможность ознакомления посторонних лиц с электронными документами;

при отлучении с рабочего места закрывать все электронные документы, базы данных, содержащие персональные данные, блокировать АРМ;

использовать только учтенные машинные носители информации;

обеспечивает сохранность машинных носителей информации;

при повреждении и выходе из строя внешних машинных носителей сдавать их для уничтожения;

докладывать непосредственному руководителю о выявленных или допущенных нарушениях правил.

5. Порядок обработки персональных данных без использования средств автоматизации

Персональные данные при их обработке без использования средств автоматизации, фиксируются на отдельных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на носителях не допускается фиксация на одном носителе персональных данных, цели обработки которых заведомо не совместимы.

При использовании типовых форм документов, характер информации в которых предполагается включение в них персональных данных, должно соблюдаться следующее условие: типовая форма или связанные с ней документы (административный регламент, инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки персональных данных.

В отношении каждой категории персональных данных должны быть определены места хранения персональных данных (носителей персональных данных) и установлен перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.

Обязанности сотрудника по обработке ПДн без использования средств автоматизации:

выполнять требования, установленные Правилами обработки, хранения и уничтожения персональных данных и Политикой обработки и защиты персональных данных;

обеспечить сохранность бумажных документов в процессе обработки и хранения;

исключать просмотр документов, содержащих персональные данные, третьими лицами, в том числе сотрудниками Оператора, которым не предоставлен доступ к данным документам;

хранить документы на рабочем месте исключительно с целью обработки ПДн. При достижении целей обработки сдавать документы в архив, либо осуществлять в установленном порядке уничтожение документов;

в нерабочее время бумажные документы хранить в запираемых секциях рабочих столов или в шкафах, либо в запираемом помещении.

6. Порядок и срок хранения персональных данных

Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, иным нормативным правовым документом или договором, стороной которого, является субъект персональных данных.

Съемные машинные носители персональных данных должны храниться в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов).

Конкретные сроки хранения персональных данных указываются в номенклатуре дел.

Срок хранения персональных данных в электронном виде не может превышать срока хранения персональных данных на бумажных носителях.

Необходимо обеспечивать раздельное хранение персональных данных (носителей персональных данных), обработка которых осуществляется в различных целях.

Места хранения носителей персональных данных определяются распоряжением Главы Администрации.

Ответственный за организацию обработки персональных данных осуществляет контроль за хранением и использованием носителей персональных данных с целью исключения несанкционированного использования, изменения, распространения и уничтожения персональных данных, находящихся на этих носителях.

Вынос носителей персональных данных за пределы помещения Оператора допускается исключительно по служебной необходимости с разрешения непосредственного руководителя.

7. Передача персональных данных

Передача персональных данных третьим лицам возможна при соблюдении следующих условий:

Наличие письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральными законами.

Соблюдение лицами, получающими персональные данные субъекта, режима конфиденциальности персональных данных.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом о персональных данных. В поручении должны быть определены: перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с Федеральным законом о персональных данных.

Трансграничная передача персональных данных, обрабатываемых в Операторе, допускается в случаях, предусмотренных Федеральным Законодательством и международными договорами Российской Федерации.

Оператор передает персональные данные субъекта персональных данных третьим лицам на основании письменного запроса о предоставлении персональных данных (далее - запрос). Запрос должен содержать сведения о положениях федерального закона, устанавливающего право обратившегося на получение запрашиваемых персональных данных или о заключенном договоре (соглашении) об информационном взаимодействии с Оператором; о целях получения персональных данных; о составе персональных данных. В случае если запрос направляется по информационно-телекоммуникационным сетям, он должен быть подписан усиленной квалифицированной электронной подписью.

8. Доступ к персональным данным

Перечень должностей, допущенных к обработке персональных данных, утверждается распоряжением Главы Администрации.

В отношении отдельных категорий персональных данных возможно ограничение допуска сотрудников, занимающих одну должность, к обработке персональных данных, на основании распоряжения Главы Администрации.

Сотрудник, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

Сотрудник, допущенный к обработке персональных данных, принимает на себя обязательства в случае прекращения с ним трудовых отношений, перевода на другую работу, освобождения от работ, связанных с обработкой персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей. Обязательство в письменной форме приобщается к личному делу сотрудника.

Сотрудники, допущенные к обработке персональных данных, должны быть проинформированы о характере обработки, категориях обрабатываемых персональных данных, а также об особенностях и условиях осуществления такой обработки.

Субъект персональных данных, чьи персональные данные обрабатываются Оператором, имеет право на доступ к своим персональным данным в соответствие со статьей 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

9. Порядок уничтожения персональных данных

Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по окончанию срока хранения бумажных носителей персональных данных, достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

Уничтожение персональных данных осуществляется комиссией с составлением акта, по истечению сроков хранения и обработки персональных данных.

Уничтожение бумажных носителей персональных данных должно осуществляться путем сожжения, либо измельчения в бумаго-уничтожающей машине.

При необходимости уничтожения части персональных данных, уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.

Уничтожение машинных носителей информации должно производится следующими способами:

оптические диски и дискеты – путем физического повреждения;

флеш накопители – путем ударно-механического повреждения основной платы, на которой располагается флеш память;

накопитель на жестком магнитном диске – путем измельчения магнитных дисков.

Для удаления персональных данных с машинных носителей информации могут использоваться программные методы гарантированного удаления информации, в которых используются алгоритмы гарантированного удаления данных.

Для удаления персональных данных из электронных баз данных применяются методы обезличивания персональных данных с целью невозможности определить принадлежность персональных данных конкретному субъекту в соответствие с Правилами работы с обезличенными данными.

10. Ответственность за неисполнение (ненадлежащее исполнение)

настоящих Правил

Сотрудники несут ответственность за ненадлежащее исполнение или неисполнение настоящих Правил в соответствии с действующим законодательством Российской Федерации и локальными актами Оператора.

Управляющий делами

О.В. Князева

Приложение № 2

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ПОЛИТИКА

обработки персональных данных

Общие положения

1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных к постановлению Администрации муниципального района Бирский район Республики Башкортостан (Далее - Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных».

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.

1.4. К настоящей Политике имеет доступ любой субъект персональных данных. Политика публикуется на официальном сайте Оператора и размещается на информационных стендах Оператора.

1.5. Правовые основания обработки персональных данных:

Конституция Российской Федерации; Налоговый кодекс Российской Федерации; Семейный кодекс Российской Федерации; Кодекс Российской Федераций об административных правонарушениях; Трудовой кодекс Российской Федерации; Градостроительный кодекс, Федеральный закон Российской Федерации от 2 марта 2007 года №25-ФЗ «О муниципальной службе в Российской Федерации»; Федеральный закон от 6 декабря 2011 №402-ФЗ «О бухгалтерском учете»; Федеральный закон от 1 апреля 1996 года №27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон Российской Федерации от 9 февраля 2009 года №8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»; Федеральный закон Российской Федерации от 27 июля 2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг»; Федеральный закон Российской Федерации от 28 марта 1998 года №53-Ф3 «О воинской обязанности и военной службе»; «Положение о воинском учете», утвержденное постановлением Правительства Российской Федерации №719 от 27 ноября 2006 года; Федеральный закон Российской Федерации от 6 октября 2003 №131-Ф3 «Об общих принципах организации местного самоуправления в Российской Федерации»; Федеральный закон Российской Федерации «О трудовых пенсиях в Российской Федерации»; Федеральный закон Российской Федерации от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; Закон Республики Башкортостан от12 декабря 2006 года №391-з «Об обращениях граждан в Республике Башкортостан»; Федеральный закон от 19 мая 1995 года №82-ФЗ "Об общественных объединениях”; Федеральный Закон от 2 апреля 2014 №44-ФЗ "Об участии граждан в охране общественного порядка"; Федеральный закон от 19 мая 1995 года №81-ФЗ «О государственных пособиях гражданам, имеющим детей»; Указ Президента Российской Федерации от 6 марта 1997 года №188-ФЗ «Перечень сведений конфиденциального характера»; Федеральный закон от 22 августа 1996 года №125-ФЗ «О высшем и послевузовском образовании»; Постановление Правительства Российской Федерации от 27 ноября 2013 года №1076-ФЗ «О порядке заключения и расторжения договора о целевом приеме и договора о целевом обучении»; Федеральный закон от 24 апреля 2008 года № 48-ФЗ «Об опеке и попечительстве»; Федеральный закон от 16 апреля 2001 года № 44-ФЗ «О государственном Банке данных о детях, оставшихся без попечения родителей»; Постановление Правительства Российской Федерации от 29 марта 2000 года №275 «Об утверждении правил передачи детей на усыновление, удочерение) и осуществления контроля за условиями их жизни и воспитания в семьях усыновителей на территории Российской Федерации и правил постановки на учет консульскими учреждениями Российской Федерации детей, являющихся гражданами Российской Федерации и усыновленных иностранными гражданами или лицам без гражданства, дети, оставшиеся без попечения родителей, передаются на усыновление», Постановление Правительства Республики Башкортостан от 28 августа 2014 года №410 "Об утверждении Порядка проведения ремонта ранее занимаемых жилых помещений, расположенных на территории Республики Башкортостан, нанимателями или членами семей нанимателей по договорам социального найма либо собственниками которых являются дети-сироты и дети, оставшиеся без попечения родителей, Лиц из числа детей-сирот и детей, оставшихся без попечения родителей", Постановление Правительства Российской Федерации от 17 ноября 2010 года № 927 «Об отдельных вопросах осуществления опеки и попечительства в отношении совершеннолетних недееспособных или не полностью дееспособных граждан», Постановление Правительства от 18 мая 2009 года №423-ПП «Об отдельных вопросах осуществления опеки и попечительства в отношении несовершеннолетних граждан», Постановление Правительства от 19 мая 2009 года №423-ПП «О временной передаче детей, находящихся в организациях для детей-сирот и детей, оставшихся без попечения родителей, в семьи граждан, постоянно проживающих на территории Российской Федерации», Постановление Правительства Республики Башкортостан от 27 сентября 2013 года №438-ПП «Об утверждении порядка установления факта невозможности проживания детей-сирот и детей, оставшихся без попечения родителей, лиц из числа детей-сирот и детей, оставшихся без попечения родителей, в ранее занимаемых жилых помещениях, нанимателями или членами семей нанимателей по договорам социального найма либо собственниками которых они являются, и порядка выявления обстоятельств, свидетельствующих о необходимости оказания содействия детям-сиротам и детям, оставшимся без попечения родителей, лицам из числа детей-сирот и детей, оставшихся без попечения родителей, в преодолении трудной жизненной ситуации», Федеральный Закон от 24 июня 1999 года №120-ФЗ «Об основах системы профилактики безнадзорности и правонарушений несовершеннолетних; Закон Республики Башкортостан «О местном самоуправлении в Республике Башкортостан»; Закон Республики Башкортостан от 23 марта 1998 года №151-з «О системе профилактики безнадзорности и правонарушений несовершеннолетних, защиты их прав в Республики Башкортостан»; Закон Республики Башкортостан от 29 декабря 2007 года №522-з «О комиссиях по делам несовершеннолетних и защите их прав»; Закон Республики Башкортостан от 11 июля 2006 года №342-з «О патронатном воспитании в Республике Башкортостан»; Федеральный закон от 19 июня 2004 года № 54-ФЗ "О собраниях, митингах, демонстрациях, шествиях и пикетированиях", Устав Администрации.

Основные цели обработки персональных данных

регистрация и учет работников и муниципальных служащих, обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получение образования, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества;

соблюдение порядка и правил приема на работу, установленных ТК РФ, порядка и приема на муниципальную службу;

регистрация и учет лиц, с которыми заключены договора;

обеспечение соблюдения законов и иных нормативных правовых актов в связи с оказанием муниципальных услуг и муниципальных функций;

рассмотрение обращений граждан.

Основные понятия, используемые в настоящей Политике

В настоящей Политике используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Принципы обработки персональных данных

4.1. Обработка персональных данных Оператором осуществляется на законной и справедливой основе.

4.2. Обработка персональных данных ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

4.6. При обработке персональных данных обеспечены точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и обеспечивает их принятие по удалению и уточнению неполных и неточных данных.

4.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей.

4.8. Оператор и иные лица, получившие доступ к персональным данным, обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Условия обработки персональных данных

5.1. Обработка персональных данных осуществляться с соблюдением принципов и правил, предусмотренных Федеральными законами. Обработка персональных данных осуществляется в следующих случаях:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);

осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

При выполнении одного из перечисленных условий согласие не требуется.

5.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, если:

субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

персональные данные сделаны общедоступными субъектом персональных данных;

обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года № 8-ФЗ "О Всероссийской переписи населения";

обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.

5.3. Обработка персональных данных о судимости может осуществляться в случаях и в порядке, которые определяются в соответствии с федеральными законами.

5.4. Обработка специальных категорий персональных данных незамедлительно прекращается, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

5.5. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) не обрабатываются.

5.6. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральными законами. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с Федеральными законами.

5.7. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

Ответственность за отправку персональных данных Оператору через незащищенные каналы связи (электронная почта) несет сам отправитель.

Общее описание обработки персональных данных

6.1.Персональные данные обрабатываются Оператором с использованием средств автоматизации и без использования таких средств. Оператором определен перечень действий (операций) с персональными данными при их обработке: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

6.2.При трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

предусмотренных международными договорами Российской Федерации;

предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

исполнения договора, стороной которого является субъект персональных данных;

защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

6.3.Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

6.4.При исключительно автоматизированной обработке персональных данных запрещается принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, если имеется согласие в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

Оператор обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Сроки обработки персональных данных

7.1. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

7.2. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

7.4. В случае отсутствия возможности уничтожения персональных данных в течение указанных выше сроков, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Меры в области обработки и защиты персональных данных

8.1. Оператором предусмотрено принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами, в отношении обработки персональных данных. Оператором определены состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, в частности:

назначение лица, ответственного за организацию обработки персональных данных;

издание документов, определяющие политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

установление уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

выполнение требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

применение средств защиты информации в информационных системах персональных данных, прошедших в установленном порядке процедуру оценки соответствия;

осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;

ведение учета машинных носителей персональных данных;

обеспечение обнаружения фактов несанкционированного доступа к персональным данным и принятие мер;

предусмотрена возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и проводится обучение указанных работников.

осуществление внутреннего контроля и аудита соответствия обработки персональных данных федеральному законодательству и принятыми в соответствии с ними нормативных правовых актов, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора.

Права субъекта персональных данных

9.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые Оператором способы обработки персональных данных;

наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

9.2 Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования, отзыва или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.3 Сведения, указанные в пункте 9.1, предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

9.4 Сведения, указанные в пункте 9.1, предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9.5 В случае, если сведения, указанные в пункте 9.1, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 9.1, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

9.6 Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 9.1, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, в случае, если такие сведения и обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

9.7 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

9.8 Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.

9.9 Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

9.10 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Контроль и надзор за обработкой персональных данных

10.1 Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Роскомнадзор).

10.2 Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

10.3 Управление Роскомнадзора по Республике Башкортостан

450005, г. Уфа, ул. 50 лет Октября, 20/1,

Телефон для справок: (347) 222–20–98

Факс: (347) 222–20–97

E-mail: rsockanc02@rkn.gov.ru

Сайт: http://02.rkn.gov.ru/

11 Ответственность за нарушение требований законодательства в отношении обработки персональных данных

11.1 В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

11.2 Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

11.3 Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272,273 и 274 УК РФ).

Управляющий делами

О.В. Князева

Приложение № 1

к Политике обработки персональных данных

Главе администрации муниципального района Бирский район Республики Башкортостан

от___________________________

(ф.и.о. заявителя)

_____________________________

_____________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

_____________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

Прошу предоставить мне для ознакомления обрабатываемую Вами информацию, составляющую мои персональные данные:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

(должность)

(подпись)

(ФИО)

«___»_________20__г.

Приложение № 2

к Политике обработки персональных данных

Главе администрации муниципального района Бирский район Республики Башкортостан

от___________________________

(ф.и.о. заявителя)

_____________________________

_____________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

_____________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

Прошу уточнить/блокировать/уничтожить (подчеркнуть нужное) обрабатываемые Вами,мои персональные данные: __________________________________________________;

(указать уточняемые персональные данные)

в связи с тем, что персональные данные являются неполными/устаревшими/неточными/ незаконно полученными/не являются необходимыми для заявленной цели обработки.

(указать причину уточнения персональных данных)

(подпись)

(ФИО)

«___»______________20__г.

Приложение № 3

к Политике обработки персональных данных

Главе администрации муниципального района Бирский район Республики Башкортостан

от___________________________

(ф.и.о. заявителя)

_____________________________

_____________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

_____________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

об отзыве согласия на обработку персональных данных

Настоящим заявлением отзываю свое согласие на обработку персональных данных.

В случае невыполнения требований, изложенных в данном отзыве, буду вынужден обратиться с жалобой в Роскомнадзор для привлечения к административной ответственности.

(подпись)

(ФИО)

«___»______________20__г.

Приложение № 3

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ПЕРЕЧЕНЬ

должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

№

Должность, отдел

Категория субъектов ПДн

Глава администрации

Работники;

Близкие родственники работников;

Уволенные работники;

Муниципальные служащие;

Близкие родственники муниципальных служащих;

Уволенные муниципальные служащие;

Участники конкурсов на замещение вакантных должностей муниципальной службы;

Граждане и муниципальные служащие, включенные в кадровый резерв;

Абитуриенты, желающие получить или получившие целевое направление на обучение от Администрации;

Практиканты;

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг и их близкие родственники;

Лица, с которыми заключены договора;

Представители и работники юридических лиц, индивидуальных предпринимателей;

Несовершеннолетние дети, совершившие административные правонарушения, потерпевшие, свидетели и их законные представители;

Лица, нарушающие права и интересы несовершеннолетних;

Недееспособные физические лица;

Лица из числа сирот, ожидающие очередь на получение жилья;

Несовершеннолетние дети и их законные представители;

Лица, совершившие административные правонарушения, потерпевшие, свидетели;

Участники судебного процесса, потерпевшие, свидетели

Первый заместитель главы администрации (по вопросам ЖКХ и строительства)

Заместитель главы администрации (по социальным вопросам и кадрам);

Заместитель главы администрации (по экономике);

Заместитель главы администрации (по сельскому хозяйству);

Заместитель главы администрации – начальник финансового управления;

Управляющий делами

Работники;

Близкие родственники работников;

Уволенные работники;

Муниципальные служащие;

Близкие родственники муниципальных служащих;

Уволенные муниципальные служащие;

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники

Лица, с которыми заключены договора;

Представители и работники юридических лиц, индивидуальных предпринимателей

Заведующий сектором муниципальной службы и кадровой работы, главный специалист сектора муниципальной службы и кадровой работы

Работники;

Близкие родственники работников;

Уволенные работники;

Муниципальные служащие;

Близкие родственники муниципальных служащих;

Уволенные муниципальные служащие;

Участники конкурсов на замещение вакантных должностей муниципальной службы;

Граждане и муниципальные служащие, включенные в кадровый резерв;

Абитуриенты, желающие получить или получившие целевое направление на обучение от Администрации;

Практиканты;

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг и их близкие родственники;

Лица, с которыми заключены договора

Заведующий сектором по мобилизационной работе, главный специалист сектора по мобилизационной работе

Работники;

Близкие родственники работников;

Уволенные работники;

Муниципальные служащие;

Близкие родственники муниципальных служащих;

Уволенные муниципальные служащие;

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники

Главный бухгалтер, главный специалист отдела бухгалтерии

Работники;

Близкие родственники работников;

Уволенные работники;

Муниципальные служащие;

Близкие родственники муниципальных служащих;

Уволенные муниципальные служащие;

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Лица, с которыми заключены договора;

Представители и работники юридических лиц, индивидуальных предпринимателей

Главный архитектор, главный специалист отдела архитектуры и градостроительства, ведущий специалист отдела архитектуры и строительства

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Лица, с которыми заключены договора;

Представители и работники юридических лиц, индивидуальных предпринимателей

Начальник юридического отдела, главный юрисконсульт юридического отдела, ведущий специалист юридического отдела

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Лица, совершившие административные правонарушения, потерпевшие, свидетели;

Участники судебного процесса, потерпевшие, свидетели;

Лица, с которыми заключены договора;

Представители и работники юридических лиц, индивидуальных предпринимателей

Заведующий сектором жизнеобеспечения населения, главный специалист сектора жизнеобеспечения населения

Работники;

Близкие родственники работников;

Уволенные работники;

Муниципальные служащие;

Близкие родственники муниципальных служащих;

Уволенные муниципальные служащие;

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Лица, с которыми заключены договора;

Представители и работники юридических лиц, индивидуальных предпринимателей

Начальник отдела экономического развития, промышленности и инвестиций, главный специалист отдела экономического развития, промышленности и инвестиций

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг и их близкие родственники;

Лица, с которыми заключены договора;

Представители и работники юридических лиц, индивидуальных предпринимателей

Ответственный секретарь комиссии по делам несовершеннолетних и защите их прав, специалист комиссии по делам несовершеннолетних и защите их прав

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Несовершеннолетние дети, совершившие административные правонарушения, потерпевшие, свидетели и их законные представители;

Лица, нарушающие права и интересы несовершеннолетних;

Несовершеннолетние дети, оставшиеся без попечения родителей;

Несовершеннолетние дети и их законные представители;

Лица, совершившие административные правонарушения;

Участники судебного процесса, потерпевшие, свидетели;

Заведующий сектором информационно-аналитической работы, главный специалист сектора информационно-аналитической работы

Работники;

Близкие родственники работников;

Уволенные работники;

Муниципальные служащие;

Близкие родственники муниципальных служащих;

Уволенные муниципальные служащие;

Участники конкурсов на замещение вакантных должностей муниципальной службы;

Граждане и муниципальные служащие, включенные в кадровый резерв;

Абитуриенты, желающие получить или получившие целевое направление на обучение от Администрации;

Практиканты;

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг и их близкие родственники;

Лица, с которыми заключены договора

Заведующий сектором муниципального земельного и лесного контроля, главный специалист сектора муниципального земельного и лесного контроля

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг и их близкие родственники;

Лица, с которыми заключены договора;

Представители и работники юридических лиц, индивидуальных предпринимателей;

Начальник архивного отдела, главный специалист архивного отдела, ведущий специалист архивного отдела

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг и их близкие родственники;

Тренера спортивных школ, спортсмены

Начальник отдела по социальным вопросам молодежной политики и спорта, главный специалист отдела по социальным вопросам молодежной политики и спорта

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг и их близкие родственники

Начальник отдела опеки и попечительства, главный специалист отдела и попечительства, ведущий специалист отдела и попечительства

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг и их близкие родственники;

Несовершеннолетние дети и их законные представители;

Несовершеннолетние дети, оставшиеся без попечения родителей;

Лица из числа сирот, ожидающие очередь на получение жилья

Недееспособные физические лица

Начальник отдела организационного обеспечения, делопроизводства и контроля, главный специалист отдела организационного обеспечения, делопроизводства и контроля, ведущий специалист отдела организационного обеспечения, делопроизводства и контроля

Работники;

Близкие родственники работников;

Уволенные работники;

Муниципальные служащие;

Близкие родственники муниципальных служащих;

Уволенные муниципальные служащие;

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Лица, с которыми заключены договора;

Представители и работники юридических лиц, индивидуальных предпринимателей

Начальник отдела потребительского рынка, предпринимательства и туризма, главный специалист отдела потребительского рынка, предпринимательства и туризма

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Индивидуальные предприниматели, юридические лица

Заведующий сектором муниципальных закупок, главный специалист сектора муниципальных закупок

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Индивидуальные предприниматели, юридические лица, физические лица

Начальник отдела капитального строительства, главный специалист отдела капитального строительства, ведущий специалист - муниципальный жилищный инспектор отдела капитального строительства

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Индивидуальные предприниматели, юридические лица, физические лица

Начальник сектора по жилищным вопросам, главный специалист сектора по жилищным вопросам

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Начальник отдела культуры, главный специалист отдела культуры, ведущий специалист отдела культуры

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники

Ответственный секретарь административной комиссии

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Лица, совершившие административные правонарушения, потерпевшие, свидетели

Заведующий машинописным бюро, секретарь-машинистка

Работники;

Близкие родственники работников;

Уволенные работники;

Муниципальные служащие;

Близкие родственники муниципальных служащих;

Уволенные муниципальные служащие;

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг, и их близкие родственники;

Лица, с которыми заключены договора;

Представители и работники юридических лиц, индивидуальных предпринимателей

Управляющий делами

О.В. Князева

Приложение № 4

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ПЕРЕЧЕНЬ

информационных систем персональных данных

Наименование ИСПДн

Адрес объекта

Исходные данные ИСПДн

Тип ИСПДн

Субъекты ПДн

Объем обрабатываемых Пдн

Тип угроз

Уровень защищенности ИСПДн

Структура ИСПДн

Наличие подключений к ССОП и сетям МИО (Интернет)

Режим обработки ПДн

Разграничение доступа пользователей

Местонахождение ИСПДн (её составных частей) в пределах России

ИСПДн «Администрация МР Бирский район РБ»

452450 г. Бирск, ул. Курбатова, 63

локальная информационная система - комплекс АРМ, объединенных без использования технологии удаленного доступа

Подключена к сети Интернет

Многопользовательский

С разграничением прав доступа

Расположена в пределах Российской Федерации

иные

Не являющиеся сотрудниками оператора

Менее 100000

3

4

ИСПДн «КДН»

452450 г. Бирск, ул. Курбатова, 63

Локальная ИСПДн, комплекс АРМ, объединенных без использования технологий удаленного доступа

Подключена к сети Интернет

Многопользовательский

С разграничением прав доступа

Расположена в пределах Российской Федерации

специальные

Не являющиеся сотрудниками оператора

Менее 100000

3

3

ИСПДн «Опека»

452450 г. Бирск, ул. Курбатова, 63

Локальная ИСПДн, комплекс АРМ, объединенных без использования технологий удаленного доступа

Подключена к сети Интернет

Многопользовательский

С разграничением прав доступа

Расположена в пределах Российской Федерации

специальные

Не являющиеся сотрудниками оператора

Менее 100000

3

3

Управляющий делами

О.В. Князева

Приложение № 5

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ПЕРЕЧЕНЬ

персональных данных

Субъекты ПДн

Персональные данные

Муниципальные служащие

Фамилия, имя, отчество; пол; место, год и дата рождения; адрес места жительства; паспортные данные; телефонный номер (домашний, рабочий, мобильный); семейное положение и состав семьи (муж/жена, дети); информация об образовании (наименование образовательной Организации, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность); профессия; информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения); данные об аттестации; данные о повышении квалификации и профессиональной переподготовке; данные о наградах, медалях, поощрениях, почетных званиях; ИНН; СНИЛС; сведения о воинском учете (ФИО, категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета); данные о трудовом договоре (ФИО, № трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты), сведения о доходах, другие сведения о муниципальных служащих, предусмотренные ФЗ-25 «О муниципальной службе в Российской Федерации

Близкие родственники муниципальных служащих

Фамилия, имя, отчество, степень родства, дата и место рождения, реквизиты свидетельства о браке, реквизиты свидетельства о рождении

Уволенные муниципальные служащие

фамилия, имя, отчество; пол; место, год и дата рождения; адрес места жительства; паспортные данные; телефонный номер (домашний, рабочий, мобильный); семейное положение и состав семьи (муж/жена, дети); информация об образовании (наименование образовательной Организации, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность); профессия; информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения); данные об аттестации; данные о повышении квалификации и профессиональной переподготовке; данные о наградах, медалях, поощрениях, почетных званиях; ИНН; СНИЛС; сведения о воинском учете (ФИО, категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета); данные о трудовом договоре (ФИО, № трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты), сведения о доходах, другие сведения о муниципальных служащих, предусмотренные ФЗ-25 «О муниципальной службе в Российской Федерации

Работники

фамилия, имя, отчество; пол; место, год и дата рождения; адрес места жительства; паспортные данные; телефонный номер (домашний, рабочий, мобильный); семейное положение; информация об образовании (наименование образовательной Организации, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность); профессия; информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения); ИНН; СНИЛС; сведения о воинском учете (ФИО, категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета); данные о трудовом договоре (ФИО, № трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты)

Близкие родственники работников

Фамилия, имя, отчество, степень родства, дата и место рождения, реквизиты свидетельства о браке, реквизиты свидетельства о рождении

Уволенные работники

Фамилия, имя, отчество; пол; место, год и дата рождения; адрес места жительства; паспортные данные; телефонный номер (домашний, рабочий, мобильный); семейное положение; информация об образовании (наименование образовательной Организации, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность); профессия; информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения); ИНН; СНИЛС; сведения о воинском учете (ФИО, категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета); данные о трудовом договоре

Участники конкурсов на замещение вакантных должностей муниципальной службы;

Граждане и муниципальные служащие, включенные в кадровый резерв

Фамилия, имя, отчество; пол; место, год и дата рождения; адрес места жительства; паспортные данные; телефонный номер (домашний, рабочий, мобильный); семейное положение и состав семьи (муж/жена, дети); информация об образовании (наименование образовательной Организации, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность); профессия; информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения); данные об аттестации; данные о повышении квалификации и профессиональной переподготовке; данные о наградах, медалях, поощрениях, почетных званиях; ИНН; СНИЛС; сведения о воинском учете (ФИО, категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета); данные о трудовом договоре (ФИО, № трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты),

другие сведения о муниципальных служащих, предусмотренные ФЗ-25 «О муниципальной службе в Российской Федерации;

Граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг и их близкие родственники

- фамилия, имя, отчество;

- дата рождения;

- место рождения;

- реквизиты документа, удостоверяющего личность;

- контактный телефон;

- гражданство;

- адрес;

- пол;

- сведения о доходах;

- сведения об имущественном положении;

- сведения о месте работы;

- свидетельство о браке;

- сведения о составе семьи;

- сведения о состоянии здоровья;

- сведения об умерших родственниках;

- сведения страхового пенсионного свидетельства;

- ИНН;

- сведения о земельном участке, объекте строительства

- документы на жилое помещение;

- иные документы, необходимые для получения услуги/ указанные в обращении

Практиканты

- фамилия, имя, отчество, группа, место учебы

Абитуриенты, желающие получить или получившие целевое направление на обучение от Администрации

- фамилия, имя, отчество

- сведения об образовании,

- копия аттестата о среднем образовании, награды, грамоты, сведения о сданных экзаменах, участие в олимпиадах, данные о результатах ЕГЭ;

- сведения о документе, удостоверяющем личность

Лица, с которыми заключены договора

- фамилия, имя, отчество;

- адрес;

- реквизиты лицевого банковского счета;

- СНИЛС;

- реквизиты документа, удостоверяющего личность;

- ИНН;

- контактный телефон;

Представители и работники юридических лиц, индивидуальных предпринимателей

- фамилия, имя, отчество;

- адрес;

- реквизиты документа, удостоверяющего личность;

Несовершеннолетние дети, совершившие административные правонарушения, потерпевшие, свидетели и их законные представители

- фамилия, имя, отчество;

- дата рождения;

- место рождения;

- место жительства или место нахождения ребенка и его законных представителей;

- состояние здоровья ребенка (при необходимости);

- сведения о документе, удостоверяющем личность;

- сведения об административных правонарушениях

Лица, нарушающие права и интересы несовершеннолетних

Лица, совершившие административные правонарушения, потерпевшие, свидетели

- фамилия, имя, отчество;

- дата рождения

- место рождения;

- место жительства;

- сведения о документе, удостоверяющем личность;

- сведения об административном правонарушении, иные сведения по правонарушению / судебному делу

Лица из числа сирот, ожидающие очередь на получение жилья

фамилия, имя, отчество, пол, дата и место рождения, гражданство, место жительства (или) место пребывания, сведения об имуществе, реквизиты документа, удостоверяющего личность

Недееспособные физические лица

- фамилия, имя, отчество;

- дата рождения;

- место рождения;

- место жительства;

- сведения о документе, удостоверяющем личность

Несовершеннолетние дети и их законные представители

фамилия, имя, отчество, пол, дата и место рождения, гражданство, место жительства (или) место пребывания, сведения об имуществе, реквизиты документа, удостоверяющего личность

Несовершеннолетние дети, оставшиеся без попечения родителей

фамилия, имя, отчество, пол, дата и место рождения, гражданство, место жительства (или) место пребывания, сведения об имуществе, реквизиты документа, удостоверяющего личность

Участники судебного процесса, потерпевшие, свидетели

фамилия, имя, отчество, адрес местожительства, место рождения, условия проживания; паспортные данные, дата рождения, телефонный номер (домашний, рабочий, мобильный);

семейное положение и состав семьи (муж/жена, дети);

сведения об административных нарушениях, привлечении к ответственности;

характеристика;

сведения о недвижимом и движимом имуществе;

место работы, должность

Управляющий делами

О.В.Князева

Приложение № 6

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ПОРЯДОК

доступа сотрудников в помещения, в которых ведется обработка персональных данных

1. Настоящий Порядок доступа в помещения Администрации муниципального района Бирский район Республики Башкортостан, в которых ведется обработка персональных данных (далее – Порядок) разработан в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

2. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях, исключая возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

3. При хранении носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

5. Ответственным за организацию доступа в помещения, в которых ведется обработка персональных данных, является лицо, назначенное ответственным за обеспечение безопасности персональных данных.

6. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, осуществляется лицом ответственным за обеспечение безопасности персональных данных.

7. Самостоятельный доступ в помещения имеют исключительно сотрудники, работающие в данном помещений.

8. Нахождение в помещении лиц, не имеющих права самостоятельного доступа в помещении, возможно только в присутствии сотрудника, имеющего такое право.

9. Сотрудник, покидающий помещение последним обязан закрыть его на ключ, при этом запрещается оставлять ключ в замке помещения.

10. При утрате ключа от помещения должна производиться смена замка в срок, не превышающий три дня.

11. Помещения, в которых размещены средства криптографической защиты информации или осуществляется хранение ключевых документов, опечатываются печатью сотрудника, либо ставятся на сигнализацию.

12. Сотрудник несет ответственность за сохранность ключа от помещения и печати для опечатывания.

13. При увольнении или смене рабочего помещения сотрудник сдает ключ и печать.

14. В случае утраты ключа от помещения или печати для опечатывания сотрудник должен незамедлительно сообщить ответственному за обеспечение безопасности персональных данных.

15. Контроль за соблюдением порядка доступа в помещения осуществляется ответственным за обеспечение безопасности персональных данных.

Управляющий делами

О.В. Князева

Приложение № 7

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

МАТРИЦА

доступа сотрудников к защищаемым информационным ресурсам ИСПДн

Ч-чтение, З-запись, М-модификация, П-передача

Управляющий делами

О.В.Князев

Пользователи ИСПДн

Защищаемый информационный ресурс ИСПДн

«1С: Предприятие. Зарплата и Кадры»

«АИС - Семья»

СЭД «Дело»

«Подросток +»

Главный бухгалтер, главный специалист отдела бухгалтерии,

ЧЗМ

-

-

-

Начальник отдела опеки и попечительства, главный специалист отдела опеки и попечительства, ведущий специалист отдела опеки и попечительства

-

ЧЗМ

-

-

Начальник отдела организационного обеспечения, делопроизводства и контроля, главный специалист отдела организационного обеспечения, делопроизводства и контроля, ведущий специалист отдела организационного обеспечения, делопроизводства и контроля

-

-

ЧЗМ

-

Ответственный секретарь комиссии по делам несовершеннолетних и защите их прав, специалист комиссии по делам несовершеннолетних и защите их прав

-

-

-

ЧЗМ

Главный специалист сектора по мобилизационной работе

ЧЗМ

ЧЗМ

ЧЗМ

ЧЗМ

Приложение № 8

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ИНСТРУКЦИЯ

лица, ответственного за организацию обработки персональных данных

1. Общие положения

1.1. Настоящая инструкция определяет основные цели, функции, права и обязанности должностного лица, ответственного за организацию обработки персональных данных (далее – Ответственное лицо) в Администрации муниципального района Бирский район Республики Башкортостан (далее – Оператор).

1.2. Назначение Ответственного лица, закрепление за ним определенных полномочий и обязанностей производится распоряжением Главы Администрации.

1.3. Ответственное лицо проводит свою работу в соответствии с Федеральным законом №152-ФЗ «О персональных данных», постановлениями Правительства Российской Федерации, касающимися обработки персональных данных, нормативным методическим документам Федеральной службы по техническому и экспортному контролю России, Федеральной службы безопасности России и иными нормативными актами в области обработки и защиты персональных данных, а также внутренними нормативными документами.

2. Основные функции Ответственного лица

2.1. Обеспечение соблюдения требований законодательства Российской Федерации в области защиты персональных данных, нормативных правовых актов, регулирующих сферу обработки и защиты персональных данных, а также внутренних организационно-распорядительных документов.

2.2. Обеспечение правомерности обработки персональных данных, а также соответствия процессов обработки персональных данных заявленным целям.

2.3. Обеспечение соответствия договоров и соглашений, заключаемых с третьими лицами и связанных с передачей, совместной обработкой или поручением обработки персональных данных, требованиям законодательства Российской Федерации.

2.4. Обеспечение разработки, согласования, предоставления на утверждение руководителю Оператора внутренних организационно-распорядительных документов, связанных с обработкой персональных данных, поддержание их в актуальном состоянии.

2.5. Мониторинг изменений законодательства РФ по вопросам защиты и обработки персональных данных.

2.6. Доведение до сведения сотрудников Оператора положений законодательства Российской Федерации о персональных данных, внутренних организационно-распорядительных документов, связанных с обработкой персональных данных, требований по обеспечению безопасности персональных данных при их обработке.

2.7. Организация мероприятий по повышению осведомленности, квалификации руководства и сотрудников в области обработки и защиты персональных данных.

2.8. Организация приема и обработки (рассмотрения, подготовки ответов) обращений и запросов субъектов персональных данных или их представителей, а также иных органов и организаций по вопросам, связанным с обработкой, передачей или защитой персональных данных.

2.9. Самолично, либо в составе образованной для этих целей комиссии, проведение проверок соответствия условий обработки персональных данных требованиям внутренних организационно-распорядительных документов, связанных с обработкой персональных данных. Предоставление Главе Администрации отчета о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.

2.10. Обеспечение соблюдения установленного режима обработки персональных данных.

2.11. Организация и координация работ по обеспечению безопасности персональных данных, в том числе:

организация проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным или передачи их лицам, не имеющим права доступа к такой информации.

организация своевременного обнаружения фактов несанкционированного доступа к персональным данным;

организация проведения инструктажа с сотрудниками, допущенными к обработке персональных данных по вопросам защиты и обработке персональных данных.

организация постоянного контроля за обеспечением уровня защищенности персональных данных за соблюдением сотрудниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.

2.12. Организация и координация работ по физической защите помещений с установленными техническими средствами, участвующими в обработке персональных данных, а также помещений, где хранятся материальные носители персональных данных, дистрибутивы и документация к средствам защиты информации.

2.13. Организация в установленном порядке проверок и составление заключений по фактам несоблюдения условий обработки и защиты персональных данных, разработка предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений.

2.14 Организация оказания организационно-методической помощи лицам, допущенным к обработке персональных данных.

2.17. Участие в подготовке объектов Оператора к аттестации по выполнению требований обеспечения безопасности персональных данных, в случае принятия руководителем Оператора решения о необходимости проведения аттестации.

2.19. Приостановка процесса обработки персональных данных при обнаружении серьезных нарушений требований законодательства в области обработки и защиты персональных данных.

3. Права и обязанности Ответственного лица

Ответственный за организацию обработки персональных данных обязан:

3.1 При назначении ознакомится с утвержденными локальными актами Оператора и уведомлением об обработке персональных данных, поданным в Управление Роскомнадзора по Республике Башкортостан.

3.2 Знать и выполнять требования действующих нормативных и руководящих документов, локальных актов по защите информации и прочих нормативных правовых актов, регламентирующих порядок действий по защите информации.

3.3 Представлять на утверждение руководителю Оператора перечень должностей, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным, а также изменений к нему.

3.7 Организовывать рассмотрение инцидентов, внештатных ситуаций, связанных с нарушение законодательства и локальных актов по обработке и защите персональных данных.

3.8 Лично, или в составе созданной комиссии проводить служебные расследования по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов информационной системы персональных данных.

Ответственный за организацию обработки персональных данных имеет право:

3.9 Запрашивать и получать необходимые материалы для организации обработки персональных данных.

3.10 Требовать от сотрудников, допущенных к обработке персональных данных, безусловного соблюдения установленных правил обработки и защиты персональных данных.

3.11 Осуществлять оперативное вмешательство в работу сотрудников при явной угрозе безопасности персональных данных в результате несоблюдения установленного режима их обработки и (или) невыполнения требований по обеспечению безопасности персональных данных.

3.12 Вносить свои предложения по доработке внутренних организационно-распорядительных документов, связанных с обработкой персональных данных.

3.13 Обращаться к лицам, ответственным за техническую защиту персональных данных, с просьбами об оказании необходимой технической и методической помощи.

3.14 Получать доступ во все помещения Оператора, в которых осуществляется обработка персональных данных.

3.15 Готовить предложения о привлечении, в случае необходимости, к проведению работ по защите информации на договорной основе организаций, удовлетворяющих установленным требованиям.

3.16 Привлекать необходимых специалистов для проведения исследований, разработки решений, мероприятий и организационно-распорядительных документов по вопросам организации обработки персональных данных.

3.17 Вносить руководителю Оператора предложения о наказании отдельных сотрудников, допущенных к обработке персональных данных, и, допустивших серьезные нарушения правил и условий их обработки.

3.18 Требовать прекращения обработки персональных данных отдельными сотрудниками, в случае выявления нарушений ими локальных актов по вопросам обработки и защиты персональных данных.

4. Ответственность Ответственного лица

Ответственное лицо несет персональную ответственность за:

4.1 Выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией;

4.2 Правильное и своевременное выполнение приказов, распоряжений, указаний руководителя Оператора по вопросам, входящим в его компетенцию;

4.3 Правильность и объективность принимаемых решений;

4.4 Качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями;

4.5 Соблюдение трудовой дисциплины, охраны труда, разглашение сведений ограниченного распространения, ставших известными ему в ходе выполнения должностных обязанностей.

С инструкцией ознакомлен(а)_______________________________

Управляющий делами

О.В. Князева

Приложение № 9

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ИНСТРУКЦИЯ

лица, ответственного за обеспечение безопасности персональных данных

1. Общие положения

1.1 Инструкция является локальным правовым актом, регламентирующим деятельность должностного лица, ответственного за обеспечение безопасности персональных данных (далее – Ответственное лицо) в Администрации муниципального района Бирский район Республики Башкортостан (далее – Администрация) при выполнении функции по защите ПДн в ИСПДн.

1.2 Целью настоящей Инструкции является регламентирование работы должностного лица, ответственного за обеспечение безопасности персональных данных в практической реализации мер защиты и обеспечения безопасности информации в используемых информационных системах персональных данных Оператора.

1.3 Назначение Ответственного лица, закрепление за ним определенных полномочий и обязанностей производится распоряжением Главы Администрации.

1.4 Ответственное лицо должно иметь образование в области защиты информации и стаж работы в данной области не менее трех лет.

1.5 Ответственное лицо должно знать и применять в своей повседневной деятельности:

законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты ПДн;

структуру ИСПДн, особенности обработки ПДн в ней, перспективы её развития и модернизации;

функции системы защиты персональных данных (далее СЗПДн);

документацию на используемые в СЗПДн средства защиты информации;

методы и средства контроля эффективности защиты ПДн, выявления каналов утечки информации;

методы планирования и организации проведения работ по защите ПДн;

технические средства контроля и защиты информации, перспективы и направления их совершенствования.

Основные функции Ответственного лица

2.1 Обеспечение устойчивой работоспособности и безопасности ИСПДн в соответствии с нормативными правовыми актами, локальными актами по вопросам обработки и защиты персональных данных.

2.2 Организация работ по обеспечению безопасности информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники в ИСПДн, а также правильность использования и штатного функционирования средств защиты информации, подготовку сотрудников (пользователей ИСПДн) по вопросам безопасной обработки информации в ИСПДн.

3. Права и обязанности Ответственного лица

Ответственный за обеспечение безопасности персональных данных должен организовывать выполнение следующих мероприятий:

по техническому обеспечению безопасности персональных данных при их обработке в ИСПДн, в том числе:

мероприятий по предоставлению и разграничению доступа в информационные системы персональных данных;

мероприятий по закрытию технических каналов утечки персональных данных, при их наличии;

мероприятий по защите от несанкционированного доступа к персональным данным;

мероприятий по выбору средств защиты персональных данных;

своевременное обнаружение фактов несанкционированного доступа к персональным данным, обрабатываемым в ИСПДн;

недопущение воздействия на технические средства обработки персональных данных, в результате которого может быть нарушено их функционирование;

обеспечение возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

обеспечение хранения двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности;

постоянный контроль за обеспечением уровня защищенности персональных данных, при их обработке в ИСПДн;

проведение внутренних проверок состояния технической защиты персональных данных не менее двух раз в год;

определение событий безопасности, подлежащих регистрации, и сроков их хранения, а так же состава и содержания информации о событиях безопасности, подлежащих регистрации;

определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных;

осуществление контроля за соблюдением условий использования средств защиты информации (в том числе криптографических), предусмотренных эксплуатационной и технической документацией;

организация периодической проверки электронных журналов автоматизированных средств ИСПДн с целью анализа запросов пользователей ИСПДн на получение доступа к персональным данным, а также актов предоставления персональных данных по этим запросам;

организация периодической проверки электронных журналов средств защиты информации с целью анализа событий, представляющих опасность для защищаемых персональных данных;

организация ведения поэкземплярного учета носителей персональных данных, применяемых средств защиты (в том числе криптографических), а также эксплуатационной и технической документации к ним;

подготовка отчетов о состоянии работ по обеспечения технической защиты персональных данных;

осуществление текущего и периодического контроля работоспособности средств и систем защиты ПДн;

осуществление периодического контроля за действиями сотрудников при работе с паролями, соблюдением правил их хранения и использования;

осуществление планирования и проведения мероприятий по антивирусной защите;

обеспечение формирования и поддержания в актуальном состоянии матрицы доступа сотрудников к защищаемым ресурсам ИСПДн;

осуществление автоматизированного контроля текущего функционального состояния ИСПДн, включающего просмотр журнала активных сеансов, контроль за работой конкретного рабочего места;

поддержание непрерывного функционирования системы защиты персональных данных;

проведение ознакомления пользователей ИСПДн с правилами работы со средствами защиты информации.

Ответственный за обеспечение безопасности персональных данных обязан:

участвовать в подготовке объектов Оператора к аттестации по выполнению требований обеспечения безопасности персональных данных, в случае принятия руководством Оператора решения о необходимости проведения аттестации;

участвовать в проводимых работах по совершенствованию системы защиты персональных данных;

участвовать в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой ПДн, попыток несанкционированного доступа в ИСПДн, несоблюдения правил и условий работы в ИСПДн, хранения носителей персональных данных, использования средств защиты информации (в том числе криптографических) и иных нарушений, снижающих уровень защищенности персональных данных, разработка предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений;

информировать лицо, ответственное за организацию обработки персональных данных о фактах нарушения установленного порядка работ, попытках несанкционированного доступа к информационным ресурсам ИСПДн, действиях сотрудников, нарушающих установленные требования к обеспечению безопасности персональных данных.

Ответственный за обеспечение безопасности персональных данных имеет право:

контролировать работу пользователей в ИСПДн;

требовать от должностных лиц, допущенных к обработке персональных данных, безусловного соблюдения установленных правил обработки и защиты персональных данных;

вносить свои предложения по совершенствованию мер защиты персональных данных;

ходатайствовать перед Главой Администрации о прекращении обработки информации, как в целом в ИСПДн, так и отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн;

обращаться к лицу, ответственному за организацию обработки персональных данных, с просьбами об оказании необходимой нормативной и методической помощи в работе;

получать доступ во все помещения, в которых осуществляется обработка персональных данных;

привлекать в установленном порядке необходимых специалистов из числа сотрудников для проведения исследований, разработки решений, мероприятий и организационно-распорядительных документов по вопросам организации технической защиты персональных данных;

вносить руководству предложения о наказании отдельных сотрудников, допущенных к работе в ИСПДн и допустивших серьезные нарушения, приведшие к нарушению безопасности персональных данных.

4. Ответственность Ответственного лица

Ответственное лицо несет персональную ответственность за:

4.1 выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией;

4.2 правильность и объективность принимаемых решений;

4.3 качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями;

4.4 соблюдение трудовой дисциплины, охраны труда, разглашение сведений ограниченного распространения, ставших известными ему в ходе выполнения должностных обязанностей.

С инструкцией ознакомлен(а)____________________________________________

Управляющий делами

О.В. Князева

Приложение № 10

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ПОРЯДОК

резервирования и восстановления работоспособности

технических средств и программного обеспечения, баз данных и средств защиты информации

1. Общие положения

Настоящий Порядок проведения резервного копирования (восстановления) программ и данных, хранящихся на серверах и персональных компьютерах Администрации муниципального района Бирский район Республики Башкортостан (далее – Оператор) разработан с целью:

определения порядка резервирования данных для последующего восстановления работоспособности информационной системы персональных данных (ИСПДн) Оператора при полной или частичной потере информации, вызванной сбоями или отказами аппаратного или

программного обеспечения, ошибками пользователей, чрезвычайными обстоятельствами (пожаром, стихийными бедствиями и т.д.);

определения порядка восстановления информации в случае возникновения такой необходимости;

упорядочения работы должностных лиц, связанной с резервным копированием и восстановлением информации.

В настоящем документе регламентируются действия при выполнении следующих мероприятий:

резервное копирование;

контроль резервного копирования;

хранение резервных копий;

полное или частичное восстановление данных и приложений.

Резервному копированию подлежит информация следующих основных категорий:

персональная информация пользователей;

групповая информация пользователей;

информация, необходимая для восстановления серверов и систем управления базами данных (далее – СУБД);

персональные профили пользователей сети;

информация автоматизированных систем, в т.ч. базы данных;

рабочие копии установочных компонент программного обеспечения рабочих станций;

регистрационная информация системы информационной безопасности автоматизированных систем.

Машинные носители, содержащие резервные копии, маркируются и регистрируются в «Журнале учета машинных носителей информации».

2. Порядок резервного копирования

2.1 Состав копируемых данных, периодичность проведения резервного копирования, срок хранения резервных копий определены Приложением №1.

2.2 Резервные копии хранятся на машинных носителях, отличных от носителей, содержащих исходную информацию.

2.3 Методика проведения резервного копирования описана в Приложении №2.

2.4 О выявленных попытках несанкционированного доступа к резервируемой информации, а также иных нарушениях информационной безопасности, произошедших в процессе резервного копирования, должно быть немедленно сообщено Ответственному за обеспечение безопасности персональных данных.

3. Контроль результатов резервного копирования

Контроль результатов всех процедур резервного копирования осуществляется ответственным за организацию обработки персональных данных.

На протяжении периода времени, когда система резервного копирования находится в аварийном состоянии, должно осуществляться ежедневное копирование информации, подлежащей резервированию, с использованием средств файловых систем серверов, располагающих необходимыми объемами дискового пространства для её хранения.

.

4. Ротация носителей резервной копии

Система резервного копирования должна обеспечивать возможность периодической замены (выгрузки) резервных носителей без потерь информации на них, а также обеспечивать восстановление текущей информации ИСПДн в случае отказа любого из устройств резервного копирования. Все процедуры по загрузке, выгрузке носителей из системы резервного копирования, а также их перемещение, осуществляются ответственным за организацию обработки персональных данных. В качестве новых носителей допускается повторно использовать те, у которых срок хранения содержащейся информации истек.

Носители с персональными данными, которые перестали использоваться в системе резервного копирования, должны стираться (форматироваться) с использованием специального программного обеспечения, реализующим полное физическое уничтожение данных.

5. Восстановление информации из резервной копии

5.1 В случае необходимости, восстановление данных из резервных копий производится на основании заявки сотрудника - Пользователя ИСПДн.

5.2 Процедура восстановления информации из резервной копии осуществляется лицом, осуществляющим администрирование ИСПДн.

5.3 После поступления заявки, восстановление данных осуществляется в максимально сжатые сроки, ограниченные техническими возможностями системы, но не более одного рабочего дня.

Управляющий делами

О.В. Князева

Приложение №1

Перечень объектов ИСПДн, подлежащих резервному копированию

№ п/п

Наименование

Периодичность резервного копирования

Способ проведения

Срок хранения

Ответственный за обеспечение безопасности персональных данных

/____________/

подпись

расшифровка подписи

Приложение №2

Методика резервного копирования

Для организации системы резервного копирования используется программное обеспечение (далее - ПО) ________________________________________________________ версии ______. С целью оптимизации расходов на развёртывание системы резервного копирования, запись резервной копии осуществляется на жёсткий диск. С помощью указанного программного обеспечения выполняются такие действия, как задание режимов и составление расписания резервного копирования клиентов, осуществляются операции по загрузке и выгрузке носителей информации, проводится контроль за состоянием выполнения заданий, запускаются процедуры восстановления информации. Для снижения совокупной нагрузки на информационную систему все операции по резервированию информации необходимо проводить в вечернее время.

Существуют три набора резервных копий:

Месячный набор. Записывается информация на первое число текущего месяца. Срок хранения – месяц. Хранится на сервере резервного копирования.

Недельная копия. Записывается в ночь на среду и в ночь на субботу. Срок хранения – субботняя копия – до следующей среды, вторничная копия – до субботы. Хранится на сервере.

Квартальный (или годовой) набор. Записывается информация в конце квартала или года, в зависимости от специфики деятельности. Максимальный срок хранения не устанавливается.

Различаются два принципиально разных источника информации, подлежащей резервированию:

Информация, хранящаяся непосредственно в файловой системе операционной системы.

Базы данных (под управлением СУБД).

Используемое для резервного копирования ПО должно быть сконфигурировано согласно настоящему Регламенту.

Для резервирования информации, хранимой в базах данных, в качестве промежуточного звена автоматизации используются средства конфигурирования СУБД и архиваторы. В результате работы промежуточного звена автоматизации формируется каталог с резервной копией данных Прикладной информационной системы. Посредством ПО резервного копирования формируются задания на проведение резервного копирования этого каталога. Данное ПО должно быть сконфигурировано согласно настоящему Регламенту.

Ответственный за обеспечение безопасности персональных данных

/____________/

подпись

расшифровка подписи

Приложение № 11

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ТИПОВАЯ ФОРМА

согласия субъекта на обработку персональных данных

СОГЛАСИЕ СУБЪЕКТА

на обработку персональных данных

Я, __________________________________________________________________________________,

(фамилия, имя, отчество субъекта)

зарегистрированный(ая) по адресу: ______________________________________________________

(адрес регистрации)

____________________________________________________________________________________________

(номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)

даю согласие оператору: Администрация муниципального района Бирский район Республики Башкортостан.

расположенному по адресу: 452450, Республика Башкортостан, Бирский район, г.Бирск, ул. Курбатова, 63.

на автоматизированную, а также без использования средств автоматизации обработку следующих категорий моих персональных данных:

фамилия, имя, отчество,

год, месяц, дата и место рождения,

адрес регистрации по месту жительства и адрес фактического проживания,

дата регистрации по месту жительства;

гражданство,

прежние фамилия, имя, отчество, дата, место и причина изменения,

образование,

послевузовское профессиональное образование,

ученая степень, ученое звание,

государственные награды, иные награды и знаки отличия,

знание иностранного языка,

сведения о трудовой деятельности, прохождении службы,

сведения о пребывании за границей,

наличие (отсутствие) судимости,

отношение к воинской обязанности, сведения по воинскому учету,

сведения о доходах, имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера членов семьи,

допуск к государственной тайне,

номер страхового свидетельства обязательного пенсионного страхования,

номер страхового медицинского полиса обязательного медицинского страхования,

идентификационный номер налогоплательщика,

паспортные данные;

паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации;

номер телефона,

сведения о государственной регистрации актов гражданского состояния,

результаты обязательных медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования,

фотография,

степень родства, фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены), бывших мужей (жен)

в целях реализации трудовых отношений, социальных, медицинских и иных гарантий, обучения и продвижения по службе.

Перечень действий с персональными данными, на совершение которых дается согласие:

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), размещение в информационно-телекоммуникационных сетях (в том числе на официальном сайте https://birsk.bashkortostan.ru/), обезличивание, блокирование, уничтожение.

Если мои персональные данные можно получить только у третьей стороны, то я должен быть уведомлен об этом заранее с указанием целей, предполагаемых источников и способов получения персональных данных, также должно быть получено на это согласие.

Настоящее согласие действует со дня его подписания и действует до достижения целей обработки персональных данных или до момента предоставления мною отзыва данного согласия в письменной форме.

После прекращения трудовых отношений персональные данные хранятся в администрации муниципального района Бирский район Республики Башкортостан в течение срока хранения документов, предусмотренных действующим законодательством Российской Федерации.

“

”

20

г.

(подпись)

(Ф.И.О.)

СОГЛАСИЕ СУБЪЕКТА

на обработку персональных данных

Я, __________________________________________________________________________________,

(фамилия, имя, отчество субъекта)

зарегистрированный(ая) по адресу: ______________________________________________________

(адрес регистрации)

____________________________________________________________________________________________

(номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)

с целью исполнения __________________________________________________________________ (цель обработки персональных данных)

даю согласие оператору: Администрация муниципального района Бирский район Республики Башкортостан.

расположенному по адресу: 452450, Республика Башкортостан, Бирский район, г.Бирск, ул. Курбатова, 63.

на обработку нижеследующих персональных данных ____________________________________

(перечень персональных данных)

Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с моими персональными данными с учетом федерального законодательства.

Я проинформирована, что под обработкой персональных данных понимаются действия (операции) с персональными данными в рамках выполнения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», конфиденциальность персональных данных соблюдается в рамках исполнения Операторами законодательства Российской Федерации

В случае неправомерного использования предоставленных мною персональных данных согласие отзывается моим письменным заявлением.

Настоящее согласие действует в течение всего срока трудового договора.

“

”

20

г.

(подпись)

(Ф.И.О.)

СОГЛАСИЕ СУБЪЕКТА

на обработку персональных данных

Я, __________________________________________________________________________________,

(фамилия, имя, отчество субъекта)

зарегистрированный(ая) по адресу: ______________________________________________________

(адрес регистрации)

____________________________________________________________________________________________

(номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)

даю согласие оператору: Администрация муниципального района Бирский район Республики Башкортостан.

расположенному по адресу: 452450, Республика Башкортостан, Бирский район, г.Бирск, ул. Курбатова, 63.

на публикацию (распространение) на сайте: https://birsk.bashkortostan.ru/

следующих моих персональных данных: Фамилия, Имя, Отчество, дата рождения, место рождения, сведения о трудовой деятельности, об образовании, наличии ученой степени, ученого звания, гос. наград, занимаемой должности, контактная информация (номер телефона, e-mail), фото

с целью: информирования граждан о профессиональных качествах муниципальных служащих и повышения открытости органа власти.

Настоящее согласие действует с «__»_____20__г. до даты расторжения трудового договора, либо до отзыва путем направления в Администрацию муниципального района Бирский район Республики Башкортостан письменного сообщения об указанном отзыве по форме, утвержденной в «Политике обработки персональных данных Администрации муниципального района Бирский район Республики Башкортостан».

“

”

20

г.

(подпись)

(Ф.И.О.)

СОГЛАСИЕ СУБЪЕКТА

на обработку персональных данных

Я, __________________________________________________________________________________,

(фамилия, имя, отчество субъекта)

зарегистрированный(ая) по адресу: ______________________________________________________

(адрес регистрации)

____________________________________________________________________________________________

(номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)

даю согласие оператору: Администрация муниципального района Бирский район Республики Башкортостан.

расположенному по адресу: 452450, Республика Башкортостан, Бирский район, г.Бирск, ул. Курбатова, 63.

на передачу (предоставление) персональных данных: в ПАО «Сбербанк».

юридический адрес:

следующих категорий моих персональных данных: ФИО, табельный номер сотрудника, номер картсчета, сведения о начисляемых денежных средствах.

с целью: выплаты заработной платы и других материальных выплат на карту с помощью программы Клиент-банк «Сбербанк» либо с использованием машинных или бумажных носителей.

Настоящее согласие действует с «__»_____201_г. до даты расторжения трудового договора, либо до отзыва путем направления в Администрацию муниципального района Бирский район Республики Башкортостан письменного сообщения об указанном отзыве по форме, утвержденной в «Политике обработки персональных данных Администрацию муниципального района Бирский район Республики Башкортостан».

“

”

20

г.

(подпись)

(Ф.И.О.)

СОГЛАСИЕ СУБЪЕКТА

на обработку персональных данных

Я, __________________________________________________________________________________,

(фамилия, имя, отчество субъекта)

зарегистрированный(ая) по адресу: ______________________________________________________

(адрес регистрации)

_____________________________________________________________________________________

(серия и номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)

даю согласие оператору: Администрация муниципального района Бирский район Республики Башкортостан.

расположенному по адресу: 452450, Республика Башкортостан, Бирский район, г.Бирск, ул. Курбатова, 63.

на передачу (предоставление) в: ГБОУ ВО БАГСУ

расположенному по адресу: 450008, Республика Башкортостан, г.Уфа, ул. Заки Валиди, 40.

следующих моих персональных данных: ФИО, дата рождения, пол, сведения об образовании, специальность, квалификация, домашний адрес.

с целью: формирования заявок на обучение, повышение квалификации.

Настоящее согласие действует с «__»_____20__г. до даты расторжения трудового договора, либо до отзыва согласия путем направления в Администрацию муниципального района Бирский район Республики Башкортостан письменного сообщения об указанном отзыве письменного сообщения об указанном отзыве по форме, утвержденной в "Политике обработки персональных данных Администрацию муниципального района Бирский район Республики Башкортостан".

“

”

20

г.

(подпись)

(Ф.И.О.)

СОГЛАСИЕ СУБЪЕКТА

на обработку персональных данных

Я, __________________________________________________________________________________,

(фамилия, имя, отчество субъекта)

зарегистрированный(ая) по адресу: ______________________________________________________

(адрес регистрации)

_____________________________________________________________________________________

(серия и номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)

даю согласие оператору: Администрация муниципального района Бирский район Республики Башкортостан.

расположенному по адресу: 452450, Республика Башкортостан, Бирский район, г.Бирск, ул. Курбатова, 63.

на передачу (предоставление): ГБУЗ РБ Бирская центральная районная больница.

расположенному по адресу: 452450, Республика Башкортостан, Бирский район, г.Бирск, ул. Коммунистическая.

следующих моих персональных данных: фамилия, имя, отчество, пол, должность, наименование подразделения.

с целью: проведения первичного и периодического медицинского осмотра.

Настоящее согласие действует с «__»_____201_г. до даты расторжения трудового договора, либо до отзыва согласия путем направления в Администрацию муниципального района Бирский район Республики Башкортостан письменного сообщения об указанном отзыве письменного сообщения об указанном отзыве по форме, утвержденной в "Политике обработки персональных данных Администрацию муниципального района Бирский район Республики Башкортостан".

“

”

20

г.

(подпись)

(Ф.И.О.)

Управляющий делами

О.В. Князева

Приложение № 12

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ТИПОВАЯ ФОРМА

обязательства о неразглашении конфиденциальной информации

(персональных данных), не содержащих сведений,

составляющих государственную тайну

Я, ___________________________________________________________________,

(фамилия, имя, отчество)

исполняющий(ая) должностные обязанности по занимаемой должности_______________________________________________________________________________________________________________________________________________________

(должность, наименование учреждения)

предупрежден(а), что на период исполнения должностных обязанностей в соответствии с должностным регламентом, мне будет предоставлен допуск к конфиденциальной информации (персональным данным), не содержащим сведений, составляющих государственную тайну. Настоящим добровольно принимаю на себя обязательства:

1. Не разглашать третьим лицам конфиденциальную информацию (персональные данные), которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.

2. Не передавать и не раскрывать третьим лицам конфиденциальную информацию (персональные данные), которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.

З. В случае попытки третьих лиц получить от меня конфиденциальную информацию (персональные данные), сообщать непосредственному руководителю.

4. Не использовать конфиденциальную информацию (персональные данные) с целью получения выгоды.

5. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты конфиденциальной информации (персональных данных).

6. Немедленно сообщать об утрате или недостаче носителей персональных данных, личного пропуска, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению персональных данных, а также о причинах и условиях возможной утечки сведений, ответственному должностному лицу за обеспечение безопасности персональных данных.

7. В случае моего увольнения обязуюсь:

прекратить обработку персональных данных;

все носители персональных данных (документы, рукописи, черновики, съемные носители информации и пр.), которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы в Администрации, передать ответственному должностному лицу за обеспечение безопасности персональных данных.

8. Бессрочно после прекращения права на допуск к конфиденциальной информации (персональным данным) не разглашать и не передавать третьим лицам известную мне конфиденциальную информацию (персональные данные).

9. До моего сведения доведены с разъяснениями соответствующие положения по обеспечению сохранности персональных данных. Мне известно, что нарушения этих положений может повлечь уголовную, административную, гражданско-правовую или иную ответственность в соответствии с законодательством РФ.

_______________ _____________________________                            (личная подпись) (ФИО) Дата

Один экземпляр обязательств о неразглашении конфиденциальной информации (персональных данных) получил.

_______________ _____________________________                            (личная подпись) (ФИО) Дата

Управляющий делами

О.В. Князева

Приложение № 13

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ТИПОВАЯ ФОРМА

акта об уничтожении персональных данных

Акт №___

об уничтожении персональных данных

Комиссия в составе:

Роль

Фамилия И.О.

Должность

Председатель

Члены комиссии

установила, что на основании достижения цели обработки персональных данных, в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» гл. 2, ст. 5, пункт 2, подлежат уничтожению сведения, составляющие персональные данные:

№№ п/п

Сведения, содержащие персональные данные

Тип носителя

Учетные номер носителей

Кол-во экземпляров хранения

Примечание

Указанные персональные данные уничтожены путем______________________________________________________________________

(удаления с помощью средств гарантированного удаления информации, уничтожения носителя и т.п.)

Председатель комиссии:

подпись

расшифровка

Члены комиссии:

подпись

расшифровка

подпись

расшифровка

«___» _________ 20__ г.

Управляющий делами

О.В. Князева

Приложение № 14

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ТИПОВАЯ ФОРМА

согласия для кандидатов на участие в конкурсе

СОГЛАСИЕ СУБЪЕКТА

на обработку персональных данных (кандидата на участие в конкурсе)

Я, ______________________________________________________________________,

(фамилия, имя, отчество субъекта)

зарегистрированный(ая) по адресу: ________________________________________________

(адрес регистрации)

________________________________________________________________________________________

(номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)

даю согласие оператору: Администрация муниципального района Бирский район Республики Башкортостан

расположенному по адресу: 452170, Республика Башкортостан, Бирский район, г.Бирск, ул. Курбатова, 63.

на автоматизированную, а также без использования средств автоматизации обработку следующих категорий моих персональных данных:

фамилия, имя, отчество;

год, месяц, дата и место рождения;

адрес регистрации по месту жительства и адрес фактического проживания;

семейное, социальное, имущественное положение;

образование;

профессия;

ученая степень; ученое звание;

сведения о трудовой деятельности, прохождении службы;

сведения о пребывании за границей;

сведения о судимости;

сведения о доходах;

контактная информация;

СНИЛС;

ИНН;

паспортные данные;

сведения о близких родственниках

включая сбор, систематизацию, накопление, хранение, уточнение, использование, предоставление, обезличивание, блокирование, уничтожение, а также передачу моих персональных данных в случаях, предусмотренных Законодательством РФ.

в целях: участия в конкурсе на замещение вакантной должности муниципальной службы и формирование кадрового резерва___________________________________________

Настоящее согласие действует с «__»_____20__г. в течение 3-х лет либо отзыва путем направления в Администрацию муниципального района Бирский район Республики Башкортостан письменного сообщения об указанном отзыве в произвольной форме, если иное не установлено законодательством Российской Федерации.

“

”

2

г

(дата)

(подпись)

(Ф.И.О.)

СОГЛАСИЕ СУБЪЕКТА

на обработку персональных данных (соискателя на замещение

вакантных должностей)

Я, _______________________________________________________________________,

(фамилия, имя, отчество субъекта)

зарегистрированный(ая) по адресу: _________________________________________________

(адрес регистрации)

_________________________________________________________________________________________

(номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)

даю согласие оператору: Администрация муниципального района Бирский район Республики Башкортостан

расположенному по адресу: 452170, Республика Башкортостан, Бирский район, г.Бирск, ул. Курбатова, 63.

на автоматизированную, а также без использования средств автоматизации обработку следующих категорий моих персональных данных:

фамилия, имя, отчество;

год, месяц, дата и место рождения;

домашний адрес;

семейное положение;

образование;

профессия;

сведения о трудовой деятельности, прохождении службы;

деловые качества;

контактная информация;

включая сбор, систематизацию, накопление, хранение, уточнение, использование, предоставление, обезличивание, блокирование, уничтожение, а также передачу моих персональных данных в случаях, предусмотренных Законодательством РФ.

с целью: замещения вакантных должностей____________________________________

Настоящее согласие действует с «__»_____20__г. в течение 3-х лет либо отзыва путем направления в Администрацию муниципального района Бирский район Республики Башкортостан письменного сообщения об указанном отзыве в произвольной форме, если иное не установлено законодательством Российской Федерации.

“

”

2

г

(дата)

(подпись)

(Ф.И.О.)

Управляющий делами

О.В. Князева

Приложение № 15

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ПРАВИЛА

проведения мероприятий по контролю процессов обработки

и защиты персональных данных

Правила проведения мероприятий по контролю процессов обработки и защиты персональных данных (далее – Правила) в Администрации муниципального района Бирский район Республики Башкортостан (далее – Оператор) предусматривают осуществление мероприятий по контролю соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных», принятыми в соответствии с ним локальными актами Администрации.

Проведение мероприятий проводится согласно Плану, утвержденному Комиссией по приведению деятельности Администрации муниципального района Бирский район Республики Башкортостан в соответствие с требованиями Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее – Комиссия).

План содержит следующую информацию:

наименование мероприятия.

исполнитель.

сроки выполнения.

Факт проведения мероприятия фиксируется исполнителем в Журнале мероприятий по персональным данным (Приложение № 1 к Правилам).

Проведение комиссионных мероприятий осуществляется по распоряжению Главы Администрации. По факту проведения проверки Оператор подготавливает Отчет и Перечень рекомендаций по внесению изменений в процессы обработки и защиты персональных данных.

Мероприятия по периодическому инструктажу работников и контроля их знаний по защите персональных данных оформляются в Журнале инструктажа на рабочем месте (Приложение № 2 к Правилам).

В случае обнаружения, в ходе проведения плановых мероприятий, несоответствия обработки персональных данных локальным нормативным актам, исполнитель составляет Отчет в форме Справки о проведенной проверке (Приложение № 3 к Правилам) и направляет его лицу, ответственному за организацию обработки персональных данных, а ответственный передает на утверждение Главе Администрации для принятия мер.

Управляющий делами

О.В. Князева

Приложение № 1

к Правилам проведения мероприятий по контролю процессов обработки и защиты персональных данных

ЖУРНАЛ

учета мероприятий по персональным данным

Начат:

Окончен:

Количество листов:

Срок хранения:

5 лет

ЖУРНАЛ

учета мероприятий по персональным данным

Дата

Наименование мероприятия

Предмет проверки (контрольного мероприятия)

Выявленные нарушения

Произведенные действия по устранению нарушения

Расписка лица проводившего проверку (ФИО, подпись)

Примечание

1

2

3

4

5

6

7

Приложение № 2

к Правилам проведения мероприятий по контролю процессов обработки и защиты персональных данных

ЖУРНАЛ

учета инструктажа на рабочем месте

Начат:

Окончен:

Количество листов:

Срок хранения:

5 лет

ЖУРНАЛ

учета инструктажа на рабочем месте

Дата

Наименование мероприятия / инструктажа

Расписка лица проводившего инструктаж (ФИО, подпись)

Расписка в ознакомлении

(ФИО, подпись)

Примечание

1

2

4

6

7

Приложение № 3

к Правилам проведения мероприятий по контролю процессов обработки и защиты персональных данных

Справки о проведенной проверке

Дата проверки

__________

Исполнитель:

____________________________

Должность ФИО

Время проверки

__________

Проверяемый:

____________________________

Должность ФИО

Объект проверки

Выявленные нарушения

Принятые меры по устранению

Рекомендации

Приложения:

1.

2.

3.

Исполнитель: _______________

Проверяемый:

_________________

Приложение № 4

к Правилам проведения мероприятий по контролю процессов обработки и защиты персональных данных

План мероприятий по персональным данным

Наименование мероприятия

Исполнитель

Сроки выполнения

Ежегодный аудит процессов обработки и защиты персональных данных

Комиссия, утверждаемая распоряжением

С 01 по 15 августа ежегодно

Разработка и утверждение плана мероприятий по персональным данным на 2020-2021 гг.

Ответственный за организацию обработки персональных данных

С 15 до 30 августа ежегодно

Инструктаж работников по вопросам обработки и защиты персональных данных

Ответственный за организацию обработки персональных данных

Ежеквартально, не позднее 20 числа третьего месяца квартала

Контроль соблюдения работниками локальных актов Оператора регламентирующих процессы обработки и защиты персональных данных

Ответственный за организацию обработки персональных данных; Ответственный за обеспечение безопасности персональных данных

Ежеквартально, но не позднее 20 числа второго месяца квартала

Проверка знаний работниками локальных актов Оператора регламентирующих процессы обработки и защиты персональных данных

Ответственный за организацию обработки персональных данных

2 раза в год

Контроль соответствия настроек программного обеспечения требованиям локальных актов Оператора

Ответственный за обеспечение безопасности персональных данных

Ежемесячно

Анализ защищенности информационной системы

Ответственный за обеспечение безопасности персональных данных

Ежемесячно

Просмотр и анализ журналов событий безопасности программного обеспечения

Ответственный за обеспечение безопасности персональных данных

Еженедельно

Проверка и приведение в актуальное состояние нормативно-организационных документов по персональным данным

Ответственный за организацию обработки персональных данных

2 раза в год

Приложение № 16

к постановлению администрации

муниципального района Бирский район

Республики Башкортостан

от «05» июня 2020 г. № 531

ПРАВИЛА

рассмотрения запросов субъектов персональных данных или законных их представителей

1. Общие положения

Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), Трудовым Кодексом Российской Федерации и определяют порядок обработки поступающих запросов от субъектов персональных данных или их представителей (далее – запросы) в Администрации муниципального района Бирский район Республики Башкортостан (далее - Оператор).

Настоящие Правила не исключают обязательного выполнения других руководящих документов по вопросам рассмотрения запросов субъектов персональных данных или их представителей.

2. Права субъекта персональных данных

В соответствии с действующим законодательством субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, содержащей:

подтверждение факта обработки персональных данных;

правовые основания и цели обработки персональных данных;

цели и применяемые способы обработки персональных данных;

наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией муниципального района Бирский район Республики Башкортостан РБ или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу

иные сведения.

Субъект персональных данных или его представитель вправе обратиться к Оператору с запросом, в целях уточнения персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.

Если субъект персональных данных считает, что обработка его персональных данных осуществляется с нарушением требований Федерального закона №152-ФЗ или иным образом нарушаются его права и свободы, то он вправе обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

Порядок работы с запросами субъектов персональных данных

Запрос может быть подан лично по адресу: 452450, Республика Башкортостан, Бирский район, г.Бирск, ул. Курбатова, 63, либо направлен по почте, или средствами сети Интернет и электронной почты.

Оператором принимаются к рассмотрению запросы, полученные от субъекта персональных данных или его представителя в письменном виде, либо в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации. Запрос заполняется по формам, приведенным в приложениях № 1,4,5 к настоящим Правилам, либо в свободной форме.

В случае, если запрос является повторным и не удовлетворяет требованиям частей 4 и 5 статьи 14 Федерального закона № 152-ФЗ, Оператор вправе отказать в предоставлении информации.

Все обращения субъектов персональных данных подлежат регистрации и учету наряду с остальными входящими документами. Кроме того, такое обращение фиксируется в «Журнале учета обращений субъектов персональных данных и их законных представителей» (далее – Журнал) в день поступления (приложение № 2).

Если запрос удовлетворяет требованиям, предусмотренным пунктом 3.2 настоящих Правил, то запрос передается директору, для рассмотрения и подготовки проекта ответа.

Ответ на запрос субъекту персональных данных направляется в форме электронного документа, по адресу электронной почты, указанному в запросе, или заказным письмом с уведомлением по почтовому адресу, указанному в запросе, в срок, не превышающий десяти дней со дня получения обращения. (Приложение № 3, 6, 7)

Сведения предоставляются субъекту персональных данных или его представителю в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Оператор предоставляет субъекту персональных данных или его представителю возможность ознакомления с обрабатываемыми персональными данными обратившегося субъекта в течение тридцати дней со дня получения соответствующего запроса.

Оператор обязан предоставить субъекту персональных данных или его законному представителю, возможность вносить в них необходимые изменения или уничтожать соответствующие персональные данные по предоставлении заявления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки (приложении № 4,5).

О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы. Форма уведомления представлена в приложении № 6,7.

При рассмотрении запросов обеспечивается:

объективное, всестороннее и своевременное рассмотрение запроса;

принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;

направление письменных ответов по существу запроса.

Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.

В случае отказа в предоставлении информации о персональных данных Оператор в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя, до семи дней дает мотивированный ответ со ссылкой на положения нормативных документов, являющиеся основанием для такого отказа.

О результатах рассмотрения запроса ставится соответствующая отметка в Журнале.

4. Порядок действий Оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Оператор, в течение 3 рабочих дней, осуществляет блокирование персональных данных, относящихся к данном субъекту, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).

Обработка персональных данных считается неправомерной в следующих случаях:

отсутствуют правовые основания для обработки персональных данных в соответствие со статьей 6 ФЗ-152 «О персональных данных»;

осуществляется обработка персональных данных после достижения целей обработки;

осуществляется хранение персональных данных дольше чем того требуют цели обработки персональных данных либо установленные номенклатурой дел сроки хранения носителей персональных данных;

обрабатываются персональные данные избыточные по отношению к целям обработки персональных данных;

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Оператор, в течение 3 рабочих дней, осуществляет блокирование персональных данных, относящихся к данном субъекту, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

Блокирование персональных данных осуществляется посредством изъятия из обработки бумажных носителей персональных данных, относящихся к субъекту. Блокирование персональных данных, обрабатываемых в информационных системах персональных данных, осуществляется посредством блокировки доступа к файлам и карточкам контрагентов в прикладном программном обеспечении.

Контроль за соблюдением порядка рассмотрения запросов субъектов

персональных данных или их представителей

Глава Администрации осуществляет контроль за работой с запросами и за организацией их приема, а так же осуществляет непосредственный контроль за соблюдением порядка рассмотрения запросов, установленного законодательством и настоящими Правилами.

Контроль осуществляется за соблюдением сроков исполнения поручений по запросам, полнотой рассмотрения поставленных вопросов, объективностью проверки фактов, изложенных в запросах, законностью и обоснованностью принятых по ним решений.

Нарушение установленных правил рассмотрения запросов влечет ответственность должностных лиц в соответствии с законодательством Российской Федерации.

Управляющий делами

О.В. Князева

Приложение №1

к Правилам рассмотрения запросов

субъектов персональных данных

или законных их представителей

Главе администрации муниципального района Бирский район Республики Башкортостан

от___________________________

(ф.и.о. заявителя)

______________________________

______________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

______________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

Прошу предоставить мне для ознакомления обрабатываемую Вами информацию, составляющую мои персональные данные:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных № 152-ФЗ;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные № 152-ФЗ или другими федеральными законами.

(подпись)

(ФИО)

«___»______________20__г.

Приложение №2

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

ЖУРНАЛ

учета обращений субъектов персональных данных и их законных представителей

Начат: «____»___________ 20___ г.

Окончен: «____»___________ 20___ г.

на _____ листах

Регистрационный номер, вид обращения и способ доставки

Дата регистрации

Характеристика обращения: первичное, повторное, аналогичное, типовое, многократное

Фамилия и инициалы заявителя, название организации, исходящий номер и его дата

Краткое содержание обращения

Фамилия и резолюция руководителя, рассмотревшего обращение

Фамилия сотрудника (либо название отдела), ответственного за рассмотрение, дата получения и подпись исполнителя

Дата ответа и результаты рассмотрения обращения

Сведения о точном месте хранения материалов рассмотренного обращения

Примечание

1

2

3

4

5

6

7

8

9

10

Приложение №3

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

Уведомление

Уважаемый(ая)__________________________________________________________(Ф.И.О.), в__________________________________________________________________________________

1) производится обработка сведений, составляющих Ваши персональные данные;

2) правовые основания и цели обработки персональных данных______________________________________________________________________________;

3) цели и применяемые оператором способы обработки персональных данных______________________________________________________________________________;

4) наименование и место нахождения оператора________________________________, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона______________________________________________________________________________;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных__________________________________________________________, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом_________________________________________________________________;

6) сроки обработки персональных данных, в том числе сроки их хранения________________;

7) порядок осуществления субъектом персональных данных прав, предусмотренных № 152-ФЗ _______________________________________________________;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных______________________________________________________________________________;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу_________________________________________________________________________;

10) иные сведения, предусмотренные № 152-ФЗ или другими федеральными законами_______________________________________________________________.

(должность)

(подпись)

(ФИО)

«___»______________20__г.

Приложение №4

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

Главе администрации муниципального района Бирский район Республики Башкортостан

от_____________________________

(ф.и.о. заявителя)

______________________________

______________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

______________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

Прошу уточнить/блокировать/уничтожить (подчеркнуть нужное) обрабатываемые Вами, мои персональные данные: ____________________________________________________________;

(указать уточняемые персональные данные)

в связи с тем, что персональные данные являются неполными/устаревшими/неточными/ незаконно полученными/не являются необходимыми для заявленной цели обработки.

(указать причину уточнения персональных данных)

(подпись)

(ФИО)

«___»_________________20__г.

Приложение №5

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

Главе администрации муниципального района Бирский район Республики Башкортостан

от_____________________________

(ф.и.о. заявителя)

______________________________

_____________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

______________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

Настоящим заявлением отзываю свое согласие на обработку персональных данных.

(подпись)

(ФИО)

«___»_________________20__г.

Приложение №6

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

Уведомление

Уважаемый(ая)_________________________________________________________________

(Ф.И.О.)

в связи с ________________________________________________сообщаем Вам, что Ваши персональные данные уточнены/блокированы/уничтожены.

(выбрать нужное)

(должность)

(подпись)

(ФИО)

«___»______________20__г.

Приложение №7

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

Уведомление

Уважаемый(ая)____________________________________________

(Ф.И.О.)

в связи с ________________________________________сообщаем, что ваши персональные данные

будут уничтожены в сроки, определенные законодательством РФ/ Оператор продолжит обработку по следующим законным основаниям

(выбрать нужное) ________________________________________________________________________.

(должность)

(подпись)

(ФИО)

«___»______________20__г.

Приложение № 17

к постановлению администрации муниципального района Бирский район Республики Башкортостан

от «05» июня 2020 г. № 531

ЖУРНАЛ

учета машинных носителей персональных данных

Начат: «____»___________ 20___ г.

Окончен: «____»___________ 20___ г.

на _____ листах

№

п/п

Регистрационный номер

Дата учета

Тип/емкость носителя

Серийный номер

Отметка о постановке на учет (ФИО, подпись, дата)

Отметка о снятии с учета (ФИО, подпись, дата)

Местоположение

носителя

Сведения об уничтожении носителя /стирании информации

Управляющий делами

О.В. Князева

Приложение № 18

к постановлению администрации муниципального района Бирский район Республики Башкортостан

от «05» июня 2020 г. № 531

ЖУРНАЛ

учета применяемых средств защиты информации, эксплуатационной и технической документации к ним

Начат: «____»___________ 20___ г.

Окончен: «____»___________ 20___ г.

на _____ листах

№ п/п

Наименование

СЗИ

Регистрационный

номер СЗИ

От кого получены (источник)

Дата и

номер сопроводительного

письма

и/или

лицензии

Дата

подключения

(установки)

и подписи

лиц,

произведших

подключение

(установку)

Аппаратные средства, на которые установлены или к которым подключены СЗИ

Дата изъятия (удаления) СЗИ

Ф.И.О.

пользователя

СЗИ,

производившего

изъятие

(уничтожение)

Номер акта

или

расписка об

удалении

Примечание

Управляющий делами

О.В. Князева

Приложение № 19

к постановлению администрации муниципального района Бирский район Республики Башкортостан

от «05» июня 2020 г. № 531

ПОЛОЖЕНИЕ

по организации парольной защиты

Общие положения

Настоящее Положение регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей, а также контроль за действиями пользователей информационных систем персональных данных (далее – Пользователь) при работе с паролями в Администрации муниципального района Бирский район Республики Башкортостан (далее – Оператор).

Положение распространяется на всех Пользователей и информационные системы персональных данных (далее – ИСПДн) Оператора.

Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в системном и прикладном программном обеспечении, средствах защиты информации, серверном и сетевом оборудовании входящих в ИСПДн (далее – компоненты ИСПДн) возлагается на Ответственного за обеспечение безопасности персональных данных.

Повседневный контроль за действиями при работе с паролями, соблюдением правил их хранения и использования возлагается на Ответственного за обеспечение безопасности персональных данных.

Определения

Системное программное обеспечение – комплекс программ, которые обеспечивают управление компонентами компьютерной системы, такими как процессор, оперативная память, устройства ввода-вывода, сетевое оборудование, выступая как «межслойный интерфейс», с одной стороны которого аппаратура, а с другой — приложения Пользователя (BIOS, операционные системы, утилиты, системы программирования, системы управления базами данных, связующее программное обеспечение).

Прикладное программное обеспечение - программа, предназначенная для выполнения определённых задач и рассчитанная на непосредственное взаимодействие с Пользователем.

Порядок создания паролей

Пароли доступа создаются на всех компонентах ИСПДн, имеющих механизмы идентификации и аутентификации.

Создание паролей доступа осуществляется Ответственным за обеспечение безопасности ИСПДн.

При заведении нового Пользователя для него должен быть назначен логин и однократный пароль.

Пользователь обязан заменить однократный пароль – личным при первом же подключении к защищаемому ресурсу ИСПДн.

При отсутствии возможности создания однократного пароля, с последующей сменой Пользователем, создается постоянный пароль.

Одноразовый пароль может передаваться Пользователю лично на бумажном носителе, в электронном виде на адрес индивидуальной рабочей электронной почты или в устной форме.

Постоянный пароль передается Пользователю в запечатанном конверте.

Пользователь обязан хранить в тайне пароль и любые другие средства доступа к информационным ресурсам.

Пароли от учетных записей, обладающих правами Администратора, могут выдаваться только лицам, осуществляющим администрирование ИСПДн. Выдачу паролей учетных записей, обладающих правами Администратора, осуществляет Ответственный за обеспечение безопасности персональных данных.

4. Период действия паролей

Периодичность смены паролей для программного обеспечения составляет 12 месяцев.

При сообщении программного обеспечения об окончании срока действия пароля Пользователь обязан заменить его на новый, ранее не применявшийся.

Смена паролей в программном обеспечении, не имеющем функционал установления срока действия пароля, осуществляется лицом, осуществляющим администрирование ИСПДн в соответствие с установленной периодичностью.

Внеплановая смена пароля или блокирование учетных записей Пользователя в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться в течение двух рабочих часов после получения копии приказа о прекращении полномочий.

Внеплановая полная смена паролей учетных записей, обладающих правами Администратора должна производиться в случае прекращения полномочий (увольнение, переход на другую работу, окончание действия договора на обслуживание и другие обстоятельства) лица, осуществляющего администрирование ИСПДн.

5. Конфиденциальность паролей

Информация о персональных паролях Пользователей является конфиденциальной информацией и разглашению не подлежит.

Пользователи несут ответственность за сохранность выбранного самостоятельно постоянного пароля, и за действия, совершаемые под выданной Пользователю учетной записью.

Компоненты ИСПДн должны быть настроены таким образом, чтобы исключить возможность ознакомления Пользователей и Администраторов с действующими и истекшими паролями.

6. Принципы выбора и формирования личных паролей

Одноразовые и постоянные пароли для доступа к компонентам ИСПДн должны соответствовать следующим требованиям:

- длина пароля должна быть не менее 6 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.).

При наличии такой возможности, системы аутентификации прикладного программного обеспечения должны обеспечивать выше обозначенные требования к сложности пароля.

Рекомендуется в виде пароля выбирать последовательности типа “X0Posh#1”, “!1рыБ@lkA” или “Def*en$6”

При смене пароля запрещается использовать ранее использованные пароли, а новое значение должно отличаться от предыдущего не менее чем в 3 позициях.

Выбор паролей на учетных записях Администратора осуществляется по тем же требованиям, за исключением длина пароля – она должна быть не менее 8 символов.

7. Правила использования и сохранения в тайне личного пароля

Пароли необходимо запомнить. Допускается хранение паролей в индивидуальных сейфах и опечатываемых шкафах.

В случае подозрения на компрометацию пароля, сотрудники обязаны произвести экстренную замену личного пароля, при наличии такого права, и незамедлительно поставить об этом в известность Ответственного за обеспечение безопасности ПДн для исключения возможности утечки информации.

Ответственный за обеспечение безопасности ПДн обязан произвести расследование причин компрометации пароля.

Типовые случаи компрометации пароля:

файлы, хранящиеся в ИСПДн, были несанкционированно изменены;

изменено расположение иконок программ и файлов на рабочем столе АРМ и личных папках;

при правильном вводе пароля выдается ошибка доступа;

другие сотрудники знают ваш пароль.

8. Ответственность

8.1 За невыполнение требований настоящего Положения применяется дисциплинарная ответственность в порядке, определенным трудовым кодексом Российской Федерации и локальными актами Оператора.

Управляющий делами

О.В. Князева

Приложение № 20

к постановлению администрации муниципального района Бирский район Республики Башкортостан

от «05» июня 2020 г. № 531

ПОЛОЖЕНИЕ

по организации антивирусной защиты

1. Общие положения

1.1. Настоящее Положение определяет требования к организации защиты Информационных систем персональных данных (далее – ИСПДн) Администрация муниципального района Бирский район Республики Башкортостан (далее - Оператор) от воздействия компьютерных вирусов и другого вредоносного программного обеспечения (далее - вредоносного ПО), устанавливает ответственность руководителей и сотрудников, эксплуатирующих и сопровождающих ИСПДн за их выполнение.

1.2. Целью мероприятий по антивирусной защите является предотвращение потерь информации в ИСПДн.

1.3. Задачами антивирусной защиты являются:

проведение профилактических работ с применением антивирусных диагностических средств;

непрерывное обеспечение защиты информации от действия вредоносных программ на всех этапах эксплуатации ИСПДн.

1.4. Компоненты ИСПДн, подлежащие защите от вирусов:

интернет шлюзы, установленные в точках подключения к сетям общего пользования, а также ведомственным сетям;

сервера;

автоматизированные рабочие места (далее- АРМ).

1.5. Основные источники вирусов:

съемный носитель (дискета, флеш-карта, CD-ROM, DVD-ROM, мобильное дисковое устройство) на котором находятся зараженные вирусом файлы;

локальная сеть, в том числе система электронной почты и Интернет;

жесткий диск, на который попал вирус в результате работы с зараженными программами.

2. Организация мероприятий по антивирусной защите

2.1. Планированием и организацией проведения мероприятий по антивирусной защите занимается Ответственный за обеспечение безопасности персональных данных.

2.2. К использованию допускаются только лицензионные и сертифицированные ФСТЭК России средства антивирусной защиты.

2.3. Обновление антивирусных баз должно производиться в автоматическом режиме. В случае сбоя автоматического обновления обновление баз должно производится вручную.

2.4. Мероприятия по антивирусной защите включают в себя:

профилактика вирусов;

анализ ситуаций;

применение средств антивирусной защиты;

проведение расследований инцидентов связанных с вирусами.

3. Профилактика вирусов

3.1. Регулярно проводимые профилактические работы по выявлению вирусов могут полностью исключить появление и распространение вирусов. К основным профилактическим работам и мероприятиям относятся:

ежедневная автоматическая быстрая антивирусная проверка;

ежеквартальная выборочная проверка ИСПДн серверов БД на наличие вирусов бесплатными антивирусными утилитами, даже при отсутствии внешних проявлений вирусов;

изучение информации по сообщениям в журналах и Интернете о новых вирусах и их способах распространения и заражения и информирование сотрудников Оператора о новых способах распространения вредоносного ПО и других актуальных угрозах;

ограничение доступа к компонентам ИСПДн третьих лиц.

3.2. При обнаружении вирусов на АРМ и серверах, работающих в локальной сети, внеплановой проверке подлежат все АРМ и сервера, входящие в один сегмент сети с зараженным АРМ или сервером, или работающие с общими данными и программным обеспечением.

4. Анализ ситуаций

4.1. При возникновении подозрения на наличие вредоносного ПО (ошибки в работе программ, появление графических и звуковых эффектов, искажения данных, пропадание файлов, частое появление сообщений о системных ошибках, замедление работы компьютера и т.п.) сотрудник самостоятельно может провести внеочередной антивирусный контроль, либо обратиться к Ответственному за обеспечение безопасности ИСПДн.

4.2. При возникновении подозрения на наличие вредоносного ПО на серверах и интернет шлюзах Ответственный за обеспечение безопасности ИСПДн организует осуществление внеочередного антивирусного контроля.

4.2. При обнаружении вредоносного ПО Ответственный за обеспечение безопасности ИСПДн выполняет анализ ситуации. В результате анализа делается вывод о способе уничтожении вирусов.

5. Применение средств антивирусной защиты

5.1 Лечение или уничтожение вредоносного ПО осуществляется в автоматическом режиме средствами антивирусной защиты, а в ситуациях, когда это невозможно вручную.

5.2 В случае уничтожения вредоносным ПО файлов баз данных и содержащихся на файловом сервере Ответственному за обеспечение безопасности ИСПДн организует их восстановление, используя последнюю резервную копию.

5.3 После уничтожения вредоносного ПО и восстановления зараженных файлов необходимо еще раз выполнить проверку наличия вирусов, используя антивирусные программы. Перед повторной проверкой необходимо перезагрузить компьютер.

5.4 Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях.

5.5 Файлы, помещаемые на архивное хранение, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в квартал в ручном или автоматическом режиме.

5.6 Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на предмет отсутствия вредоносных файлов.

6. Ответственность

6.1 За невыполнение требований настоящего Положения применяется дисциплинарная ответственность в порядке, определенным законодательством Российской Федерации и локальными актами Оператора.

Управляющий делами

О.В. Князева

Приложение № 21

к постановлению администрации муниципального района Бирский район Республики Башкортостан

от «05» июня 2020 г. № 531

ТИПОВАЯ ФОРМА РАЗЪЯСНЕНИЯ

субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в связи с поступлением на муниципальную службу

Разъяснения

юридических последствий отказа предоставить свои персональные данные

Мне,

разъяснены следующие юридические последствия отказа предоставить свои персональные данные администрации муниципального района Бирский район Республики Башкортостан:

- в соответствии со статьями 16, 30 Федерального закона от 03 марта 2007 г. № 25-ФЗ «О муниципальной службе в Российской Федерации», Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 г. № 609, определен перечень персональных данных, которые субъект персональных данных обязан представить в администрацию муниципального района Бирский район Республики Башкортостан в связи с поступлением или прохождением муниципальной службы;

- без представления обязательных для заключения трудового договора документов и сведений, подложных документов или заведомо ложных сведений гражданин не может быть принят на муниципальную службу;

- на основании пункта 5 статьи 15 Федерального закона от 02 марта 2007 г. № 25-ФЗ «О муниципальной службе в Российской Федерации» непредставление муниципальным служащим сведений о своих доходах, об имуществе и обязательствах имущественного характера, а так же о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей в случае, если представление таких сведений обязательно, либо представление заведомо недостоверных или неполных сведений является правонарушением, влекущим увольнение муниципального служащего с муниципальной службы.

«

»

20

г

(дата)

(подпись) (расшифровка подписи)

Управляющий делами

О.В. Князева

Приложение № 22

к постановлению администрации муниципального района Бирский район Республики Башкортостан

от «05» июня 2020 г. № 531

ТИПОВАЯ ФОРМА РАЗЪЯСНЕНИЯ

субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в связи с поступлением на работу

или выполнением работы

Разъяснения

юридических последствий отказа предоставить свои персональные данные

Мне,

разъяснены следующие юридические последствия отказа предоставить свои персональные данные администрации муниципального района Бирский район Республики Башкортостан:

- при поступлении на работу в администрацию муниципального района Бирский район Республики Башкортостан субъект персональных данных обязан представить перечень информации о себе, определенный статьями 57, 65, 69 Трудового кодекса Российской Федерации;

- без представления обязательных для заключения трудового договора сведений, трудовой договор не может быть заключен;

- на основании пункта 11 части 1 статьи 77 Трудового кодекса Российской Федерации трудовой договор прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность продолжения работы.

«

»

20

г

(дата)

(подпись) (расшифровка подписи)

Управляющий делами

О.В. Князева

Приложение № 23

к постановлению администрации муниципального района Бирский район Республики Башкортостан

от «05» июня 2020 г. № 531

ПРАВИЛА

работы с обезличенными данными

Общие положения

Настоящие Правила работы с обезличенными данными разработаны в соответствии с Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» и постановлением Правительства РФ от 21 марта 2012 года №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных».

Настоящие Правила не исключают обязательного выполнения других руководящих документов по вопросам обезличивания персональных данных.

Настоящие Правила определяют порядок осуществления обезличивания персональных данных и порядок работы с обезличенными данными.

Термины и определения

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Условия обезличивания

Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, по достижению целей обработки или в случае отсутствия необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, а при невозможности уничтожения персональных данных, обрабатываемых в информационных системах персональных данных.

Методы обезличивания при условии дальнейшей обработки персональных данных:

- метод введения идентификаторов;

- метод изменения состава и семантики;

- метод декомпозиции;

- метод перемешивания;

Методом обезличивания в случае достижения целей обработки или в случае отсутствия необходимости в достижении этих целей является метод введения идентификаторов.

Для обезличивания персональных данных годятся любые способы явно незапрещенные законодательно.

4. Порядок проведения работ по обезличиванию персональных данных по достижению целей обработки и хранения персональных данных

Обезличивание персональных данных осуществляется ежегодно, по истечению сроков хранения персональных данных установленных локальными актами Оператора и законодательством Российской Федерации.

Сотрудником, ответственным за проведение обезличивания организуется выборка ПДн в информационной системе с истекшими сроками хранения. Списки передаются на рассмотрение Ответственному за организацию обработки персональных данных.

Решение вопросов об обезличивании персональных данных, обрабатываемых в информационных системах персональных данных, об определении лица, ответственного за обезличивание, срока обезличивания осуществляется Ответственным за организацию обработки персональных данных.

В базе данных осуществляется очистка полей «Фамилия, имя, отчество» с заменой их на запись – «удалено».

По результату проведенного обезличивания формируется Акт об уничтожении персональных данных включающий в себя поля: фамилия имя отчество; идентификатор карточки контрагента в базе данных.

При возникновении необходимости определения принадлежности карточки контрагента конкретному лицу осуществляется идентификация карточки по предоставляемому субъектом паспорту и акту уничтожения персональных данных.

5. Порядок работы с обезличенными персональными данными

Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности, если иное не установлено предусмотренных законодательством Российской Федерации.

Обезличенные персональные данные могут обрабатываться без использования средств автоматизации и в информационных системах персональных данных.

При обработке обезличенных персональных данных необходимо так же соблюдать требования локальных актов Оператора в области организации обработки и защиты персональных данных.

6. Контроль за обезличиванием персональных данных

6.1 Общий контроль за организацией работ по обезличиванию персональных данных осуществляет Ответственный за организацию обработки персональных данных.

Управляющий делами

О.В. Князева

Приложение

к Правилам работы с обезличенными данными

ПЕРЕЧЕНЬ

должностей ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных

Главный специалист сектора по мобилизационной работе.

Приложение № 24

к постановлению администрации муниципального района Бирский район Республики Башкортостан

от «05» июня 2020 г. № 531

ИНСТРУКЦИЯ

по обеспечению безопасности персональных данных

Основные положения

1.1 Настоящий документ определяет основные обязанности, права и ответственность сотрудников Администрации муниципального района Бирский район Республики Башкортостан при обработке персональных данных (далее – ПДн).

Общие требования

Каждый сотрудник, осуществляющий обработку ПДн, несет персональную ответственность за свои действия и обязан:

строго соблюдать требования данной Инструкции;

хранить в тайне личные пароли доступа;

обеспечивать сохранность внешних машинных носителей персональных данных;

соблюдать требования нормативных и локальных правовых актов, регламентирующих правила обеспечения безопасности и обработки ПДн;

помещать бумажные носители ПДн по завершении работы с ними на место хранения либо возвращать лицу, выдавшему их для работы;

немедленно информировать Ответственного за организацию обработки персональных данных:

о факте утраты удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), печатей для опечатывания;

о факте склонения к разглашению ПДн;

о факте утери бумажных носителей персональных данных;

о случаях или попытках несанкционированного проникновения в помещения, где осуществляется обработка ПДн;

утери машинных носителей ПДн;

подозрении на компрометацию личного пароля;

при подозрении на совершение попыток несанкционированного доступа к ресурсам ИСПДн;

при обнаружении несанкционированных изменений в конфигурации программного и аппаратного обеспечения ИСПДн;

сбоев в работе системного или прикладного программного обеспечения, средств защиты информации;

некорректного функционирования установленных средств защиты информации;

обнаружения недокументированных свойств или ошибок системного и прикладного программного обеспечения;

осуществлять хранение бумажных носителей ПДн только в местах, утвержденных Перечнем мест хранения материальных носителей персональных данных;

хранить бумажные носители персональных данных таким образом, чтобы исключить возможность просмотра персональных данных третьими лицами и лицами, не допущенными к обработке персональных данных данной категории в соответствие с перечнем должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (далее - неуполномоченные лица);

вносить уточнения в ПДн, содержащихся на бумажных носителях ПДн, посредством вычеркивания или вымарывания ПДн с применением пасты-штрих. Если внесение уточнений не позволяют особенности носителя ПДн, то этот носитель уничтожается и заменяется на новый;

Для хранения рабочих файлов в электронном виде использовать файловый сервер и(или) общую папку отдела.

Сотруднику запрещается:

использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;

хранить и обрабатывать личную информацию на АРМ и серверах ИСПДн.

использовать информационные ресурсы сети Интернет, содержание которых нарушает действующее законодательство Российской Федерации;

использовать информационные ресурсы сети Интернет для целей, не связанных со служебной деятельностью;

препятствовать работе средств защиты информации и средств резервного копирования информации;

самовольно вносить какие-либо изменения в конфигурацию программного и аппаратного обеспечения ИСПДн или устанавливать дополнительно любые программные и аппаратные средства;

использовать в работе неучтенные машинные носители ПДн;

умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации;

бесконтрольно оставлять носители ПДн или передавать их на хранение другим лицам;

выносить носители персональных данных (в том числе бумажные документы) за пределы помещений, если это не связано с выполнением должностных обязанностей сотрудника

оставлять одних в помещении лиц, не имеющих права самостоятельного доступа в помещения (в том числе при проведении работ по уборке и техническом обслуживании оборудования);

разглашать ПДн в беседах с посторонними лицами, а также с сотрудниками, если этого не требуется для исполнения им своих служебных обязанностей;

передавать ПДн по незащищенным каналам связи (в том числе, с использованием общедоступных почтовых серверов типа mail.ru, yandex.ru и прочих);

размещать и хранить ПДн на ресурсах, не предусмотренных технологическим процессом обработки ПДн в ИСПДн;

использовать поступающие из сторонних организаций внешние машинные носители информации без предварительной проверки их на наличие вирусов. При обнаружении на носителе зараженного и не поддающегося лечению файла дальнейшее использование носителя не допускается;

обрабатывать ПДн в случае сбоев в работе средств защиты информации;

самовольно вносить изменения в поля типовых форм документов.

Обязанности сотрудника при осуществлении антивирусной защиты

При возникновении подозрения о наличии вредоносного ПО (появления на экране монитора неожиданных сообщений или изображений, баннеров, самопроизвольного запуска программ, появления сообщения-предупреждения от брандмауэра или антивируса, что некое приложение (программа) пытается соединиться с интернетом, хотя эту программу не запускали) Сотрудник самостоятельно может провести внеочередной антивирусный контроль своего АРМ, либо обратиться Ответственному за обеспечение безопасности ПДн.

В случае отсутствия возможности запустить антивирусную проверку (заблокирован доступ к ОС, антивирус не запускается/ отсутствует), при наличии деструктивного воздействия вируса на файлы, лечение которых антивирусной программой невозможно, а также в случае сбоя обновления антивирусных баз, либо в случае сбоя при проведении антивирусного сканирования сотрудник должен сообщить об этом Ответственному за обеспечение безопасности ПДн.

Сотрудник обязан:

в случае, если антивирусная программа не работает в фоновом режиме, самостоятельно проводить проверку антивирусной программой всех файлов, полученных из Интернет, посредством электронной почты, а также копируемых на АРМ или ресурс ИС с любых внешних машинных носителей информации;

контролировать результат и успешность выполнения антивирусной проверки;

сообщить о факте заражения вирусами Ответственному за обеспечение безопасности ПДн.

Сотруднику запрещается:

предпринимать попытки отключения установленных на АРМ антивирусных программ и их удаления;

производить настройки (конфигурирование) антивирусных программ;

препятствовать проведению полной антивирусной проверки, запускаемой по расписанию, по возможности, не вести в данное время никакие работы на АРМ;

самостоятельно устанавливать на АРМ любые антивирусные средства;

использовать ресурсы Интернет (осуществлять обмен сообщениями электронной почты) в случае сбоев в работе средств антивирусной защиты;

самостоятельно производить устранение последствий от воздействия вредоносных программ;

каким-либо образом влиять на работу антивирусных программ.

Обязанности сотрудника при осуществлении парольной защиты

При получении одноразового пароля, сотрудник должен авторизоваться в операционной системе и произвести смену одноразового пароля на постоянный личный пароль. Постоянный личный пароль должен соответствовать следующим требованиям:

длина пароля должна быть не менее 6 символов;

в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.).

При смене пароля запрещается использовать ранее использованные пароли, а новое значение должно отличаться от предыдущего не менее чем в 3 позициях.

При получении постоянного пароля сотрудник обязан хранить его в индивидуальном сейфе или опечатанном шкафу, или запомнить пароль и уничтожить путем измельчения конверта с паролем.

В случае компрометации личного пароля (когда пароль стал или может быть известен еще кому-либо кроме владельца данного пароля, невозможности входа при правильном вводе личного пароля, изменение расположения иконок программ и файлов на рабочем столе, несанкционированного изменения файлов, хранящихся в ИСПДн) владелец скомпрометированного пароля должен немедленно сообщить о факте утери или компрометации пароля Ответственному за обеспечение безопасности ПДн. В случае компрометации обязательно производится смена пароля.

При оставлении рабочего места сотрудник должен завершить открытую сессию в прикладном программном обеспечении и операционной системе, либо использовать функцию «блокировка экрана» операционной системы.

Сотруднику запрещается:

передавать кому-либо личный пароль;

хранить в общедоступном месте пароли доступа;

записывать личный пароль доступа на бумажный носитель в открытом виде;

осуществлять ввод пароля в присутствии лиц, которые потенциально могут увидеть процесс набора пароля;

использовать чужие идентификаторы и пароли доступа;

оставлять без присмотра включенное АРМ, не осуществив блокировку экрана.

Сотрудник несет ответственность за сохранность своего личного пароля и за действия, совершенные в ИСПДн под выданной ему учетной записью.

Защита ПДн от утечки по видовым каналам

5.1. При возникновении угрозы просмотра ПДн неуполномоченными лицами, необходимо прекратить обработку ПДн, а бумажные носители разместить таким образом, чтобы был исключен просмотр ПДн (перевернуть текстом вниз, убрать в ящик стола или хранилище).

5.2. Осуществлять работу с документами, содержащими персональные данные, только при исключении возможности их просмотра через окна (закрытие штор, жалюзи, монитор отвернут от окна).

Ответственность за неисполнение (ненадлежащее исполнение)

настоящей инструкции

6.1. Все сотрудники несут ответственность за ненадлежащее исполнение или неисполнение своих обязанностей, предусмотренных настоящей Инструкцией в соответствии с внутренними локальными актами и действующим законодательством Российской Федерации.

Управляющий делами

О.В. Князева

Приложение № 25

к постановлению администрации муниципального района Бирский район Республики Башкортостан

от «05» июня 2020 г. № 531

ИНСТРУКЦИЯ

по действиям персонала во внештатных ситуациях при обработке конфиденциальной информации и персональных данных

Общие положения

Данная инструкция призвана регламентировать порядок действий пользователя информационной системы персональных данных «Администрация МР Бирский район» (далее - ИСПДн) и ИСПДн «КДН» Администрации муниципального района Бирский район Республики Башкортостан (далее в Учреждении) при возникновении внештатных ситуаций.

Инструкция утверждается руководителем учреждения. Настоящая Инструкция определяет возможные аварийные ситуации, связанные с функционированием ИСПДн Учреждения, меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн после аварийных ситуаций.

Целью настоящего документа является превентивная защита элементов ИСПДн от прерывания в случае реализации рассматриваемых угроз.

Задачей данной Инструкции является определение мер защиты от прерывания и определение действий восстановления в случае прерывания.

Действие настоящей Инструкции распространяется на всех сотрудников Учреждения, имеющих доступ к ресурсам ИСПДн, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:

системы жизнеобеспечения;

системы обеспечения отказоустойчивости;

системы резервного копирования и хранения данных;

системы контроля физического доступа.

Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного одного раза в два года.

Порядок действий при возникновении аварийной ситуации

В настоящем документе под аварийной ситуацией понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн. Аварийная ситуация становится возможной в результате реализации одной из угроз, приведенных в «Модели угроз».

Все действия в процессе реагирования на аварийные ситуации должны документироваться ответственным за реагирование сотрудником в «Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств информационной системы персональных данных» (Приложение 25 к Постановлению «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами»).

В кратчайшие сроки, не превышающие одного рабочего дня, ответственный за обеспечение информационной безопасности, администратор баз данных или другой назначенный ответственным за реагирование сотрудник предпринимает меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с вышестоящим руководством. При необходимости привлекаются квалифицированные сотрудники сторонних организаций с целью восстановления работоспособности в кратчайшие сроки.

Уровни реагирования на инцидент

При реагировании на инцидент, важно, чтобы пользователь правильно классифицировал критичность инцидента. Критичность оценивается на основе следующей классификации:

Уровень 1 – Незначительный инцидент. Незначительный инцидент определяется как локальное событие с ограниченным разрушением, которое не влияет на общую доступность элементов ИСПДн и средств защиты. Эти инциденты решаются ответственными за реагирование сотрудниками.

Уровень 2 – Авария. Любой инцидент, который приводит или может привести к прерыванию работоспособности отдельных элементов ИСПДн и средств защиты. Эти инциденты выходят за рамки управления ответственными за реагирование сотрудниками.

К авариям относятся следующие инциденты:

Отказ элементов ИСПДн и средств защиты из-за:

повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей;

сбоя системы кондиционирования;

других физических повреждений элементов ИСПДн, критичных для функционирования всей ИСПДн.

Уровень 3 – Катастрофа. Любой инцидент, приводящий к полному прерыванию работоспособности всех элементов ИСПДн и средств защиты, а также к угрозе жизни пользователей ИСПДн, классифицируется как катастрофа.

К катастрофам относятся следующие инциденты:

пожар в здании;

взрыв;

просадка грунта с частичным обрушением здания;

массовые беспорядки в непосредственной близости от Объекта.

Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций

Технические меры

К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения аварийных ситуаций, такие как:

системы жизнеобеспечения;

системы обеспечения отказоустойчивости;

системы резервного копирования и хранения данных;

системы контроля физического доступа.

Системы жизнеобеспечения ИСПДн включают:

пожарные сигнализации и системы пожаротушения;

системы вентиляции и кондиционирования;

системы резервного питания.

Все критичные помещения Учреждения (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожаротушения.

Порядок предотвращения потерь информации и организации системы жизнеобеспечения ИСПДн описан в «Порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации».

Организационные меры

Ответственные за реагирование сотрудники ознакомляют всех сотрудников Учреждения, находящихся в их зоне ответственности, с данной инструкцией в срок, не превышающий 3х рабочих дней с момента выхода нового сотрудника на работу.

Должно быть проведено обучение сотрудников Учреждения, имеющих доступ к ресурсам ИСПДн, порядку действий при возникновении аварийных ситуаций.

Сотрудники, ответственные за обеспечение безопасности ИСПДн должны быть дополнительно обучены методам частичного и полного восстановления работоспособности элементов ИСПДн.

Ответственность за организацию обучения должностных лиц несет должностное лицо, ответственное за обеспечение безопасности ИСПДн.

Управляющий делами

О.В. Князева

ЖУРНАЛ

учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств информационной системы персональных данных

Начат: «____»___________ 20___ г.

Окончен: «____»___________ 20___ г.

на _____ листах

Приложение

к Инструкции по действиям персонала во внештатных

ситуациях при обработке конфиденциальной информации и персональных данных

N п/п

Дата

Краткое описание выполненной работы (нештатной ситуации)

ФИО и подпись пользователя

ФИО и подпись ответственного за обеспечение безопасности персональных данных

Примечание (ссылка на заявку)

1

2

3

4

5

7

Приложение № 26

к постановлению администрации муниципального района Бирский район Республики Башкортостан

от «05» июня 2020 г. № 531

ИНСТРУКЦИЯ

должностного лица, ответственного за защиту информации

Инструкция является локальным правовым актом, регламентирующим деятельность должностного лица, ответственного за защиту информации администрации муниципального района Бирский район Республики Башкортостан (далее – Администрация) при выполнении функции по защите ПДн.

Целью настоящей Инструкции является регламентирование работы должностного лица, ответственного за защиту информации в практической реализации мер защиты и обеспечения безопасности информации при использовании информационных систем персональных данных Администрации.

Должностное лицо, ответственное за защиту информации отвечает за обеспечение устойчивой работоспособности и безопасности ИСПДн.

Должностное лицо, ответственное за защиту информации несет ответственность за организацию работ по обеспечению безопасности информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники в ИСПДн, а также правильность использования и штатного функционирования средств защиты информации, подготовку сотрудников (пользователей ИСПДн) по вопросам безопасной обработки информации в ИСПДн

Должностное лицо, ответственное за защиту информации должен знать и применять в своей повседневной деятельности:

законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты ПДн;

структуру ИСПДн, особенности обработки ПДн в ней, перспективы её развития и модернизации;

функции системы защиты персональных данных (далее СЗПДн);

документацию на используемые в СЗПДн средства защиты информации;

методы и средства контроля эффективности защиты ПДн, выявления каналов утечки информации;

методы планирования и организации проведения работ по защите ПДн;

технические средства контроля и защиты информации, перспективы и направления их совершенствования.

Должностное лицо, ответственное за защиту информации при настройке и сопровождении системы защиты от НСД в ИСПДн должен выполнять следующие функции:

конфигурировать полномочия доступа для каждого пользователя к защищаемым информационным ресурсам на основе утвержденного руководством Администрации Перечня должностных лиц, допущенных к работе с ПДн и матрицы доступа ИСПДн;

вводить учетные записи пользователей ИСПДн в информационную базу средств защиты от НСД;

присваивать пользователям идентификаторы и пароли доступа к информационным ресурсам и вводить в базу данных системы защиты описание полномочий доступа пользователей к защищаемым ресурсам;

своевременно удалять учетные записи из базы данных СЗИ НСД при увольнении, перемещении сотрудника или прекращении прав доступа.

Должностное лицо, ответственное за защиту информации при настройке и сопровождении системы регистрации и учета в ИСПДн должен выполнять следующие функции:

проводить регулярный анализ системного журнала и журналов регистрации событий СЗИ для выявления попыток несанкционированного доступа к защищаемым ресурсам;

своевременно информировать заведующего сектором по кадровой работе Администрации внедрения и сопровождения информационных систем о несанкционированных действиях персонала;

проводить расследование попыток НСД.

Должностное лицо, ответственное за защиту информации при настройке и сопровождении контроля целостности программного обеспечения ИСПДн должен выполнять следующие функции:

проводить периодическое тестирование функций СЗПДн при изменении программной среды и полномочий исполнителей ИСПДн;

осуществлять восстановление СЗПДн при сбоях.

Должностное лицо, ответственное за защиту информации при настройке и сопровождении системы антивирусной защиты ИСПДн должен выполнять следующие функции:

управлять средствами антивирусной защиты;

проводить установку, настройку и администрирование средств антивирусной защиты;

осуществлять контроль использования пользователями машинных носителей информации, поступающих из подразделений и сторонних организаций.

Должностное лицо, ответственное за защиту информации при настройке и сопровождении средств криптографической защиты в ИСПДн должен выполнять следующие функции:

осуществлять управление ключевой информацией;

проводить настройку программно-аппаратных средств построения защищенных каналов связи.

Должностное лицо, ответственное за защиту информации при настройке и сопровождении подсистемы анализа защищенности ИСПДн должен выполнять следующие функции:

проводить периодический анализ ИСПДн с целью выявления уязвимостей, связанный с ошибками конфигурирования программного и аппаратного обеспечения ИСПДн, которые могут быть использованы нарушителем для реализации атак на систему.

Должностное лицо, ответственное за защиту информации при настройке и сопровождении системы обнаружения вторжений ИСПДн должен выполнять следующие функции:

настройку и эксплуатацию средств обнаружения вторжений с целью обнаружения несанкционированного доступа с использованием межсетевого взаимодействия.

Должностное лицо, ответственное за защиту информации выполняет обязанности по обеспечению безопасности ПДн в соответствии со следующими документами:

Правилами обработки, хранения и уничтожения персональных данных;

Должностной инструкцией;

Настоящей Инструкцией;

Документацией к ИСПДн;

Документацией к СЗИ.

Должностное лицо, ответственное за защиту информации обязан:

осуществлять текущий и периодический контроль работы средств и систем защиты ПДн;

составлять и поддерживать в актуальном состоянии перечень технических и программных средств ИСПДн;

обеспечивать формирование и поддержание в актуальном состоянии списка прав доступа и полномочий сотрудников Администрации;

обеспечивать допуск пользователей к работе в ИСПДн путем подтверждения полномочий пользователя и настройки соответствующих средств защиты;

вести учет наступления системных событий, связанных с инициализацией функций ИСПДн, изменением её конфигурации, а также изменением прав доступа сетевых сущностей (пользователей, информационных узлов, сетевых приложений и т.п.);

осуществлять автоматизированный контроль текущего функционального состояния ИСПДн, включающий просмотр журнала активных сеансов, контроль за работой конкретного рабочего места;

поддерживать непрерывное функционирование СЗПДн;

проводить ознакомление персонала и пользователей ИСПДн правилам работы со средствами защиты информации;

участвовать в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой ПДн;

обеспечивать текущий и периодический контроль работоспособности средств и систем защиты ПДн;

выполнять периодическую проверку защищенности ИСПДн с использованием средств анализа защищенности;

информировать непосредственное руководство о фактах нарушения установленного порядка работ и попытках НСД к информационным ресурсам ИСПДн.

Должностное лицо, ответственное за защиту информации имеет право:

контролировать работу пользователей в ИСПДн;

ходатайствовать заведующему сектором по кадровой работе Администрации о прекращении обработки информации, как в целом в ИСПДн, так и отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн.

Надолжностного лица, ответственного за защиту информации возлагается персональная ответственность за невыполнение и/или нарушение требований и положений, установленных настоящей Инструкцией.

С инструкцией ознакомлен(а)____________________________________________

Управляющий делами

О.В. Князева