ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА В АДМИНИСТРАЦИИ ГОРОДСКОГО ОКРУГА НАВАШИНСКИЙ НИЖЕГОРОДСКОЙ ОБЛАСТИ



АДМИНИСТРАЦИЯ ГОРОДСКОГО ОКРУГА

НАВАШИНСКИЙ НИЖЕГОРОДСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

18.08.2020 № 874

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА В АДМИНИСТРАЦИИ ГОРОДСКОГО ОКРУГА НАВАШИНСКИЙ НИЖЕГОРОДСКОЙ ОБЛАСТИ

В целях исполнения требований Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», в соответствии с Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» администрация городского округа Навашинский п о с т а н о в л я е т:

Утвердить:

1.1. Положение об обработке информации ограниченного доступа в администрации городского округа Навашинский Нижегородской области согласно приложению;

1.2. Политику конфиденциальности по работе с персональными данными пользователей.

Организационному отделу Администрации городского округа Навашинский Нижегородской области обеспечить размещение настоящего постановления на официальном сайте органов местного самоуправления городского округа Навашинский Нижегородской области в информационно-телекоммуникационной сети «Интернет» и опубликование в официальном вестнике – приложении к газете «Приокская правда».

Контроль за исполнением настоящего постановления возложить на управляющего делами Администрации городского округа Навашинский А.В.Колпакова.

Глава администрации

Т.А.Берсенева

Приложение

к постановлению администрации

городского округа Навашинский

Нижегородской области

от 18.08.2020 № 874

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА

(далее – Положение)

I. Общие положения

1.1. Настоящее Положение определяет (уточняет) основные правила обработки и обеспечения безопасности информации ограниченного доступа (распространения), не отнесенной к государственной тайне (далее – информация ограниченного доступа), в администрации городского округа Навашинский Нижегородской области (далее – администрация), а также раскрывает Политику в отношении обработки и защиты персональных данных, утвержденную администрацией.

1.2. Действие настоящего Положения распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с информацией ограниченного доступа с использованием средств вычислительной техники (автоматизации) или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.  

1.3. Настоящее Положение является обязательным для исполнения в структурных подразделениях администрации, имеющих или обрабатывающих информацию ограниченного доступа при проведении работ по технической защите информации ограниченного доступа, имеющими доступ к информации ограниченного доступа.

II. Защищаемая информация

К информации ограниченного доступа относятся:

1) персональные данные сотрудников администрации, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях, а также персональные данные иных субъектов, чьи данные обрабатываются в администрации;  

2) служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна): сведения, содержащиеся в обрабатываемых документах с пометкой «Для служебного пользования», в части не содержащей сведения, составляющие государственную тайну;

3) сведения ограниченного доступа, образующиеся в деятельности администрации и ограничение на распространение которых определяется служебной необходимостью и (или) требованиями действующего законодательства (за исключением сведений, которые не могут быть отнесены к информации ограниченного распространения):

― сведения о системе защиты защищаемой информационной системы (государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации), включая данные модели угроз безопасности информации, модели нарушителя безопасности информации, проектного (эксплуатационного) решения на систему безопасности защищаемой информационной системы (далее – ИС), технического паспорта ИС (сегмента ИС);

― сведения о применяемых средствах защиты информации (СрЗИ): настройки, конфигурация, размещение;

― парольная, ключевая и аутентифицирующая информация;

― перечень помещений и мест обработки и хранения информации ограниченного доступа;

― сведения об информационно-телекоммуникационных сетях, используемых для передачи информации ограниченного доступа: архитектура, настройки;

― сведения о пользовательской (серверной) ИТ-инфраструктуре, задействованной в процессах обработки и хранения информации ограниченного доступа: настройки, конфигурация, разграничение доступа;

― сведения о резервном копировании и восстановлении информации;

― данные регистрируемых событий безопасности;

― сведения о специальном программном обеспечении ИС: настройки, конфигурация, разграничение доступа.

4) сведения ограниченного доступа, обрабатываемые в ИС и ограничение на распространение, которых определяется служебной необходимостью и (или) требованиями действующего законодательства;

5) сведения ограниченного доступа, ограничение на распространение которых наложено другими лицами (организациями) и обрабатываемые в администрации.

III. Конфиденциальность

3.1. К информации ограниченного доступа применяется режим соблюдения ее конфиденциальности. 

3.2. Все документы и сведения, содержащие информацию ограниченного доступа, являются конфиденциальными. Меры конфиденциальности распространяются на материальные носители, содержащие информацию ограниченного доступа.

3.3. Режим конфиденциальности персональных данных снимается в случае их обезличивания и по истечении срока их хранения, и не действует в отношении общедоступных персональных данных.  

IV. Организация безопасной обработки защищаемой информации

4.1. Обработка и защита информации ограниченного доступа в администрации осуществляется в соответствии с требованиями действующего законодательства.

4.2. Администрация при обработке информации ограниченного доступа принимает необходимые правовые, организационные и технические меры ее защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении нее, что в совокупности представляет собой систему защиты, направленную на обеспечение и поддержание требуемого уровня безопасности информации.  

4.3. В целях обеспечения безопасности информации ограниченного доступа защите подлежат информационные (автоматизированные) системы, содержащие защищаемую информацию, информационно-телекоммуникационные сети, используемые для передачи защищаемой информации, инженерная и информационно-телекоммуникационная инфраструктура (ИТ-инфраструктура) и помещения, задействованные в процессах обработки и хранения защищаемой информации, носители защищаемой информации и объекты хранения таких носителей, а также средства изготовления и размножения защищаемых документов.

4.4. В администрации для всех лиц, участвующих в обработке или обеспечении безопасности информации ограниченного доступа, обеспечен доступ к актуальным версиям организационно-распорядительных документов администрации, регулирующих вопрос обработки или защиты указанной информации.

4.5. Администрацией проводится внутренний контроль (аудит) выполнения в администрации требований надлежащей обработки и зашиты информации ограниченного доступа с целью определения соответствия обработки такой информации требованиям установленных норм и правил, и оценки эффективности применяемых мер. Внутренний контроль (аудит) осуществляется на плановой и (или) внеплановой основах. В части контроля обработки и зашиты персональных данных применяются Правила проведения мероприятий по внутреннему контролю обработки и защиты персональных данных, утвержденные администрацией.

4.6. Создание, модернизация и ликвидация ИС проводятся в соответствии с требованиями действующего законодательства подразделением администрации, занимающимся ее созданием (модернизацией, внедрением). В случае ликвидации проводятся мероприятия по уничтожению или передаче (если необходимо) информации в другие системы, на другие носители информации.  

4.7. В ИС используются СрЗИ, прошедшие процедуру оценки соответствия (сертификацию) требованиям действующего законодательства в области защиты информации.

4.8. Базы данных информации ограниченного доступа размещаются администрацией на технических (вычислительных) площадках, находящихся на территории Российской Федерации. 

4.9. Перед началом обработки информации ограниченного доступа сотрудники администрации, работающие с такой информацией (имеющие доступ):

1) проходят инструктаж (обучение) правилам обработки и защиты информации ограниченного доступа в администрации, знакомятся с действующим законодательством и организационно-распорядительными документами администрации, регламентирующими данный вопрос. Инструктаж проводится уполномоченными сотрудниками администрации в рамках компетенции (полномочий) при: приеме на работу, переводе на другую должность, изменении функционала; изменении законодательства и правовых актов администрации в области обработки и защиты информации ограниченного доступа; выявлении серьезных нарушений в ходе контрольных проверок; вводе в эксплуатацию новых или модернизации существующих защищаемых ИС / СрЗИ. Обучение в виде повышения квалификации (переподготовки) проводится в случае необходимости глубокого изучения требований действующего законодательства в области обработки и защиты информации ограниченного доступа. Сведения о проведенном инструктаже (обучении) фиксируются в Журнале учета инструктажа и обучения по вопросам обеспечения информационной безопасности, который ведется администрацией;   

2) подписывают Соглашение о неразглашении защищаемой информации (Соглашение о неразглашении персональных данных);

3) подписывают Типовое обязательство о прекращении обработки защищаемой информации (Типовое обязательство о прекращении обработки персональных данных), по которому они обязуются прекратить обработку информации ограниченного доступа в случае расторжения с ними служебного контракта (трудового договора). 

4.10. Сотрудники администрации, имеющие доступ к информации ограниченного доступа, обязуются:

― знать и выполнять требования действующего законодательства и организационно-распорядительных документов администрации, регламентирующих порядок обработки и защиты информации ограниченного доступа; 

― не разглашать и не использовать (в т.ч. после увольнения из администрации) в личных и коммерческих целях, целях, не связанных со служебной необходимостью, информацию ограниченного доступа, ставшую известной в связи с исполнением должностных обязанностей;

― не использовать информацию ограниченного доступа для подготовки открытых публикаций, докладов и т.п.;

― принимать меры, направленные на предотвращение несанкционированного доступа, распространения, разглашения, изменения, уничтожения и блокирования информации ограниченного доступа;

― применять индивидуальные пароли к электронным папкам (архивам), содержащим файлы с информацией ограниченного доступа;

― немедленно ставить в известность своего непосредственного руководителя и уполномоченных сотрудников администрации в соответствии с компетенцией об утрате или недостаче носителей, содержащих информацию ограниченного доступа, ключей (в т.ч. электронных) от помещений (сейфов, шкафов), в которых обрабатывается (хранится) информация ограниченного доступа, утечке конфиденциальных сведений, о фактах, которые могут привести к несанкционированному распространению (разглашению) защищаемой информации, о причинах и условиях утечки, о попытках посторонних лиц получить от сотрудника администрации информацию ограниченного доступа, а также сведения, способствующие получению защищаемой информации.

4.11. При работе с бумажными носителями информации ограниченного доступа сотрудники администрации соблюдают Правила работы с бумажными носителями защищаемой информации, утвержденные администрацией, при работе с машинными носителями информации ограниченного доступа – Правила работы с машинными носителями, Правила работы с техническими средствами и Правила работы со средствами защиты информации, утвержденные администрацией.

4.12. Все сотрудники администрации соблюдают Порядок доступа в помещения и Правила реагирования на инциденты информационной безопасности, утвержденные администрацией.

V. Уполномоченные сотрудники

5.1. Общее руководство, координацию и контроль за выполнением требований надлежащей обработки и защиты информации ограниченного доступа в администрации осуществляет ответственный за организацию защиты информации, не отнесенной к государственной тайне (далее – ответственный за организацию ЗИ), в части персональных данных – ответственный за организацию обработки персональных данных. Ответственный за организацию ЗИ и организацию обработки персональных данных назначается Управляющий делами администрации

5.2. За поддержание безопасного функционирования (защиту) ИС, защиту содержащейся в ней информации, а также за обеспечение безопасности персональных данных (при их обработке в ИС) отвечает администратор безопасности ИС. Администратор назначается из числа сотрудников администрации, которые обладают навыками и знаниями по управлению СрЗИ. Администратор осуществляет свои функции в соответствии с Инструкцией администратора безопасности информационной системы, утвержденной администрацией.

5.3. За создание / ввод в эксплуатацию / эксплуатацию / модернизацию / вывод из эксплуатации ИС, а также за организацию работы пользователей со специальным программным обеспечением (СПО) ИС, контроль правильной эксплуатации СПО ИС и функционирование ИТ-инфраструктуры (локальной вычислительной сети) администрации, используемой ИС, а также за организацию работы с машинными носителями и техническими средствами администрации, используемыми ИС, и их функционирование отвечает администратор ИС:   

1) Администратор ИС, ответственный за функционирование ИТ-инфраструктуры (локальной вычислительной сети) администрации, используемой ИС, а также за организацию работы с машинными носителями и техническими средствами администрации, используемыми ИС, и их функционирование именуется администратором ИС с функциями локального администратора и осуществляет свои функции в соответствии с Инструкцией локального администратора, утвержденной администрацией, в части касающейся.

2) Администратор ИС, ответственный за организацию жизненного цикла ИС, за организацию работы пользователей с СПО ИС и контроль правильной эксплуатации СПО ИС, осуществляет свои функции в соответствии с Инструкцией администратора информационной системы, утвержденной администрацией. Администратор назначается из числа сотрудников администрации, которые непосредственно работают в ИС или в чьем ведении находятся вопросы ее жизненного цикла (использования). 

Администратором ИС может быть назначено одно или несколько лиц из числа сотрудников администрации.

5.4. За функционирование ИТ-инфраструктуры (локальной вычислительной сети) администрации, участвующей в обработке и (или) хранении информации ограниченного доступа (не в рамках ИС), организацию работы с машинными носителями и техническими средствами администрации, применяемыми для работы с защищаемой информацией (не в рамках ИС), и их функционирование отвечает локальный администратор. Администратор назначается из числа сотрудников администрации, которые обладают навыками и знаниями по управлению компьютерным оборудованием. Администратор осуществляет свои функции в соответствии с Инструкцией локального администратора, утвержденной администрацией.           

5.5. За поддержание безопасного функционирования (защиту) ИТ-инфраструктуры (локальной вычислительной сети) администрации, участвующей в обработке и (или) хранении информации ограниченного доступа (не в рамках ИС), организацию безопасной работы (защиты) с машинными носителями и техническими средствами администрации, применяемыми для работы с защищаемой информацией (не в рамках ИС), отвечает администратор безопасности ИТ-инфраструктуры администрации. Администратор назначается из числа сотрудников администрации, которые обладают навыками и знаниями по управлению СрЗИ. Администратор осуществляет свои функции в соответствии с Инструкцией администратора безопасности ИТ-инфраструктуры, утвержденной администрацией.

VI. Доступ к защищаемой информации и информационным системам

6.1. Доступ к информации ограниченного доступа и ИС предоставляется сотрудникам администрации и третьим лицам, не входящим в штатную структуру администрации, в связи со служебной (производственной) необходимостью, в объеме, необходимом для выполнения ими должностных обязанностей (функций), с соблюдением принципа предоставления минимально необходимых привилегий и при подписании Соглашения о неразглашении защищаемой информации (Соглашения о неразглашении персональных данных), типовая форма которого утверждена администрацией.

6.2. Третьим лицам доступ к информации ограниченного доступа предоставляется при наличии договорных отношений (соглашений) с администрацией, разрешающих (подразумевающих) доступ к информации ограниченного доступа, или в случаях, предусмотренных действующим законодательством, и на ограниченный период времени, который может определяться сроком действия договорных обязательств, если действующим законодательством не установлено иное.

6.3. Факт доступа третьих лиц к персональным данным фиксируется в Журнале учета доступа к персональным данным, который ведется администрацией.

6.4. Факт доступа третьих лиц к ИС фиксируется в Журнале учета доступа к информационным системам, который ведется администрацией.

6.5. Необходимость предоставления, изменения и (или) ликвидации прав доступа (далее – пересмотр прав доступа) сотрудника администрации к информации ограниченного доступа и ИС определяется при его приеме на работу, при изменении его должностных обязанностей (функций) и при его увольнении; необходимость пересмотра прав доступа для третьего лица определяется характером договорных отношений (соглашений) и сроком их действия, а также действующим законодательством.      

6.6. Необходимость пересмотра прав доступа к информации ограниченного доступа и ИС определяется и своевременно доводится до уполномоченного сотрудника администрации руководителем структурного подразделения администрации, в чьем подчинении (под чьим контролем) находится сотрудник (третье лицо), которому необходимо пересмотреть права доступа. В части доступа к персональным данным и информационным системам персональных данных – до ответственного за организацию обработки персональных данных, в части доступа к ИС и содержащейся в ней информации – до администратора ИС и администратора безопасности ИС в соответствии с компетенцией. Уполномоченными сотрудниками администрации организуется необходимая работа по пересмотру прав доступа.

6.7. Доступ сотрудника администрации (третьего лица) к информации ограниченного доступа и ИС может быть временно заблокирован на период проведения разбирательства в случае подозрения на злоупотребление сотрудником администрации (третьим лицом) полномочиями, несанкционированную (неправомерную) обработку им информации ограниченного доступа или несанкционированное использование им ИС.   

VII. Условия и порядок сбора (получения) персональных данных

7.1. Все персональные данные субъекта сотрудники администрации получают у него самого. Если персональные данные субъекта могут быть получены только у третьей стороны, то субъект уведомляется об этом заранее, и от него получается письменное согласие. администрация получает подтверждение от третьего лица, передающего персональные данные о том, что они передаются с согласия субъекта.

7.2. В установленных действующим законодательством случаях администрация сообщает субъекту о целях, предполагаемых источниках и способах получения его персональных данных, а также о характере подлежащих получению данных и последствиях его отказа дать письменное согласие на получение и (или) предоставление данных (последствиях отказа предоставить свои персональные данные). 

7.3. Сотрудники администрации предоставляют сотрудникам кадровой службы администрации, имеющим доступ к их персональным данным, достоверные сведения о себе и в срок, не превышающий 5 (пяти) рабочих дней, сообщают об изменении своих данных с приложением при необходимости подтверждающих документов. Сотрудники сектора кадровой работы администрации проверяют при необходимости и наличии законных оснований достоверность сведений, сверяя предоставленные данные с имеющимися у них документами (сведениями) или направляя запросы.  

7.4. При поступлении на работу (службу) в администрацию субъект заполняет анкету по утвержденной форме (при ее заполнении в строгом соответствии с записями, которые содержатся в его личных документах, заполняются все графы анкеты, на все вопросы даются полные ответы, не допускается исправлений или зачеркиваний, прочерков, помарок) и дает согласие на обработку своих персональных данных на период принятия решения о приеме либо отказе в приеме на работу (службу). Получение согласия является обязательным условием при направлении администрацией запросов в иные организации, в том числе, по прежним местам работы (службы) субъекта, для уточнения или получения о нем информации.

VIII. Обработка персональных данных

8.1. Обработка персональных данных осуществляется в случаях и в сроки, определенные действующим законодательством, Политикой в отношении обработки и защиты персональных данных, утвержденной администрацией, и настоящим Положением.

8.2. В предусмотренных действующим законодательством случаях администрация уведомляет субъекта о совершенных операциях над его персональными данными по типовой форме, утвержденной администрацией.  

8.3. При поручении обработки персональных данных третьим лицам такие данные не сообщаются третьей стороне без письменного согласия самого субъекта, за исключением случаев, предусмотренных действующим законодательством.    

8.4. Обработка персональных данных субъектов может осуществляться без их согласия в случаях, установленных Федеральным законом № 152-ФЗ, в т.ч., если: 

1) обработка персональных данных ведется при осуществлении пропускного режима (режима допуска) на территорию помещений администрации, при условии, что организация пропускного режима (режима допуска) осуществляется администрацией самостоятельно;

2) обработка персональных данных близких родственников сотрудников администрации осуществляется в объеме, предусмотренном Формой Т-2, либо в случаях, установленных действующим законодательством (оформление социальных выплат, льгот и пр.); 

3) обрабатываются данные уволенных сотрудников администрации в рамках исполнения нормы подпункта 5 пункта 3 статьи 24 Налогового кодекса Российской Федерации, в котором установлена обязанность налоговых агентов (работодателей) в течение 4 (четырех) лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога, и в рамках выполнения требований статьи 17 Федерального закона от 21 ноября 1996 года № 129-ФЗ «О бухгалтерском учете», в которой определяется, что организации обязаны хранить бухгалтерскую документацию в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее 5 (пяти) лет;

4) обрабатываются данные претендентов на замещение должностей в случаях: если от имени субъекта действует кадровое агентство, с которым субъект заключил соответствующий договор; если субъект самостоятельно разместил свое резюме в сети «Интернет» и оно стало доступно неограниченному кругу лиц; если типовая форма анкеты субъекта реализована администрацией в электронной форме на сайте администрации, где согласие на обработку персональных данных подтверждается субъектом путем проставления отметки в соответствующем поле.  

8.5. В случае получения резюме субъекта по каналам электронной почты или факсимильной связи администрация дополнительно проводит мероприятия, направленные на подтверждение факта направления резюме самим субъектом (осуществляет обратную связь посредством электронной почты) и получение согласия на обработку его персональных данных (приглашает субъекта на личную встречу). В случае невозможности получения согласия (отказа субъекта приехать на личную встречу или подписать необходимый документ) администрация прекращает обработку персональных данных и уничтожает полученное резюме. В случае, если резюме не заинтересовало администрацию или по резюме, составленному в произвольной форме, невозможно однозначно определить физическое лицо, которое его направило, указанное резюме подлежит уничтожению в день поступления. В случае отказа субъекту в приеме на работу (службу) сведения, им предоставленные, уничтожаются в течение 30 (тридцати) дней.

8.6. Если персональные данные получены не от субъекта, администрация, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ, до начала их обработки предоставляет субъекту сведения, предусмотренные Федеральным законом № 152-ФЗ.

8.7. При осуществлении автоматизированной обработки персональных данных:

1) на основании полученных данных проверяется наличие информации о субъекте в электронных учетных (учетно-отчетных) формах или ИС. Если субъект отсутствует в таких формах / ИС, то полная информация о нем заносится после получения его согласия на обработку персональных данных предоставленных по форме, указанной в Приложении 1 к настоящему порядку, а в случае наличия информации о субъекте – сверяются данные с ранее предоставленными и при необходимости вносятся соответствующие изменения;

2) не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в электронных учетных (учетно-отчетных) формах или ИС, конкретному субъекту.  

8.8. При осуществлении неавтоматизированной обработки персональных данных соблюдается порядок, аналогичный указанному в пункте 6.7 настоящего Положения, и уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными данными. 

IX. Хранение защищаемой информации

9.1. Хранение персональных данных в администрации осуществляется в случаях и в сроки, установленные действующим законодательством, но не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен действующим законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект.

9.2. Сроки хранения документов, содержащих персональные данные сотрудников администрации, установлены в соответствии с «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения» утверждённым приказом Федерального архивного агентства от 20.12.2019 г. № 236.

9.3. Личные дела сотрудников администрации хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Сохранность личных дел сотрудников администрации обеспечивает кадровая служба администрации. При переводе гражданского служащего администрации на должность муниципальной (государственной) гражданской службы в другой орган его личное дело передается по новому месту работы (службы). Если субъект, личное дело которого хранится в архиве, поступит на службу вновь, его личное дело также передается по месту работы.

9.4.  Персональные данные субъектов:

1) категории «сотрудники администрации», «близкие родственники», «практиканты (стажеры)», «руководители подведомственных администрации организаций», «претенденты на замещение должностей» и «контрагенты», содержащиеся на бумажных носителях, хранятся в специальном шкафу (сейфе), установленном в помещении кадровой службы администрации;

2) категории «сотрудники администрации» и «контрагенты», содержащиеся на машинных носителях, хранятся на АРМ сотрудников кадровой службы и в отделе бухгалтерского учета и статистической отчетности администрации и (или) на серверах / системах хранения данных администрации; 

3) категории «заявители», содержащиеся на бумажных носителях, хранятся в специальном шкафу (сейфе) установленном в помещении кадровой службы, а также в структурных подразделениях администрации, оказывающих государственные и муниципальные услуги, а содержащиеся на машинных носителях, – на АРМ сотрудников кадровой службы, а также в структурных подразделениях администрации, оказывающих государственные и муниципальные услуги;  

4) персональные данные субъектов поступивших по информационной системе «Система–112» хранятся на отчуждаемых машинных носителях и (или) машинных носителях в составе серверов и (или) систем хранения данных ГКУ НО «Служба 112», а так же в ЕДДС МКУ «Управление дорожного хозяйства, благоустройства и пожарной безопасности».

9.5. В соответствии с «Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», утв. Приказом Федерального архивного агентства от 20.12.2019 г. №236, в администрации в рамках сроков, установленных данным документом, также хранятся:

1) документы (списки, обязательства, расписки) лиц, принявших обязательства о неразглашении сведений ограниченного доступа (конфиденциального характера, служебной и коммерческой тайны);

2) документы (заявления работника о согласии на обработку персональных данных, сведения, уведомления) о субъекте персональных данных;

3) локальные нормативные акты (положения, инструкции) о персональных данных работников; 

4) документы (акты, заключения, справки, переписка) о состоянии защиты информации в администрации;

5) распорядительная и эксплуатационно-техническая документация (инструкции, руководства и др.) обслуживающему персоналу и пользователям информации по защите информации;

6) схемы организации криптографической защиты конфиденциальной информации; 

7) документы (заявки, отчеты, анализы) по антивирусной защите средств электронно-вычислительной техники;

8) документы (акты, справки, заявки, расчеты, ведомости, журналы учета сдачи и приемки оборудования после ремонта, переписка) о состоянии и проведении ремонтных, наладочных работ технических средств;

9) списки лиц, имеющих допуск к компьютерному оборудованию, к сети;

10) перечни работ по резервному копированию информации.

9.6. Действия с ключами (электронными картами) от хранилищ (сейфы, шкафы и т.п.) фиксируются в соответствующем журнале учета. Ключи (электронные карты) не подлежат несанкционированному копированию (изготовлению дубликатов), не подлежат бесконтрольному нахождению в замках хранилищ и в иных местах, не исключающих несанкционированный доступ к ним. Ключи (электронные карты) подлежат возврату лицом, которому они были выданы, при его увольнении или утрате им прав доступа к хранилищу. За сохранность выданных ключей (электронных карт) ответственность несет их пользователь. Выдачу ключей (электронных карт) от хранилищ персональных данных осуществляет ответственный за организацию обработки персональных данных, от хранилищ, содержимое которых имеет отношение к ИТ-инфраструктуре администрации, – локальный администратор, от хранилищ, содержимое которых имеет отношение к безопасности ИТ-инфраструктуры администрации, – администратор безопасности ИТ-инфраструктуры администрации, от хранилищ, содержимое которых имеет отношение к безопасности ИС, – администратор безопасности ИС. Неиспользуемый дубликат (оригинал) ключа (электронной карты) хранится в шкафу (ящике, хранилище (сейфе)), подконтрольном вышеуказанному уполномоченному лицу, в непросматриваемой упаковке, опечатанной прочной наклейкой по всей длине кромки вскрытия упаковки и удостоверенной подписью (печатью) лица, изготовившего дубликат (получившего оригинал), на месте вскрытия упаковки. Об утери или недостаче ключей (электронных карт) от хранилищ сотрудники администрации немедленно сообщают вышеуказанному уполномоченному лицу и руководителю администрации (ответственному за организацию защиты информации, не отнесенной к государственной тайне). При утрате ключа от хранилища замок меняется или переделывается его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то хранилище заменяется. Порядок хранения ключевых и других документов СКЗИ в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает орган криптографической защиты.

9.7. Правила обращения с ключами (электронными картами) от защищаемых помещений определены Порядком доступа в помещения, утвержденным администрацией.

X. Передача защищаемой информации

10.1. Передача информации ограниченного доступа осуществляется посредством нарочного, почтовой связи, по каналам электрической связи. 

10.2. При передаче информации ограниченного доступа обеспечивается ее конфиденциальность. Передача персональных данных, не носящих характер общедоступных, по телефону, факсимильной связи, электронной почте запрещена. Передача информации ограниченного доступа без использования специальных средств защиты по общедоступным сетям связи запрещена. Защита информации ограниченного доступа от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии в соответствии с законодательством Российской Федерации средств криптографической защиты информации. 

10.3. При передаче информации ограниченного доступа через организацию федеральной почтовой связи соблюдаются следующие требования: документы, содержащие информацию ограниченного доступа, вкладываются в конверт, к нему прилагается сопроводительное письмо; на конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией и за незаконное ее разглашение законодательством предусмотрена ответственность; данный конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами.  

10.4. Передача (распространение, разглашение) информации ограниченного доступа лицам, не имеющим к ней прав доступа (неопределенному кругу лиц), запрещена.

10.5. Передача информации ограниченного доступа осуществляется на основании договора (соглашения) со стороной, которой осуществляется передача, или письменного запроса, полученного от стороны, которой осуществляется передача (на официальном бланке с указанием на основание получения доступа к информации ограниченного доступа, ее перечень, цель использования, Ф.И.О. и должность лица, которому поручается ее получить), или исполнения функций, возложенных на администрацию (требований действующего законодательства), или в рамках реализации служебных (трудовых) отношений. Передача информации ограниченного доступа третьим лицам сопровождается подписанием принимающей стороной Соглашения о неразглашении защищаемой информации (Соглашения о неразглашении персональных данных) и Обязательства о прекращении обработки защищаемой информации (Обязательства о прекращении обработки персональных данных), за исключением законных случаев, когда передача допускается без подписания данных документов.

10.6. При передаче персональных данных сотрудники администрации: 

1) проверяют основание на осуществление передачи персональных данных и наличие согласия субъекта на их передачу (если требуется по законодательству);

2) не сообщают персональные данные в непредусмотренных целях и случаях;

3) не осуществляют передачу персональных данных без права доступа к ним;

4) предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требуют от этих лиц подтверждения того, что это правило соблюдено;

5) разрешают доступ к персональным данным только уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы им для выполнения их обязанностей или функций; 

6) передают персональные данные субъекта его представителю, членам его семьи в порядке и при условиях, установленных действующим законодательством, и ограничивают эту информацию только необходимыми данными.

10.7. Согласие сотрудника администрации на передачу его персональных данных не требуется: 

1) если их передача необходима в целях предупреждения угрозы жизни и здоровью сотрудника, а получить согласие не представляется возможным;

2) если третьи лица оказывают услуги администрации на основании заключенных договоров, где указаны его данные;

3) при передаче данных в территориальные налоговые службы (инспекции), пенсионные фонды, органы статистики, органы (фонды) социального страхования, военные комиссариаты, профсоюзные органы;

4) если передача данных сотрудника осуществляется в случаях, связанных с выполнением им должностных обязанностей, в т.ч., при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными Постановлением Правительства Российской Федерации от 25 апреля 1997 № 490, и иными нормативными правовыми актами в сфере транспортной безопасности);  

5) если персональные данные обрабатываются или передаются в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, органов и организаций, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом, и иных органов, уполномоченных запрашивать информацию о сотрудниках в соответствии с компетенцией, предусмотренной законодательством (запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации);

6) при передаче персональных данных банковским (кредитным) организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, в случаях, если: договор на выпуск банковской карты заключался напрямую с сотрудником и в его тексте предусмотрены положения, предусматривающие передачу администрацией персональных данных; наличие у администрации доверенности на представление интересов сотрудника при заключении договора с такой организацией на выпуск банковской карты и ее последующее обслуживание; соответствующая форма и система оплаты труда прописана в трудовом договоре (служебном контракте). 

10.8. Администрация обеспечивает ведение Журнала учета выданных персональных данных.

XI. Блокирование и разблокирование персональных данных

11.1. Администрация блокирует персональные данные или обеспечивает их блокирование в сроки, установленные Федеральным законом № 152-ФЗ, в случае:

1) выявления неправомерной обработки персональных данных;

2) выявления неточных персональных данных;

3) получения соответствующего обращения от субъекта (его законного представителя);

4) отсутствия возможности уничтожить персональные данные в рамках законодательно установленных сроков.

11.2. Разблокирование персональных данных осуществляется в случаях, предусмотренных Федеральным законом № 152-ФЗ и настоящим Положением. Повторное согласие субъекта на обработку его персональных данных влечет их разблокирование. 

11.3. Блокирование (разблокирование) персональных данных проводит сотрудник администрации, который осуществляет обработку персональных данных субъекта. Если осуществляется блокирование (разблокирование) персональных данных, обрабатываемых в ИС, к проведению работ по блокированию привлекается администратор ИС. 

11.4. Разрешение или отказ на блокирование (разблокирование) персональных данных дает ответственный за организацию обработки персональных данных.

11.5. Если обработка персональных данных осуществляется лицом, действующим по поручению администрации, ответственным за организацию обработки персональных данных организуется необходимая работа по обеспечению их блокирования.  

11.6. В случае выявления неправомерной обработки персональных данных субъекта одновременно с принятием решения о блокировании его персональных данных ответственным за организацию обработки персональных данных инициируется проведение проверки персональных данных, заблокированных по причине их неправомерной обработки.  

11.7. В случае выявления неточных персональных данных конкретного субъекта сотрудник администрации, который осуществляет обработку его персональных данных, проводит блокирование данных, относящихся к этому субъекту, или во взаимодействии с ответственным за организацию обработки персональных данных обеспечивает их блокирование, если такое блокирование не нарушает права и законные интересы субъекта или третьих лиц.    

11.8. В случае подтверждения факта неточности персональных данных сотрудник администрации, осуществляющий обработку персональных данных данного субъекта, на основании сведений, представленных субъектом (его законным представителем) либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение и снимает блокирование.   

11.9. Блокирование данных конкретного субъекта (если такая необходимость установлена) осуществляется во всех ИС, включая архивы баз данных, содержащих такие персональные данные, во всех материальных носителях, содержащих такие персональные данные (за исключением случаев, когда обработка необходима для уточнения данных).

XII. Уничтожение защищаемой информации и ее носителей

12.1. Уничтожение информации ограниченного доступа проводится в соответствии с Порядком уничтожения защищаемой информации, утвержденным администрацией.

12.2. Уничтожение носителей, содержащих информацию ограниченного доступа, проводится в соответствии с Порядком уничтожения носителей защищаемой информации, утвержденным администрацией.

XIII. Обращения субъектов и запросы контрольно-надзорных органов

13.1. Субъекты, персональные данные которых обрабатываются в администрации, обращаются в администрацию в целях и при соблюдении правил обращения, определенных Федеральным законом № 152-ФЗ.

13.2. Администрацией утверждены типовые формы обращений субъектов персональных данных.

13.3. Администрация соблюдает Правила рассмотрения обращений субъектов персональных данных и запросов контрольно-надзорных органов, утвержденные администрацией.

XIV. Заключительные положения

14.1. Каждый сотрудник администрации, допущенный к обработке информации ограниченного доступа и получающий для работы носитель, содержащий такую информацию, несет персональную ответственность за его сохранность и соблюдение безопасности указанной информации при ее обработке.

14.2. В вопросах обработки и защиты информации ограниченного доступа, не урегулированных настоящим Положением, администрация руководствуется нормами действующего законодательства.

14.3. Если какое-либо из требований Положения в связи с изменением законодательства становится недействительным, это не затрагивает действительности остальных его положений.

                                                                                                                Приложение 1.

            СОГЛАСИЕ

     на обработку и размещение на официальном сайте, в электронных учетных (учетно-отчетных) формах или ИС персональных данных

     Я, _______________________________________________________________________________,

(фамилия, имя, отчество (последнее - при наличии) субъекта персональных данных)

проживающая по адресу: _______________________________________________________________

_____________________________________________________________________________________

паспорт_________________________________________________________________,

(серия, номер, сведения о дате выдачи документа и выдавшем его органе)

в соответствии с частью 4 статьи 9 Федерального закона от 27 июля 2006г. №152-ФЗ "О персональных данных" я даю свое согласие Администрации городского округа Навашинский (далее – Оператор), находящейся по адресу: 607100 Нижегородская обл. г. Навашино пл. Ленина д.7, на обработку, размещение в информационно-телекоммуникационной сети "Интернет" на официальном портале органов местного самоуправления Нижегородской области городского округа Навашинский (http://navashino.omsu-nnov.ru) моих персональных данных (персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу), в том числе сведений, содержащихся в копии основного документа, удостоверяющего личность, телефон, адреса электронной почты, СНИЛС, а именно на совершение  действий, предусмотренных  пунктом 3 части 1 статьи 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" с использованием средств автоматизации и/или без использования таких средств (включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных) в том числе на информационный обмен с органами исполнительной власти Нижегородской области и внесением данных в государственные информационные системы при оказании государственных, муниципальных и иных услуг (работ), направление в мой адрес уведомлений, касающихся предоставленных услуг/работ, подготовка и направление ответов на мои запросы, обеспечения информационного и технологического, а так же межведомственного взаимодействия.

Настоящее согласие действует со дня его подписания до момента его отзыва путем направления соответствующего уведомления в произвольной форме на адрес электронной почты official@adm.nav.nnov.ru. В случае отзыва мною согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без моего согласия при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.

"___"______________20___ г.

Субъект персональных данных:

______________

(подпись)

Приложение

к постановлению администрации

городского округа Навашинский

Нижегородской области

от ___________ № ____

Политика конфиденциальности

по работе с персональными данными пользователей

1. Общие положения.

Настоящая политика по работе с персональными данными пользователей составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые администрацией городского округа Навашинский Нижегородской области (далее – Оператор).

1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта http://navashino.omsu-nnov.ru/.

1.3. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.

1.4. Настоящая Политика конфиденциальности применяется только к сайту http://navashino.omsu-nnov.ru/.

1.5. Сайт не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте.

1.6. Администрация сайта не проверяет достоверность персональных данных, предоставляемых Пользователем сайта.

2. Основные понятия, используемые в Политике.

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу http://navashino.omsu-nnov.ru/;

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта http://navashino.omsu-nnov.ru/;

2.9. Пользователь – любой посетитель веб-сайта http://navashino.omsu-nnov.ru/;

2.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.11. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

2.12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

2.13. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

3. Оператор может обрабатывать следующие персональные данные Пользователя.

3.1. Фамилия, имя, отчество;

3.2. Номер телефона;

3.3. Адрес электронной почты (e-mail);

3.5. Адрес прописки и(или) место проживания

3.4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

3.5. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.

4. Цели обработки персональных данных.

4.1. Цель обработки персональных данных Пользователя - предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте http://navashino.omsu-nnov.ru/; установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработка запросов и обращений от Пользователя; подтверждения достоверности и полноты персональных данных, предоставленных Пользователем.

4.2. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

5. Правовые основания обработки персональных данных.

5.1. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте http://navashino.omsu-nnov.ru/. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.

5.2. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

6. Порядок сбора, хранения, передачи и других видов обработки персональных данных.

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

6.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

6.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.

6.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора official@adm.nav.nnov.ru с пометкой «Актуализация персональных данных».

6.4. Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора official@adm.nav.nnov.ru с пометкой «Отзыв согласия на обработку персональных данных».

7. Заключительные положения

7.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты official@adm.nav.nnov.ru.

7.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.

7.3. Актуальная версия Политики обработки персональных данных в свободном доступе расположена в сети Интернет по адресу http://navashino.omsu-nnov.ru/_data/objects/0022/4953/file.224953.Politika_obrabotki_personal_nyh_dannyh.pdf