Основная информация
| Дата опубликования: | 13 апреля 2020г. |
| Номер документа: | RU35032518202000063 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Вологодская область |
| Принявший орган: | Администрация Устюженского муниципального района |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
АДМИНИСТРАЦИЯ УСТЮЖЕНСКОГО
МУНИЦИПАЛЬНОГО РАЙОНА
ПОСТАНОВЛЕНИЕ
от 13.04.2020 № 274
г. Устюжна
Об организации работ по обеспе-
чению безопасности персональ-
ных данных в администрации
района
В соответствии с Федеральными законами от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (с последующими изменениями), от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями), постановлениями Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», на основании статьи 35 Устава Устюженского муниципального района
администрация района ПОСТАНОВЛЯЕТ:
1. Утвердить:
1.1. Инструкцию пользователя информационной системы персональных данных в администрации Устюженского муниципального района
(приложение 1);
1.2. Порядок уничтожения, блокирования персональных данных, обрабатываемых в администрации Устюженского муниципального района (приложение 2);
1.3. Инструкцию о порядке отнесения информационных ресурсов к защищаемым и организации доступа к ним в информационных системах персональных данных в администрации Устюженского муниципального района (приложение 3).
2. Признать утратившим силу постановление администрации Устюженского муниципального района от 24.06.2011 № 193 «Об организации работ по обеспечению безопасности персональных данных в администрации района»
Руководитель администрации Устюженского
муниципального района Е.А. Капралов
Приложение 1
к постановлению администрации
Устюженского муниципального района
от 13.04.2020 № 274
Инструкция пользователя информационной системы персональных данных в администрации Устюженского муниципального района (далее – Инструкция)
Общие положения
Настоящая Инструкция определяет обязанности, права и ответственность муниципальных служащих и работников администрации Устюженского муниципального района (далее - работники), осуществляющих обработку персональных данных в информационных системах персональных данных администрации Устюженского муниципального района (далее – администрация района).
Персональные данные являются сведениями конфиденциального характера (за исключением случаев, установленных федеральными законами).
Наиболее вероятными каналами утечки информации для информационных систем персональных данных (далее – ИСПДн) являются:
- несанкционированный доступ к информации, обрабатываемой в ИСПДн;
- хищение технических средств, с хранящейся в них информацией, или отдельных носителей информации;
- просмотр информации с экранов дисплеев мониторов и других средств ее отображения с помощью оптических устройств;
- воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации, адресности и своевременности обмена, в том числе электромагнитного, через специально внедренные электронные и программные средства («закладки»).
Обязанности работников, осуществляющих обработку персональных данных
2.1. Работники, получившие доступ к персональным данным, обязаны хранить в тайне персональные данные, ставшие им известными во время работы или иным путем и пресекать действия других лиц, которые могут привести к разглашению персональных данных; о таких фактах, а также о других известных им причинах или условиях возможной утечки персональных данных работник должен немедленно информировать своего непосредственного руководителя и заведующего сектором информационных технологий, программного обеспечения и защиты информации администрации района.
2.2. Персональные данные не подлежат разглашению (распространению); прекращение доступа к такой информации не освобождает работника от взятых им обязательств по неразглашению информации, содержащей персональные данные.
2.3. Работники при работе с персональными данными обязаны:
2.3.1. Строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;
2.3.2. Знать и выполнять требования настоящей Инструкции, а также действующих нормативных правовых актов в области защиты персональных данных;
2.3.3. Знать и строго выполнять правила работы со средствами защиты информации (средствами разграничения доступа), установленной в ИСПДн;
2.3.4. Хранить в тайне свой пароль доступа в автоматизированную систему, а также информацию о системе защиты, установленной в ИСПДн;
2.3.5. Использовать для работы, только учтенные съемные накопители информации (диски, флеш-накопители и т.д.);
2.3.6. Соблюдать требования инструкции по организации антивирусной защиты в ИСПДн;
2.3.7. Соблюдать требования инструкции по организации парольной защиты в ИСПДн;
2.3.8. Немедленно ставить в известность своего непосредственного руководителя и заведующего сектором информационных технологий, программного обеспечения и защиты информации администрации района:
в случае утери носителя с персональными данными;
при подозрении компрометации личных ключей и паролей;
при нарушении целостности наклеек с идентификационной информацией, нарушении или несоответствии номеров аппаратных средствах ИСПДн или иных фактов совершения в его отсутствие попыток несанкционированного доступа к защищенной ИСПДн;
при несанкционированных (произведенных с нарушением установленного порядка) изменениях в конфигурации программных или аппаратных средств ИСПДн;
в случае отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию рабочей станции, выхода из строя или неустойчивого функционирования узлов ИСПДн или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных в автоматизированной системе технических средств;
- о необходимости обновления антивирусных баз, обновлении программного обеспечения;
- о проведении регламентных работ, модернизации аппаратных средств или изменении конфигурации ИСПДн;
- о необходимости вскрытия системных блоков персональных компьютеров, входящих в состав ИСПДн;
- о резервном копировании информации.
2.4. Уборка помещений администрации района, в которых производится работа с персональными данными, должна производиться под контролем работников, допущенных к обработке таких персональных данных.
2.5. Вынос технических средств ИСПДн, в которой проводилась обработка персональных данных, за пределы территории здания, в котором установлена ИСПДн, с целью их ремонта, замены и т. п. без согласования с сектором информационных технологий, программного обеспечения и защиты информации администрации района запрещен. При принятии решения о выносе компьютеров, жесткие диски должны быть демонтированы и сданы на хранение в сектор информационных технологий, программного обеспечения и защиты информации администрации района. В случае действия гарантийных обязательств фирмы-поставщика вскрытие корпуса и демонтаж носителей должны быть предварительно согласованы с сектором информационных технологий, программного обеспечения и защиты информации администрации района.
Технические средства, используемые для работы с персональными данными, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра экрана видеомонитора работниками администрации района, не имеющими доступа к обрабатываемой информации.
2.6. Работникам при работе с персональными данными категорически запрещается:
- передавать кому бы то ни было (в том числе родственникам) устно или письменно информацию, содержащую персональные данные;
- использовать информацию, содержащую персональные данные, при подготовке открытых публикаций, докладов, научных работ и т.д.;
- выполнять работы с документами, содержащими персональные данные, на дому, выносить их из служебных помещений, снимать копии или производить выписки из таких документов;
- оставлять на рабочих столах, в столах и незакрытых шкафах и сейфах документы, содержащие персональные данные, а также оставлять незапертыми после окончания работы шкафы и сейфы, помещения и хранилища с документами, содержащими персональные данные;
- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства;
- отключать средства защиты информации;
- осуществлять обработку персональных данных в присутствии посторонних (не допущенных к обработке персональных данных) лиц;
- записывать и хранить персональные данные на неучтенных носителях информации (дисках и т.п.);
- оставлять включенной без присмотра свою рабочую станцию, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана путем одновременного нажатия кнопок Windows и L на клавиатуре);
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок ставить в известность сектор информационных технологий, программного обеспечения и защиты информации администрации района.
Ответственность
Работники, осуществляющие обработку персональных данных в ИСПДн, несут ответственность за соблюдение требований настоящей инструкции, а также других нормативных документов в области защиты информации. За разглашение информации, содержащей персональные данные, а также за нарушение порядка работы с документами или машинными носителями, содержащими такую информацию, работники могут быть привлечены к дисциплинарной или иной, предусмотренной законодательством ответственности.
Приложение 2
к постановлению администрации
Устюженского муниципального района
от 13.04.2020 № 274
Порядок уничтожения, блокирования персональных данных, обрабатываемых в администрации Устюженского муниципального района (далее – Порядок)
1. Общие положения
1.1. Настоящий Порядок определяет обязательные требования к уничтожению и блокированию персональных данных, обрабатываемых в администрации Устюженского муниципального района (далее – оператор).
1.2. Настоящий Порядок разработан в соответствии с Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных», от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлениями Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
2. Уничтожение, блокирование персональных данных
2.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
2.2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
2.3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя, либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
2.4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
2.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
2.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 2.3-2.5 Порядка, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
2.7. Уничтожение документов, содержащих персональные данные, должно производиться путем их сожжения или измельчения, или другим путем, исключающим возможность восстановления текста документов.
2.8. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем такого механического нарушения целостности носителя, которое не позволит произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
Порядок оформления документов об уничтожении носителей,
содержащих персональные данные
3.1. Уничтожение носителей, содержащих персональные данные, осуществляется комиссионно. Состав комиссии и положение о ней утверждаются распоряжением администрации Устюженского муниципального района.
3.2. В ходе процедуры уничтожения носителей, содержащих персональные данные, присутствие членов комиссии, осуществляющей уничтожение персональных данных, обязательно.
3.3. Комиссия непосредственно после уничтожения носителей персональных данных составляет и подписывает Акт уничтожения носителей персональных данных (далее - акт) в двух экземплярах по форме согласно приложению 1 к настоящему Порядку. В течение трёх дней после составления акт направляется на утверждение руководителю администрации района. После утверждения руководителем администрации района один экземпляр акта хранится у руководителя структурного подразделения или отраслевого (функционального) органа администрации района, осуществлявшего эксплуатацию уничтоженного носителя персональных данных, второй экземпляр акта хранится в секторе информационных технологий, программного обеспечения и защиты информации администрации района.
Приложение 1 к Порядку
Форма
УТВЕРЖДАЮ
Руководитель администрации Устюженского муниципального района
_________________/________________
М.П.
«____» __________________ 20__ г.
АКТ№____
уничтожения носителей персональных данных
« » 20 г
(место уничтожения) (дата уничтожения)
Комиссия, в составе:
Председатель:_____________________________________________________
(должность, фамилия, имя, отчество)
Члены комиссии:___________________________________________________
(должность, фамилия, имя, отчество)
_______________________________________________________ ______
(должность, фамилия, имя, отчество)
составили настоящий акт в том, что «____»________20________г.
произведено уничтожение носителей, содержащих персональные данные в следующем объеме:
№
п/п
Информация (наименование документа)
Вид носителя, учетный номер
Количество
Примечание
Перечисленные материальные носители информации уничтожены путем
____________________________________________________________________________
(механического уничтожения, сжигания, разрезания, демонтажа и т.п.)
Подписи членов комиссии: _____________ ______________________
(подпись) (Ф. И. О.)
_____________ ______________________
(подпись) (Ф. И. О.)
______________ _______________________
(подпись) (Ф. И. О.)
Приложение 3
к постановлению администрации
Устюженского муниципального района
от 13.04.2020 № 274
Инструкция о порядке отнесения информационных ресурсов к защищаемым и организации доступа к ним в информационных системах персональных данных в администрации Устюженского муниципального района
(далее – Инструкция)
Общие положения
Настоящая Инструкция определяет порядок отнесения информационных ресурсов к защищаемым и организацию доступа к ним в информационных системах персональных данных (далее – ИСПДн).
Информационные ресурсы представляют собой совокупность отдельных документов, массивов документов, обычно структурированных в базы данных и используемых определенной ИСПДн.
Персональные данные относятся к информации конфиденциального характера, поэтому все информационные ресурсы, содержащие персональные данные и обрабатываемые в ИСПДн, подлежат защите.
Целью определения защищаемых информационных ресурсов и организации доступа к ним в ИСПДн является принятие необходимых организационных и технических мер по обеспечению режима конфиденциальности обрабатываемых персональных данных, а также мер по защите информационных ресурсов ИСПДн от несанкционированного доступа и иных неправомерных действий.
Ответственность за соблюдение настоящей Инструкции возлагается на руководителей структурных подразделений и отраслевых (функциональных) органов администрации района, осуществляющих деятельность по эксплуатации ИСПДн.
Порядок отнесения информационных ресурсов к защищаемым и организация доступа к ним в ИСПДн
2.1. Отнесение информационных ресурсов к защищаемым в ИСПДн структурных подразделений и отраслевых (функциональных) органов администрации района и организация доступа к ним включает:
- проведение внутриорганизационного анализа функций работников подразделения на предмет обработки персональных данных в ИСПДн;
- последующее приведение в соответствие с выполняемой обработкой информации возложенных полномочий и должностных обязанностей;
- установление правил разграничения доступа к информационным ресурсам ИСПДн.
2.2. Анализ информации, обрабатываемой структурном подразделении (отраслевом (функциональном) органе) администрации района, осуществляющем деятельность по эксплуатации ИСПДн, проводится для определения соответствия объема собираемых персональных данных целям и способам их обработки, а также идентификации информационных ресурсов, содержащих персональные данные.
По результатам анализа составляются:
1) Перечень обрабатываемых персональных данных (Приложение 1).
2) Перечень информационных ресурсов, содержащих персональные данные, обрабатываемых в ИСПДн (Приложение 2).
3) Список работников, допущенных к обработке информационных ресурсов ИСПДн.
Перечни утверждаются руководителем структурного подразделения (отраслевого (функционального) органа) администрации района, осуществляющего деятельность по эксплуатации ИСПДн.
При изменении данных, содержащихся в Перечне информационных ресурсов, содержащих персональные данные, обрабатываемые в ИСПДн, а также состава работников, допущенных к этим информационным ресурсам, в указанный Перечень и (или) состав работников, допущенных к этим информационным ресурсам в двухнедельный срок вносятся соответствующие изменения руководителем структурного подразделения или отраслевого (функционального) органа администрации района, осуществляющего эксплуатации ИСПДн, путем утверждения нового Перечня информационных ресурсов, содержащих персональные данные, обрабатываемые в ИСПДн и (или) состава работников, допущенных к этим информационным ресурсам.
2.3. Организация доступа работников к защищаемым информационным ресурсам ИСПДн предусматривает следующий порядок:
- полномочия и перечень работников, допущенных к обработке информационных ресурсов ИСПДн, нормативно закрепляются распоряжением администрации района;
- на работников, уполномоченных в установленном порядке распоряжением администрации района осуществлять обработку персональных данных в ИСПДн, возлагаются обязательства по соблюдению установленного режима работы с конфиденциальной информацией, которые закрепляются в должностной инструкции;
- ознакомление работников, осуществляющих обработку персональных данных, с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативными правовыми актами Российской Федерации, а также муниципальными правовыми актами Устюженского муниципального района в области обработки, защиты персональных данных с целью руководства ими в своей деятельности.
2.4. Разграничение доступа к защищаемым информационным ресурсам ИСПДн с использованием штатных средств операционной системы, сервера, а также специальных программно-аппаратных (программных) средств оформляется распоряжением администрации района, с указанием роли (пользователь, администратор) каждого работника, допущенного к ИСПДн. Разграничение доступа и назначение прав пользователей производится администратором безопасности ИСПДн.
Учет разграничения доступа пользователей к защищаемым информационным ресурсам администрации района ведется сектором информационных технологий, программного обеспечения, и защиты информации администрации района.
Приложение 1 к Инструкции
Утверждаю
Руководитель структурного подразделения
(отраслевого (функционального) органа) администрации Устюженского муниципального района
________________________________
Перечень персональных данных, обрабатываемых в
_______________________________________________________________________
(наименование структурного подразделения (отраслевого (функционального) органа))
Категории субъектов, персональные данные которых обрабатываются
Цель обработки
персональных данных
Категории обрабатываемых персональных данных
Правовое основание обработки персональных данных
Способ обработки
1
2
3
4
5
Приложение 2 к Инструкции
Утверждаю
Руководитель структурного подразделения
(отраслевого (функционального) органа) администрации Устюженского муниципального района
________________________________
Перечень информационных ресурсов,
содержащих персональные данные, обрабатываемых в ИСПДн __________________________________________________________________________
(наименование структурного подразделения (отраслевого (функционального) органа))
Наиме-нование ИР
Место нахождения ИР (адрес, улица, дом, каб.)
Тип носителя информации
Работники, имеющие доступ к данным ИР
Ответственные за работу с ИР
Примечания
1
2
3
4
5
6
АДМИНИСТРАЦИЯ УСТЮЖЕНСКОГО
МУНИЦИПАЛЬНОГО РАЙОНА
ПОСТАНОВЛЕНИЕ
от 13.04.2020 № 274
г. Устюжна
Об организации работ по обеспе-
чению безопасности персональ-
ных данных в администрации
района
В соответствии с Федеральными законами от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (с последующими изменениями), от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями), постановлениями Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», на основании статьи 35 Устава Устюженского муниципального района
администрация района ПОСТАНОВЛЯЕТ:
1. Утвердить:
1.1. Инструкцию пользователя информационной системы персональных данных в администрации Устюженского муниципального района
(приложение 1);
1.2. Порядок уничтожения, блокирования персональных данных, обрабатываемых в администрации Устюженского муниципального района (приложение 2);
1.3. Инструкцию о порядке отнесения информационных ресурсов к защищаемым и организации доступа к ним в информационных системах персональных данных в администрации Устюженского муниципального района (приложение 3).
2. Признать утратившим силу постановление администрации Устюженского муниципального района от 24.06.2011 № 193 «Об организации работ по обеспечению безопасности персональных данных в администрации района»
Руководитель администрации Устюженского
муниципального района Е.А. Капралов
Приложение 1
к постановлению администрации
Устюженского муниципального района
от 13.04.2020 № 274
Инструкция пользователя информационной системы персональных данных в администрации Устюженского муниципального района (далее – Инструкция)
Общие положения
Настоящая Инструкция определяет обязанности, права и ответственность муниципальных служащих и работников администрации Устюженского муниципального района (далее - работники), осуществляющих обработку персональных данных в информационных системах персональных данных администрации Устюженского муниципального района (далее – администрация района).
Персональные данные являются сведениями конфиденциального характера (за исключением случаев, установленных федеральными законами).
Наиболее вероятными каналами утечки информации для информационных систем персональных данных (далее – ИСПДн) являются:
- несанкционированный доступ к информации, обрабатываемой в ИСПДн;
- хищение технических средств, с хранящейся в них информацией, или отдельных носителей информации;
- просмотр информации с экранов дисплеев мониторов и других средств ее отображения с помощью оптических устройств;
- воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации, адресности и своевременности обмена, в том числе электромагнитного, через специально внедренные электронные и программные средства («закладки»).
Обязанности работников, осуществляющих обработку персональных данных
2.1. Работники, получившие доступ к персональным данным, обязаны хранить в тайне персональные данные, ставшие им известными во время работы или иным путем и пресекать действия других лиц, которые могут привести к разглашению персональных данных; о таких фактах, а также о других известных им причинах или условиях возможной утечки персональных данных работник должен немедленно информировать своего непосредственного руководителя и заведующего сектором информационных технологий, программного обеспечения и защиты информации администрации района.
2.2. Персональные данные не подлежат разглашению (распространению); прекращение доступа к такой информации не освобождает работника от взятых им обязательств по неразглашению информации, содержащей персональные данные.
2.3. Работники при работе с персональными данными обязаны:
2.3.1. Строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;
2.3.2. Знать и выполнять требования настоящей Инструкции, а также действующих нормативных правовых актов в области защиты персональных данных;
2.3.3. Знать и строго выполнять правила работы со средствами защиты информации (средствами разграничения доступа), установленной в ИСПДн;
2.3.4. Хранить в тайне свой пароль доступа в автоматизированную систему, а также информацию о системе защиты, установленной в ИСПДн;
2.3.5. Использовать для работы, только учтенные съемные накопители информации (диски, флеш-накопители и т.д.);
2.3.6. Соблюдать требования инструкции по организации антивирусной защиты в ИСПДн;
2.3.7. Соблюдать требования инструкции по организации парольной защиты в ИСПДн;
2.3.8. Немедленно ставить в известность своего непосредственного руководителя и заведующего сектором информационных технологий, программного обеспечения и защиты информации администрации района:
в случае утери носителя с персональными данными;
при подозрении компрометации личных ключей и паролей;
при нарушении целостности наклеек с идентификационной информацией, нарушении или несоответствии номеров аппаратных средствах ИСПДн или иных фактов совершения в его отсутствие попыток несанкционированного доступа к защищенной ИСПДн;
при несанкционированных (произведенных с нарушением установленного порядка) изменениях в конфигурации программных или аппаратных средств ИСПДн;
в случае отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию рабочей станции, выхода из строя или неустойчивого функционирования узлов ИСПДн или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных в автоматизированной системе технических средств;
- о необходимости обновления антивирусных баз, обновлении программного обеспечения;
- о проведении регламентных работ, модернизации аппаратных средств или изменении конфигурации ИСПДн;
- о необходимости вскрытия системных блоков персональных компьютеров, входящих в состав ИСПДн;
- о резервном копировании информации.
2.4. Уборка помещений администрации района, в которых производится работа с персональными данными, должна производиться под контролем работников, допущенных к обработке таких персональных данных.
2.5. Вынос технических средств ИСПДн, в которой проводилась обработка персональных данных, за пределы территории здания, в котором установлена ИСПДн, с целью их ремонта, замены и т. п. без согласования с сектором информационных технологий, программного обеспечения и защиты информации администрации района запрещен. При принятии решения о выносе компьютеров, жесткие диски должны быть демонтированы и сданы на хранение в сектор информационных технологий, программного обеспечения и защиты информации администрации района. В случае действия гарантийных обязательств фирмы-поставщика вскрытие корпуса и демонтаж носителей должны быть предварительно согласованы с сектором информационных технологий, программного обеспечения и защиты информации администрации района.
Технические средства, используемые для работы с персональными данными, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра экрана видеомонитора работниками администрации района, не имеющими доступа к обрабатываемой информации.
2.6. Работникам при работе с персональными данными категорически запрещается:
- передавать кому бы то ни было (в том числе родственникам) устно или письменно информацию, содержащую персональные данные;
- использовать информацию, содержащую персональные данные, при подготовке открытых публикаций, докладов, научных работ и т.д.;
- выполнять работы с документами, содержащими персональные данные, на дому, выносить их из служебных помещений, снимать копии или производить выписки из таких документов;
- оставлять на рабочих столах, в столах и незакрытых шкафах и сейфах документы, содержащие персональные данные, а также оставлять незапертыми после окончания работы шкафы и сейфы, помещения и хранилища с документами, содержащими персональные данные;
- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства;
- отключать средства защиты информации;
- осуществлять обработку персональных данных в присутствии посторонних (не допущенных к обработке персональных данных) лиц;
- записывать и хранить персональные данные на неучтенных носителях информации (дисках и т.п.);
- оставлять включенной без присмотра свою рабочую станцию, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана путем одновременного нажатия кнопок Windows и L на клавиатуре);
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок ставить в известность сектор информационных технологий, программного обеспечения и защиты информации администрации района.
Ответственность
Работники, осуществляющие обработку персональных данных в ИСПДн, несут ответственность за соблюдение требований настоящей инструкции, а также других нормативных документов в области защиты информации. За разглашение информации, содержащей персональные данные, а также за нарушение порядка работы с документами или машинными носителями, содержащими такую информацию, работники могут быть привлечены к дисциплинарной или иной, предусмотренной законодательством ответственности.
Приложение 2
к постановлению администрации
Устюженского муниципального района
от 13.04.2020 № 274
Порядок уничтожения, блокирования персональных данных, обрабатываемых в администрации Устюженского муниципального района (далее – Порядок)
1. Общие положения
1.1. Настоящий Порядок определяет обязательные требования к уничтожению и блокированию персональных данных, обрабатываемых в администрации Устюженского муниципального района (далее – оператор).
1.2. Настоящий Порядок разработан в соответствии с Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных», от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлениями Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
2. Уничтожение, блокирование персональных данных
2.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
2.2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
2.3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя, либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
2.4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
2.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
2.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 2.3-2.5 Порядка, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
2.7. Уничтожение документов, содержащих персональные данные, должно производиться путем их сожжения или измельчения, или другим путем, исключающим возможность восстановления текста документов.
2.8. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем такого механического нарушения целостности носителя, которое не позволит произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
Порядок оформления документов об уничтожении носителей,
содержащих персональные данные
3.1. Уничтожение носителей, содержащих персональные данные, осуществляется комиссионно. Состав комиссии и положение о ней утверждаются распоряжением администрации Устюженского муниципального района.
3.2. В ходе процедуры уничтожения носителей, содержащих персональные данные, присутствие членов комиссии, осуществляющей уничтожение персональных данных, обязательно.
3.3. Комиссия непосредственно после уничтожения носителей персональных данных составляет и подписывает Акт уничтожения носителей персональных данных (далее - акт) в двух экземплярах по форме согласно приложению 1 к настоящему Порядку. В течение трёх дней после составления акт направляется на утверждение руководителю администрации района. После утверждения руководителем администрации района один экземпляр акта хранится у руководителя структурного подразделения или отраслевого (функционального) органа администрации района, осуществлявшего эксплуатацию уничтоженного носителя персональных данных, второй экземпляр акта хранится в секторе информационных технологий, программного обеспечения и защиты информации администрации района.
Приложение 1 к Порядку
Форма
УТВЕРЖДАЮ
Руководитель администрации Устюженского муниципального района
_________________/________________
М.П.
«____» __________________ 20__ г.
АКТ№____
уничтожения носителей персональных данных
« » 20 г
(место уничтожения) (дата уничтожения)
Комиссия, в составе:
Председатель:_____________________________________________________
(должность, фамилия, имя, отчество)
Члены комиссии:___________________________________________________
(должность, фамилия, имя, отчество)
_______________________________________________________ ______
(должность, фамилия, имя, отчество)
составили настоящий акт в том, что «____»________20________г.
произведено уничтожение носителей, содержащих персональные данные в следующем объеме:
№
п/п
Информация (наименование документа)
Вид носителя, учетный номер
Количество
Примечание
Перечисленные материальные носители информации уничтожены путем
____________________________________________________________________________
(механического уничтожения, сжигания, разрезания, демонтажа и т.п.)
Подписи членов комиссии: _____________ ______________________
(подпись) (Ф. И. О.)
_____________ ______________________
(подпись) (Ф. И. О.)
______________ _______________________
(подпись) (Ф. И. О.)
Приложение 3
к постановлению администрации
Устюженского муниципального района
от 13.04.2020 № 274
Инструкция о порядке отнесения информационных ресурсов к защищаемым и организации доступа к ним в информационных системах персональных данных в администрации Устюженского муниципального района
(далее – Инструкция)
Общие положения
Настоящая Инструкция определяет порядок отнесения информационных ресурсов к защищаемым и организацию доступа к ним в информационных системах персональных данных (далее – ИСПДн).
Информационные ресурсы представляют собой совокупность отдельных документов, массивов документов, обычно структурированных в базы данных и используемых определенной ИСПДн.
Персональные данные относятся к информации конфиденциального характера, поэтому все информационные ресурсы, содержащие персональные данные и обрабатываемые в ИСПДн, подлежат защите.
Целью определения защищаемых информационных ресурсов и организации доступа к ним в ИСПДн является принятие необходимых организационных и технических мер по обеспечению режима конфиденциальности обрабатываемых персональных данных, а также мер по защите информационных ресурсов ИСПДн от несанкционированного доступа и иных неправомерных действий.
Ответственность за соблюдение настоящей Инструкции возлагается на руководителей структурных подразделений и отраслевых (функциональных) органов администрации района, осуществляющих деятельность по эксплуатации ИСПДн.
Порядок отнесения информационных ресурсов к защищаемым и организация доступа к ним в ИСПДн
2.1. Отнесение информационных ресурсов к защищаемым в ИСПДн структурных подразделений и отраслевых (функциональных) органов администрации района и организация доступа к ним включает:
- проведение внутриорганизационного анализа функций работников подразделения на предмет обработки персональных данных в ИСПДн;
- последующее приведение в соответствие с выполняемой обработкой информации возложенных полномочий и должностных обязанностей;
- установление правил разграничения доступа к информационным ресурсам ИСПДн.
2.2. Анализ информации, обрабатываемой структурном подразделении (отраслевом (функциональном) органе) администрации района, осуществляющем деятельность по эксплуатации ИСПДн, проводится для определения соответствия объема собираемых персональных данных целям и способам их обработки, а также идентификации информационных ресурсов, содержащих персональные данные.
По результатам анализа составляются:
1) Перечень обрабатываемых персональных данных (Приложение 1).
2) Перечень информационных ресурсов, содержащих персональные данные, обрабатываемых в ИСПДн (Приложение 2).
3) Список работников, допущенных к обработке информационных ресурсов ИСПДн.
Перечни утверждаются руководителем структурного подразделения (отраслевого (функционального) органа) администрации района, осуществляющего деятельность по эксплуатации ИСПДн.
При изменении данных, содержащихся в Перечне информационных ресурсов, содержащих персональные данные, обрабатываемые в ИСПДн, а также состава работников, допущенных к этим информационным ресурсам, в указанный Перечень и (или) состав работников, допущенных к этим информационным ресурсам в двухнедельный срок вносятся соответствующие изменения руководителем структурного подразделения или отраслевого (функционального) органа администрации района, осуществляющего эксплуатации ИСПДн, путем утверждения нового Перечня информационных ресурсов, содержащих персональные данные, обрабатываемые в ИСПДн и (или) состава работников, допущенных к этим информационным ресурсам.
2.3. Организация доступа работников к защищаемым информационным ресурсам ИСПДн предусматривает следующий порядок:
- полномочия и перечень работников, допущенных к обработке информационных ресурсов ИСПДн, нормативно закрепляются распоряжением администрации района;
- на работников, уполномоченных в установленном порядке распоряжением администрации района осуществлять обработку персональных данных в ИСПДн, возлагаются обязательства по соблюдению установленного режима работы с конфиденциальной информацией, которые закрепляются в должностной инструкции;
- ознакомление работников, осуществляющих обработку персональных данных, с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативными правовыми актами Российской Федерации, а также муниципальными правовыми актами Устюженского муниципального района в области обработки, защиты персональных данных с целью руководства ими в своей деятельности.
2.4. Разграничение доступа к защищаемым информационным ресурсам ИСПДн с использованием штатных средств операционной системы, сервера, а также специальных программно-аппаратных (программных) средств оформляется распоряжением администрации района, с указанием роли (пользователь, администратор) каждого работника, допущенного к ИСПДн. Разграничение доступа и назначение прав пользователей производится администратором безопасности ИСПДн.
Учет разграничения доступа пользователей к защищаемым информационным ресурсам администрации района ведется сектором информационных технологий, программного обеспечения, и защиты информации администрации района.
Приложение 1 к Инструкции
Утверждаю
Руководитель структурного подразделения
(отраслевого (функционального) органа) администрации Устюженского муниципального района
________________________________
Перечень персональных данных, обрабатываемых в
_______________________________________________________________________
(наименование структурного подразделения (отраслевого (функционального) органа))
Категории субъектов, персональные данные которых обрабатываются
Цель обработки
персональных данных
Категории обрабатываемых персональных данных
Правовое основание обработки персональных данных
Способ обработки
1
2
3
4
5
Приложение 2 к Инструкции
Утверждаю
Руководитель структурного подразделения
(отраслевого (функционального) органа) администрации Устюженского муниципального района
________________________________
Перечень информационных ресурсов,
содержащих персональные данные, обрабатываемых в ИСПДн __________________________________________________________________________
(наименование структурного подразделения (отраслевого (функционального) органа))
Наиме-нование ИР
Место нахождения ИР (адрес, улица, дом, каб.)
Тип носителя информации
Работники, имеющие доступ к данным ИР
Ответственные за работу с ИР
Примечания
1
2
3
4
5
6
Дополнительные сведения
| Рубрики правового классификатора: | 010.150.000 Местное самоуправление |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
