Основная информация
| Дата опубликования: | 23 октября 2020г. |
| Номер документа: | RU90016913202000024 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Пермский край |
| Принявший орган: | Администрация Ергачинского сельского поселения |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
АДМИНИСТРАЦИЯ ЕРГАЧИНСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ КУНГУРСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ПОСТАНОВЛЕНИЕ
23.10.2020 №83-271-13-02-01-04
Об утверждении нормативных правовых актов по обработке и защите персональных данных в администрации Ергачинского сельского поселения
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», подпунктом «б» пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211, постановлением Правительства от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Администрация Ергачинского сельского поселения ПОСТАНОВЛЯЕТ:
Утвердить прилагаемые:
1) Положение об обработке и защите персональных данных;
2) Инструкцию по порядку учёта, хранения и уничтожения съемных носителей персональных данных в администрации Ергачинского сельского поселения;
3) Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в администрации Ергачинского сельского поселения;
4) Форму согласия на обработку персональных данных;
5) Форму обязательства муниципального служащего администрации Ергачинского сельского поселения, в случае расторжения с ним трудового договора, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
6) Перечень должностей муниципальной службы администрации Ергачинского сельского поселения, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
7) Перечень должностей муниципальной службы администрации Ергачинского сельского поселения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
8) Список помещений, предназначенных для обработки персональных данных (далее – ПДн) согласно приложению 3;
9) Руководство пользователя по обеспечению безопасности ИСПДн в администрации Ергачинского сельского поселения;
10) Руководство администратора по обеспечению безопасности ИСПДн в администрации Ергачинского сельского поселения;
11) Журналы учета:
съемных носителей персональных данных;
ключевых носителей.
12) Перечень муниципальных автоматизированных информационных систем персональных данных администрации Ергачинского сельского поселения;
13) Технический паспорт информационной системы персональных данных.
2. Назначить ответственным за организацию обработки персональных данных в администрации Ергачинского сельского поселения Демагину О.П. - ведущего специалиста аппарата администрации.
3. Опубликовать (обнародовать) настоящее постановление в соответствии с Уставом муниципального образования «Ергачинское сельское поселение» Кунгурского муниципального района Пермского края.
4. Контроль за исполнением постановления оставляю за собой.
Глава Ергачинского сельского поселения Р.М.Файзуллин
УТВЕРЖДЕНО
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83 -271-13-02-01-04
ПОЛОЖЕНИЕ
об обработке и защите персональных данных
в администрации Ергачинского сельского поселения
I. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет:
правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
правила рассмотрения запросов субъектов персональных данных или их представителей;
правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами;
перечни персональных данных, обрабатываемых в связи с реализацией служебных или трудовых отношений, а также в связи с предоставлением муниципальных услуг и осуществлением муниципальных функций;
порядок доступа в помещения, в которых ведется обработка персональных данных.
1.2. Положение определяет деятельность администрации Ергачинского сельского поселения как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.3. Обработка персональных данных в администрации Ергачинского сельского поселения осуществляется с соблюдением принципов и условий, предусмотренных Положением и законодательством Российской Федерации в сфере персональных данных.
1.4. Положение распространяется на обработку и защиту персональных данных в администрации Ергачинского сельского поселения.
II. Процедуры, направленные на выявление и
предотвращение нарушений законодательства Российской Федерации
в сфере персональных данных
2.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в администрации Ергачинского сельского поселения используются следующие процедуры:
2.1.1. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
2.1.2. Оценка вреда, который может быть причинен субъектам персональных данных;
2.1.3. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящим Положением и (или) обучение по соответствующим дополнительным профессиональным программам;
2.1.4. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в сфере персональных данных;
2.1.5. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2.1.6. Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
III. Цели обработки персональных данных
3.1. В администрации Ергачинского сельского поселения персональные данные могут обрабатываться для:
3.1.1. осуществления статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных»;
3.1.2. обеспечения доступа неограниченного круга лиц к общедоступным персональным данным, который предоставлен субъектом персональных данных либо по просьбе субъекта персональных данных;
3.1.3. выполнения возложенных на администрацию Ергачинского сельского поселения функций и полномочий.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
3.3. Обработка персональных данных, несовместимых с целями сбора персональных данных, указанными в пункте 3.1 Положения, не допускается.
3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным в пункте 3.1 Положения целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
IV. Условия и порядок обработки персональных данных
муниципальных служащих администрации
Ергачинского сельского поселения
4.1. Персональные данные муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрации Ергачинского сельского поселения, обрабатываются в целях осуществления кадровой работы, в том числе содействия муниципальным служащим в прохождении муниципальной службы, работы, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности муниципальных служащих, включая членов их семей, обеспечения муниципальным служащим установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.
4.2. В администрации Ергачинского сельского поселения обрабатываются следующие категории персональных данных:
4.2.1. Фамилия, имя, отчество, дата и место рождения, гражданство;
4.2.2. Прежние фамилия, имя, отчество, дата, место рождения (в случае изменения);
4.2.3. Владение иностранными языками и языками народов Российской Федерации;
4.2.4. Образование (когда и какие образовательные организации окончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);
4.2.5. Выполняемая работа с начала трудовой деятельности (в том числе военная служба, работа по совместительству, предпринимательская деятельность);
4.2.6. Классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены);
4.2.7. Государственные награды, иные награды и знаки отличия (кем награжден и когда);
4.2.8. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
4.2.9. Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
4.2.10. Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен);
4.2.11. Пребывание за границей (когда, где, с какой целью);
4.2.12. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);
4.2.13. Адрес регистрации и фактического проживания, дата регистрации по месту жительства;
4.2.14. Вид, серия, номер документа, удостоверяющего личность на территории Российской Федерации, наименование органа, выдавшего его, дата выдачи;
4.2.15. Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);
4.2.16. Номер контактного телефона или сведения о других способах связи;
4.2.17. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
4.2.18. Идентификационный номер налогоплательщика;
4.2.19. Номер страхового свидетельства обязательного пенсионного страхования;
4.2.20. Реквизиты полиса обязательного медицинского страхования;
4.2.21. Реквизиты свидетельств государственной регистрации актов гражданского состояния;
4.2.22. Наличие (отсутствие) судимости;
4.2.23. Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата);
4.2.24. Наличие (отсутствие) заболевания, препятствующего поступлению на муниципальную службу Российской Федерации или ее прохождению, подтвержденного заключением медицинского учреждения;
4.2.25. Наличие (отсутствие) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденное заключением медицинского учреждения;
4.2.26. Сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, имуществе обязательствах имущественного характера супругов и несовершеннолетних детей;
4.2.27. Номер индивидуального лицевого счета, дата его открытия, номер банковской карты;
4.2.28. Иные персональные данные, необходимые для достижения целей, указанных в пункте 4.1 Положения.
4.3. Обработка персональных данных муниципальных служащих, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется без их согласия в рамках целей, указанных в пункте 4.1 Положения, на основании пунктов 2, 3, 11 части 1 статьи 6 Федерального закона «О персональных данных».
4.4. Обработка специальных категорий персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется без их согласия в рамках целей, указанных в пункте 4.1 Положения, на основании пунктов 2, 2.3, 3, 4, 6, 7, 8 части 2 и части 3 статьи 10 Федерального закона «О персональных данных», за исключением случаев получения персональных данных у третьей стороны.
4.5. Обработка персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется при условии получения согласия указанных лиц в следующих случаях:
4.5.1. При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации о муниципальной службе и трудовым законодательством;
4.5.2. При трансграничной передаче персональных данных;
4.5.3. При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
4.6. В случаях, предусмотренных пунктом 4.5 Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».
4.7. Обработка персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется соответствующими актами администрации Ергачинского сельского поселения муниципальными служащими и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется путем:
4.8.1. Получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в администрацию Ергачинского сельского поселения);
4.8.2. Копирования оригиналов документов;
4.8.3. Внесения сведений в учетные формы;
4.8.4. Формирования персональных данных в ходе кадровой работы;
4.8.5. Внесения персональных данных в информационные системы (при наличии);
4.8.6. Получения персональных данных непосредственно от муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения.
4.9. В случае возникновения необходимости получения персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, у третьей стороны следует известить об этом заранее муниципального служащего администрации Ергачинского сельского поселения, гражданина, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, получить письменное согласие и сообщить о целях и способах получения персональных данных.
4.10. Запрещается получать, обрабатывать и приобщать к личному делу муниципального служащего администрации Ергачинского сельского поселения персональные данные, не предусмотренные пунктом 4.2 Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
4.11. При сборе персональных данных ведущий специалист аппарата администрации, осуществляющий сбор (получение) персональных данных непосредственно от муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом.
4.12. Передача (распространение, предоставление) и использование персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется лишь в случаях и в порядке, предусмотренных Федеральными законами.
V. Условия обезличивания персональных данных
5.1. Обезличивание персональных данных проводится с целью снижения ущерба от разглашения защищаемых персональных данных и снижения требований к защите информационной системы персональных данных.
5.2. Обезличивание персональных данных также осуществляется по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
5.3. Способы обезличивания при условии дальнейшей обработки персональных данных:
уменьшение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
замена численных значений минимальным, средним или максимальным значением;
понижение точности некоторых сведений;
деление сведений на части и обработка их в разных информационных системах;
другие способы.
5.4. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
5.5. Для обезличивания персональных данных применяются любые способы, явно не запрещенные законодательством.
5.6. Муниципальные служащие, осуществляющие обработку персональных данных, несут ответственность за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
5.7. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
5.8. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
5.8.1. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
парольной политики;
антивирусной политики;
правил работы со съемными носителями (если они используются);
правил резервного копирования;
правил доступа в помещения, где расположены элементы информационных систем.
5.8.2. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
правил хранения бумажных носителей;
правил доступа к ним и в помещения, где они хранятся.
VI. Условия и порядок обработки персональных данных
субъектов в связи с предоставлением муниципальных услуг
и исполнением муниципальных функций
6.1. В администрации Ергачинского сельского поселения обработка персональных данных субъектов персональных данных может осуществляться в целях предоставления муниципальных услуг и исполнения муниципальных функций.
6.2. Персональные данные субъектов персональных данных, обратившихся в администрацию Ергачинского сельского поселения лично, а также направивших индивидуальные или коллективные письменные обращения (запросы) или обращения (запросы) в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений (запросов) с последующим уведомлением о результатах рассмотрения.
6.3. Обработка персональных данных, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона «О персональных данных».
6.4. Обработка персональных данных, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, осуществляется специалистами администрации Ергачинского сельского поселения, предоставляющих соответствующие муниципальные услуги и (или) исполняющими муниципальные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в администрацию Ергачинского сельского поселения для получения муниципальной услуги или в целях исполнения муниципальной функции, осуществляется путем:
6.5.1. Получения оригиналов необходимых документов (заявление);
6.5.2. Заверения копий документов;
6.5.3. Внесения сведений в учетные формы (на бумажных и электронных носителях).
6.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных.
6.7. При сборе персональных данных специалистами администрации Ергачинского сельского поселения, осуществляющие получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением муниципальной услуги или в связи с исполнением муниципальной функции, обязаны разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
6.8. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) администрацией Ергачинского сельского поселения осуществляется лишь в случаях и в порядке, предусмотренных Федеральными законами.
VII. Порядок обработки персональных данных субъектов
персональных данных в информационных системах
7.1. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах органов и подведомственных организаций, осуществляется в соответствии с постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
7.2. Специалистам администрации Ергачинского сельского поселения имеющим право осуществлять обработку персональных данных в информационных системах администрации Ергачинского сельского поселения (при наличии информационных систем), предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными регламентами (должностными инструкциями) муниципальных служащих (должностными обязанностями работников).
Информация может вноситься как в автоматическом режиме, при получении персональных данных с Единого портала государственных и муниципальных услуг (функций) или официального сайта администрации Ергачинского сельского поселения в сети Интернет, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
7.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах администрации Ергачинского сельского поселения, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
7.3.1. Определение угроз безопасности персональных данных при их обработке в информационных системах;
7.3.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законодательством Российской Федерации уровни защищенности персональных данных;
7.3.3. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
7.3.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
7.3.5. Учет машинных носителей персональных данных;
7.3.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
7.3.7. Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
7.3.8. Установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах;
7.3.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
7.4. В случае выявления нарушений порядка обработки персональных данных специалистами администрации Ергачинского сельского поселения незамедлительно принимаются меры по установлению причин нарушений и их устранению.
VIII. Сроки обработки и хранения персональных данных
8.1. Сроки обработки и хранения персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, определяются в соответствии с законодательством Российской Федерации.
С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения персональных данных:
8.1.1. Персональные данные, содержащиеся в распоряжениях по личному составу муниципальных служащих администрации с Ергачинского сельского поселения (о приеме, переводе, поощрении, увольнении), подлежат хранению в архиве администрации Ергачинского сельского поселения в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;
8.1.2. Персональные данные, содержащиеся в личных делах муниципальных служащих администрации Ергачинского сельского поселения, а Ергачинского также в личных карточках муниципальных служащих администрации сельского поселения, хранятся в архиве администрации Ергачинского сельского поселения в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;
8.1.3. Персональные данные, содержащиеся в распоряжениях по основной деятельности муниципальных служащих администрации Ергачинского сельского поселения, подлежат постоянному хранению в порядке, предусмотренном законодательством Российской Федерации;
8.1.4. Персональные данные, содержащиеся в распоряжениях о предоставлении очередных и учебных отпусков, дежурствах, краткосрочных командировках, взысканиях муниципальных служащих администрации с Ергачинского сельского поселения, подлежат хранению в архиве администрации Ергачинского сельского поселения в течение пяти лет;
8.1.5. Персональные данные, содержащиеся в документах граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в соответствующих структурных подразделениях в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.
8.2. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в администрацию Ергачинского сельского поселения в связи с получением муниципальных услуг и исполнением муниципальных функций, указанных в пункте 8.1 Положения, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
8.3. Персональные данные граждан, обратившихся в администрацию с Ергачинского сельского поселения лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
8.4. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением администрацией Ергачинского сельского поселения муниципальных услуг и исполнением муниципальных функций, хранятся на бумажных носителях в администрации Ергачинского сельского поселения.
8.5. Если сроки хранения персональных данных не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели их обработки и хранения.
8.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
8.7. Специалисты администрации Ергачинского сельского поселения обеспечивают раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Положением.
8.8. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляет глава Ергачинского сельского поселения.
8.9. Срок хранения персональных данных, внесенных в информационную систему администрации с Ергачинского сельского поселения, указанную в пункте 7.1 Положения, должен соответствовать сроку хранения бумажных оригиналов.
IX. Порядок уничтожения персональных данных
при достижении целей обработки или при наступлении иных
законных оснований
9.1. Специалист администрации Ергачинского сельского поселения, ответственный за документооборот, осуществляет систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
9.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии администрации Ергачинского сельского поселения (далее – комиссия), состав которой утверждается распоряжением администрации Ергачинского сельского поселения.
По итогам заседания составляются протокол и акт о выделении к уничтожению документов с указанием уничтожаемых дел и их количества, проверяется их комплектность, акт подписывается председателем и членами экспертной комиссии и утверждается главой Ергачинского сельского поселения.
9.3. Специалист администрации Ергачинского сельского поселения, ответственный за архивную деятельность, организует работу по уничтожению документов, содержащих персональные данные.
9.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
9.5. По итогам уничтожения дел (на бумажном и (или) электронном носителях) в акт о выделении к уничтожению документов вносится соответствующая запись.
X. Рассмотрение запросов субъектов персональных данных
или их представителей
10.1. Муниципальные служащие администрации Ергачинского сельского поселения, граждане, претендующие на замещение должностей в администрации Ергачинского сельского поселения, а также граждане, персональные данные которых обрабатываются в администрации Ергачинского сельского поселения, в связи с предоставлением муниципальных услуг и осуществлением муниципальных функций, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
10.1.1. Подтверждение факта обработки персональных данных;
10.1.2. Правовые основания и цели обработки персональных данных;
10.1.3. Применяемые способы обработки персональных данных;
10.1.4. Наименование и местонахождение администрации Ергачинского сельского поселения, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании Федерального закона;
10.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
10.1.6. Сроки обработки персональных данных, в том числе сроки их хранения;
10.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
10.1.8. Информацию об осуществленной или предполагаемой трансграничной передаче данных;
10.1.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению администрации Ергачинского сельского поселения, если обработка поручена или будет поручена такой организации или лицу;
10.1.10. Иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
10.2. Субъекты персональных данных, указанные в пункте 10.1 Положения, вправе требовать от администрации Ергачинского сельского поселения уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.3. Сведения, указанные в подпунктах 10.1.1 - 10.1.10 пункта 10.1 Положения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
10.4. Сведения, указанные в подпунктах 10.1.1 - 10.1.10 пункта 10.1 Положения, предоставляются субъекту персональных данных или его представителю специалистам администрации Ергачинского сельского поселения, осуществляющие обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:
10.4.1. Номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
10.4.2. Сведения, подтверждающие участие субъекта персональных данных в правоотношениях с администрацией Ергачинского сельского поселения, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10.5. В случае, если сведения, указанные в подпунктах 10.1.1 - 10.1.8 пункта 10.1 Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в администрацию Ергачинского сельского поселения или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.6. Субъект персональных данных вправе обратиться повторно в администрацию Ергачинского сельского поселения или направить повторный запрос в целях получения сведений, указанных в подпунктах 10.1.1 - 10.1.8 пункта 10.1 Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 8.5 Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8.4 Положения, должен содержать обоснование направления повторного запроса.
10.7. Администрация Ергачинского сельского поселения вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 10.5 и 10.6 Положения с мотивированным указанием причин отказа.
10.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
XI. Порядок доступа в помещения, в которых ведется обработка
персональных данных
11.1. Персональные данные субъектов персональных данных хранятся в администрации Ергачинского сельского поселения.
11.2. Автоматизированные рабочие места информационных систем персональных данных размещены в администрации Ергачинского сельского поселения.
11.3. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.
11.4. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.
Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
11.5. Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится муниципальными служащими администрации Ергачинского сельского поселения, имеющими право доступа в данные помещения.
11.6. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня муниципальные служащие, имеющие право доступа в помещения, обязаны:
убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть шкафы;
отключить технические средства (кроме постоянно действующей техники) и электроприборы, выключить освещение;
закрыть окна;
закрыть двери.
11.7. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только муниципальные служащие, непосредственно работающие в данном помещении.
Иные муниципальные служащие имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии муниципальных служащих, непосредственно работающих в данных помещениях.
11.8. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты.
11.9. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии муниципального служащего, работающего в данном помещении.
11.10. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на муниципальных служащих, обрабатывающих персональные данные.
Приложение 1
к Положению об обработке и защите персональных данных
Начат «___» _________ ____ г.
Окончен «___» ________ ____ г.
На _______________ листах
ЖУРНАЛ
учета электронных носителей персональных данных
Учетный номер
Дата постановки на учет
Вид электронного носителя,
место его хранения (размещения)
Ответственный за использование и хранение
Ф.И.О.
подпись
дата
1
2
3
4
5
6
Приложение 2
к Положению об обработке и защите персональных данных
АКТ №
классификации информационной системы персональных данных
«________________________________________________»
(Название ИСПДн)
В соответствии с постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 11 февраля 2013года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и распоряжением администрации Ергачинского сельского поселения «О создании комиссии по классификации информационных систем персональных данных» от «___» ___________ № ___________________________________
комиссия в составе:
председатель комиссии:
должность Ф.И.О.,
члены комиссии:
должность Ф.И.О.,
должность Ф.И.О.,
произвела сбор данных об информационной системе персональных данных (далее – ИСПДн) и установила нижеследующее:
1) в ИСПДн обрабатываются персональные данные сотрудников оператора;
2) в ИСПДн одновременно обрабатываются персональные данные менее чем 10000 субъектов персональных данных;
3) по структуре ИСПДн относится к локальной информационной системе, состоящей из нескольких АРМ и серверов;
4) по наличию подключений к сетям международного информационного обмена (Интернет) информационная система относится к системам, не имеющим подключения;
5) по режиму обработки персональных данных в информационной системе ИСПДн относится к многопользовательским;
6) по разграничению прав доступа пользователей ИСПДн относится к системам с разграничением прав доступа;
7) в зависимости от местонахождения технических средств ИСПДн относится к системам, технические средства которых размещены в Российской Федерации;
8) речевая обработка сведений, составляющих ПДн, в информационной системе не осуществляется;
9) условие обработки персональных данных – для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 10000 субъектов персональных данных, не являющихся сотрудниками оператора.
В соответствии с постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных информационной системе персональных данных «Название ИСПДн» установить уровень защищенности 4.
председатель комиссии:
Ф.И. О.
_____________________
«___»_________ 20___ г
члены комиссии:
Ф.И. О.
_____________________
«___»_________ 20___ г.
Ф.И. О.
_____________________
"___"_________ 201__ г
УТВЕРЖДЕНА
постановлением администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
______
Инструкция
по порядку учёта, хранения и уничтожения съемных носителей персональных данных в администрации Ергачинского сельского поселения
Общие положения
1.1. Настоящая Инструкция устанавливает порядок использования съемных носителей информации муниципальными служащими администрации Ергачинского сельского поселения (далее – Администрация) при работе с автоматизированными информационными системами персональных данных (далее – АИС ПДн).
1.2. Под АИС ПДн понимается такая автоматизированная информационная система, представляющая собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.3. Действие настоящей Инструкции распространяется на сотрудников Администрации, в рамках выполнения своих должностных обязанностей участвующих в обработке персональных данных.
1.4. Контроль исполнения требований настоящей Инструкции возлагается на главу Ергачинского сельского поселения (далее – Администратор безопасности).
II. Порядок использования носителей информации
2.1. Носитель информации – физическое лицо или материальный объект, в том числе физическое или информационное поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
2.2. Под использованием носителей информации в АИС ПДн понимается их подключение к инфраструктуре АИС ПДн с целью обработки, приема/передачи информации между АИС ПДн и носителями информации.
2.3. В АИС ПДн допускается использование только учтенных носителей информации, которые являются собственностью Администрации и подвергаются регулярной ревизии и контролю.
III. Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизации
3.1. Съемный носитель – носитель информации, предназначенный для ее автономного хранения и независимого от места записи использования (съемные винчестеры, флэш-память, оптические лазерные диски, дискеты).
3.2.Все находящиеся на хранении и в обращении съемные носители с персональными данными подлежат учёту.
3.3. Каждый съемный носитель с записанными на нем персональными данными должен иметь маркировку, на которой указывается его уникальный учетный номер.
3.4. Учет и выдачу съемных носителей персональных данных осуществляет Администратор безопасности. Факт выдачи съемного носителя фиксируется в журнале учета съемных носителей персональных данных.
3.5. Сотрудники получают учтенный съемный носитель от Администратора безопасности для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета. По окончании работ пользователь сдает съемный носитель для хранения Администратору безопасности, о чем делается соответствующая запись в журнале учета.
IV. Обязанности сотрудников при использовании съемных носителей
4.1. При использовании сотрудниками носителей персональных данных необходимо:
- соблюдать требования настоящей Инструкции;
- использовать носители информации исключительно для выполнения своих служебных обязанностей;
- ставить в известность Администратора безопасности о фактах нарушения требований настоящей Инструкции;
- бережно относиться к носителям персональных данных;
- обеспечивать физическую сохранность носителей персональных данных;
- извещать Администратора безопасности о фактах утраты (кражи) носителей персональных данных;
- перед началом использования съемного носителя на автоматизированном рабочем месте проверять носитель на наличие вредоносного программного кода с помощью антивирусного программного обеспечения.
4.2. При использовании носителей персональных данных запрещено:
- использовать носители персональных данных в личных целях;
- передавать носители персональных данных другим лицам (за исключением Администратора безопасности;
- хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
- выносить съемные носители персональных данных из служебных помещений для работы с ними на дому.
V. Порядок действий при выявлении фактов несанкционированных действий сотрудников при использовании, а также при утрате и уничтожении съемных носителей персональных данных
5.1. Обработка информации с использованием неучтенных носителей информации рассматривается как несанкционированная обработка. Администратор безопасности оставляет за собой право блокировать или ограничивать использование носителей информации.
5.2. В случае выявления фактов несанкционированного и/или нецелевого использования носителей персональных данных инициируется служебная проверка, проводимая комиссией.
5.3. По факту выясненных обстоятельств составляется Акт расследования инцидента и передается на рассмотрение в комиссию для принятия мер согласно (локальным) нормативным актам Администрации и действующему законодательству.
5.4. В случае утраты или уничтожения съемных носителей персональных данных либо разглашении содержащихся в них сведений немедленно ставится в известность Администратора безопасности. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей персональных данных.
5.5. Съемные носители персональных данных, пришедшие в негодность, подлежат уничтожению. Уничтожение съемных носителей персональных данных осуществляется комиссией, в состав которой входит Администратор безопасности. По результатам уничтожения носителей составляется акт. Типовая форма акта уничтожения приведена в Приложении 1 к настоящей Инструкции.
VI. Ответственность
6.1. Сотрудники, нарушившие требования настоящей Инструкции, несут ответственность в соответствии с действующим законодательством и нормативными актами Администрации.
Приложение 1
к Инструкции по порядку учёта, хранения и уничтожения съемных носителей персональных данных в администрации Ергачинского сельского поселения
АКТ
уничтожения съемных носителей персональных данных
Комиссия, назначенная распоряжением от ____________ № _______________ в составе:
____________________________________________________________________________________________________________________________________
(должности, ФИО)
провела отбор съемных носителей персональных данных, не подлежащих дальнейшему использованию:
№
п/п
Учетный номер съемного носителя
Примечание
1.
2.
Всего съемных носителей________________________(цифрами и прописью)
На съемных носителях уничтожены персональные данные путем стирания ее на устройстве гарантированного уничтожения информации (механического разрушения, сжигания и т.п.).
Перечисленные съемные носители уничтожены
__________________________________________________________________
путем (разрезания, демонтажа, механического разрушения и т.п.).
__________________________________________________________________
Председатель комиссии
Члены комиссии
(ФИО)
Подпись Дата
УТВЕРЖДЕНО
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
ПОЛОЖЕНИЕ
О разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в администрации Ергачинского сельского поселения
1. Настоящим Положением устанавливается уровень разграничения прав доступа к обрабатываемым персональным данным (далее – ПДн) в информационных системах персональных данных (далее – ИСПДн).
2. Разграничение прав осуществляется на основании Отчета по результатам проведения внутренней проверки, а так же исходя из характера и режима обработки персональных данных в конкретной ИСПДн.
3. В данном Положении утверждается список лиц ответственных за обработку ПДн в ИСПДн, а так же их уровень прав доступа к обрабатываемым персональным данным.
4. Настоящее Положение является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным.
УТВЕРЖДЕНА
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
Форма
___________________________________
(наименование должности руководителя)
______________________________________
(наименование государственного органа)
_____________________________________
(ФИО руководителя)
_____________________________________
(должность муниципального служащего)
_____________________________________
(ФИО муниципального служащего)
Согласие
на обработку персональных данных
Я, _______________________________________________________________,
(фамилия, имя, отчество)
зарегистрированный по адресу: ________________________________________
____________________________________________________________________,
основной документ, удостоверяющий личность ___________________________
____________________________________________________________________,
(наименование документа, удостоверяющего личность, серия и номер,
сведения о дате выдачи документа и выдавшем его органе)
даю согласие ____________________________________________________________________
(наименование муниципального органа)
___________________________________________________________________
(адрес муниципального органа)
на автоматизированную, а также без использования средств автоматизации обработку следующих моих персональных данных, а именно – совершение действий, предусмотренных пунктом 3 части 1 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», содержащихся в настоящем заявлении, в целях обеспечения соблюдения законодательства о муниципальной службе, трудового законодательства и иных нормативных правовых актов, содействия в трудоустройстве, формирования кадрового резерва на муниципальную службу Пермского края, а именно:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и(или) отчества в случае их изменения); число, месяц, год рождения; место рождения; информация о гражданстве (в том числе предыдущие гражданства, иные гражданства); вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона или сведения о других способах связи; реквизиты страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; реквизиты страхового медицинского полиса обязательного медицинского страхования; реквизиты свидетельства государственной регистрации актов гражданского состояния; информация о семейном положении, составе семьи, близких родственниках (в том числе бывших); сведения о трудовой деятельности; сведения о воинском учете и реквизиты документов воинского учета; сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании); сведения об ученой степени; медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению; фотография; сведения о прохождении государственной гражданской службы; информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту; сведения о пребывании за границей; информация о классном чине муниципальной службы; информация о наличии или отсутствии судимости; информация об оформленных допусках к государственной тайне; информация о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; сведения о доходах, об имуществе и обязательствах имущественного характера, сведения о расходах; иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 4.2 Положения об обработке и защите персональных данных.
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме в случаях, предусмотренных действующим законодательством.
Об ответственности за достоверность представленных сведений предупрежден(а).
«___» ____________ 20___ г. ___________ _____________________
(дата) (подпись) (расшифровка подписи)
УТВЕРЖДЕНО
постановлением
администрации Ергачинского
сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
ФОРМА
ОБЯЗАТЕЛЬСТВО
муниципального служащего администрации
Ергачинского сельского поселения, в случае расторжения с ним трудового договора, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей
Я, _________________________________________________________________,
(фамилия, имя, отчество)
____________________________________________________________________
(должность)
____________________________________________________________________,
обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной трудового контракта, освобождения меня от замещаемой должности и увольнения с муниципальной службы.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.
Ответственность, предусмотренная Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими федеральными законами, мне разъяснена.
"___" ____________ 20___ г. ___________ _____________________
(дата) (подпись) (расшифровка подписи)
УТВЕРЖДЕН
постановлением
администрации Ергачинского
сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
Перечень должностей муниципальной службы администрации Ергачинского сельского поселения, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
Ведущий специалист аппарата администрации
Ведущий специалист по имуществу, землеустройству и градостроительству
Ведущий специалист по экономике и финансам
УТВЕРЖДЕН
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
Перечень должностей муниципальной службы администрации сельского Ергачинского поселения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
Ведущий специалист аппарата администрации
Ведущий специалист по имуществу, землеустройству и градостроительству
Ведущий специалист по экономике и финансам
УТВЕРЖДЕН
постановлением
администрации сельского Ергачинского поселения
от 23.10.2020 № 83-271-13-02-01-04
Список помещений,
предназначенных для обработки персональных данных
№
п/п
Наименование помещения
Адрес и место расположения
1
Кабинет ведущего специалиста аппарата администрации
Кунгурский район,
п.Ергач
ул. Трактовая, д.1 каб. 1
2
Кабинет ведущего специалиста по экономике и финансам
Кунгурский район,
п.Ергач,
ул. Трактовая,д.1 каб. 2
3
Кабинет ведущего специалиста по имуществу, землеустройству и градостроительству
Кунгурский район,
п.Ергач,
ул. Трактовая, д. 1, каб. 3
УТВЕРЖДЕНО
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
Руководство пользователя по обеспечению безопасности ИСПДн в администрации Ергачинского сельского поселения
I. Общие положения
1.1. Пользователь информационной системы персональных данных (далее – Пользователь) осуществляет обработку персональных данных (далее – ПДн) в информационной системе персональных данных (далее – ИСПДн).
1.2. Пользователем является каждый специалист администрации Ергачинского сельского поселения, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.
1.3. Пользователь несет персональную ответственность за свои действия.
1.4. Пользователь в своей работе руководствуется настоящей инструкцией, Политикой информационной безопасности администрации Ергачинского сельского поселения, руководящими и нормативными документами ФСТЭК России и (соответствующими) регламентирующими документами администрации Ергачинского сельского поселения (если нужно, то тут указать наименования документов).
1.5. Методическое руководство работой пользователя осуществляется ответственным за обеспечение защиты персональных данных.
II. Должностные обязанности
Пользователь обязан:
2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
2.2. Выполнять на автоматизированном рабочем месте (далее – АРМ) только те процедуры, которые определены для него в Положении о разграничении прав доступа к обрабатываемым персональным данным.
2.3. Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а также руководящих и организационно-распорядительных документов.
2.4. Соблюдать требования парольной политики (раздел 3).
2.5. Соблюдать правила при работе в сетях общего доступа и (или) международного обмена – Интернет и других (раздел 4).
2.6. Экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, (шторы на оконных проемах должны быть завешаны (жалюзи закрыты)).
2.7. Обо всех выявленных нарушениях, связанных с информационной безопасностью администрации Ергачинского сельского поселения, а так же для получений консультаций по вопросам информационной безопасности, необходимо обратиться к ведущему специалисту аппарата администрации.
2.8. Для получения консультаций по вопросам работы и настройке элементов ИСПДн необходимо обращаться к Администратору ИСПДн.
2.9. Пользователям запрещается:
Разглашать защищаемую информацию третьим лицам.
Копировать защищаемую информацию на внешние носители без разрешения своего руководителя.
Самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств.
Несанкционированно открывать общий доступ к папкам на своей рабочей станции.
Запрещено подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства.
Отключать (блокировать) средства защиты информации.
Обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн.
Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн.
Привлекать посторонних лиц для ремонта или настройки АРМ без согласования с ответственным за обеспечение защиты персональных данных.
2.10. При отсутствии визуального контроля за рабочей станцией: доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш и выбрать опцию <Блокировка>.
2.11. Принимать меры по реагированию, в случае возникновения внештатных или аварийных ситуаций, с целью ликвидации их последствий в пределах возложенных на него функций.
III. Организация парольной защиты
3.1. Личные пароли доступа к элементам ИСПДн выдаются пользователям Администратором информационной безопасности или Администратором ИСПДн.
3.2. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в 6 месяцев.
3.3. Правила формирования пароля:
Пароль не может содержать имя учетной записи пользователя или какую-либо его часть.
Пароль должен состоять не менее чем из 6 символов.
В пароле должны присутствовать символы трех категорий из числа следующих четырех:
прописные буквы английского алфавита от A до Z;
строчные буквы английского алфавита от a до z;
десятичные цифры (от 0 до 9);
символы, не принадлежащие алфавитно-цифровому набору (например, !, $, #, %).
Запрещается использовать в качестве пароля имя входа в систему, простые пароли типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения своей личности и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе.
Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов.
Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.). Запрещается выбирать пароли, которые уже использовались ранее.
3.4. Правила ввода пароля:
Ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан.
Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).
3.5. Правила хранение пароля:
Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах.
Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
3.6. Лица, использующие паролирование, обязаны:
- четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию;
- своевременно сообщать Администратору информационной безопасности об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.
IV. Правила работы в сетях общего доступа и
(или) международного обмена
4.1. Работа в сетях общего доступа и (или) международного обмена (сети Интернет и других) (далее – Сеть) на элементах ИСПДн, должна проводиться при служебной необходимости.
4.2. При работе в Сети запрещается:
Осуществлять работу при отключенных средствах защиты (антивирус, брандмауэр).
Передавать по Сети защищаемую информацию без использования средств защиты каналов связи.
Запрещается скачивать из Сети программное обеспечение и другие файлы.
Запрещается посещение сайтов сомнительной репутации (порно сайты, сайты, содержащие нелегально распространяемое ПО и другие).
Запрещается нецелевое использование подключения к сети.
УТВЕРЖДЕНО
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
Руководство администратора по обеспечению безопасности ИСПДн в администрации Ергачинского сельского поселения
I. Общие положения
1.1. Администратор в своей работе руководствуется настоящей инструкцией, Политикой информационной безопасности администрации Ергачинского сельского поселения, руководящими и нормативными документами ФСТЭК России и (соответствующими) регламентирующими документами администрации Ергачинского сельского поселения (если нужно, то указать наименование).
1.2. Администратор отвечает за обеспечение устойчивой работоспособности элементов ИСПДн и средств защиты, при обработке персональных данных.
1.3. Методическое руководство работой Администратора осуществляется ответственным за обеспечение защиты персональных данных.
II. Должностные обязанности
Администратор обязан:
2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
2.2. Обеспечивать установку, настройку и своевременное обновление элементов ИСПДн:
программного обеспечения автоматизированных рабочих мест (далее – АРМ) и серверов (операционные системы, прикладное и специальное программное обеспечение);
аппаратных средств;
аппаратных и программных средств защиты.
2.3. Обеспечивать работоспособность элементов ИСПДн и локальной вычислительной сети.
2.4. Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.
2.5. Обеспечивать функционирование и поддерживать работоспособность средств защиты в рамках возложенных на него функций.
2.6. В случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе средств защиты информации, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.
2.7. Проводить периодический контроль принятых мер по защите в пределах возложенных на него функций.
2.8. Хранить, осуществлять прием и выдачу персональных паролей пользователей, осуществлять контроль за правильностью использования персонального пароля Оператором ИСПДн.
2.9. Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации.
2.10. Информировать ответственного за обеспечение защиты персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн.
2.11. Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн или средств защиты.
2.12. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки персональных данных, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации. Вышедшие из строя элементы и блоки средств вычислительной техники заменяются на элементы и блоки, прошедшие специальные исследования и специальную проверку.
2.13. Присутствовать при выполнении технического обслуживания элементов ИСПДн сторонними физическими людьми и организациями.
2.14. Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.
2.15. Не допускать к работе на рабочих станциях и серверах структурного подразделения посторонних лиц.
2.16. Осуществлять контроль монтажа оборудования структурного подразделения специалистами сторонних организаций.
2.17. Участвовать в приемке для нужд структурного подразделения новых программных средств.
2.18. Обобщать результаты своей деятельности и готовить предложения по ее совершенствованию.
2.19. При изменении конфигурации автоматизированной системы (далее – АС) вносить соответствующие изменения в паспорт АС, обрабатывающей информацию ограниченного доступа.
III. Назначение и область действия
3.1. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации определяет действия (далее – Инструкция), связанные с функционированием информационных систем персональных данных (далее – ИСПДн) администрации Ергачинского сельского поселения (далее – Администрация), меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн.
3.2. Целью настоящего документа является превентивная защита элементов ИСПДн от предотвращения потери защищаемой информации.
3.3. Задачей данной Инструкции является:
определение мер защиты от потери информации;
определение действий восстановления в случае потери информации.
3.4. Действие настоящей Инструкции распространяется на всех пользователей Администрации, имеющих доступ к ресурсам ИСПДн, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:
системы жизнеобеспечения;
системы обеспечения отказоустойчивости;
системы резервного копирования и хранения данных;
системы контроля физического доступа.
3.5. Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного раза в два года.
3.6. Ответственным сотрудником за реагирование на инциденты безопасности, приводящие к потере защищаемой информации, назначается оператор ИСПДн.
3.7. Ответственным сотрудником за контроль обеспечения мероприятий по предотвращению инцидентов безопасности, приводящих к потере защищаемой информации, назначается администратор безопасности средств защиты персональных данных (далее – Администратор безопасности).
IV. Порядок реагирования на инцидент
4.1. В настоящем документе под Инцидентом понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн, а так же потерей защищаемой информации.
4.2. Происшествие, вызывающее инцидент, может произойти:
В результате непреднамеренных действий пользователей.
В результате преднамеренных действий пользователей и третьих лиц.
В результате нарушения правил эксплуатации технических средств ИСПДн.
В результате возникновения внештатных ситуаций и обстоятельств непреодолимой силы.
4.3. Все действия в процессе реагирования на Инцидент должны документироваться ответственным за реагирование сотрудником в «Журнале по учету мероприятий по контролю».
4.4. В кратчайшие сроки, не превышающие одного рабочего дня, Администратор безопасности предпринимает меры по восстановлению работоспособности.
V. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении инцидентов
5.1. Технические меры.
К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения Инцидентов, такие как:
системы жизнеобеспечения (!);
системы обеспечения отказоустойчивости;
системы резервного копирования и хранения данных;
системы контроля физического доступа.
5.2. Системы жизнеобеспечения ИСПДн включают:
пожарные сигнализации и системы пожаротушения;
системы вентиляции и кондиционирования;
системы резервного питания.
5.3. Все критичные помещения Администрации (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожаротушения.
5.4. Для выполнения требований по эксплуатации (температура, относительная влажность воздуха) программно-аппаратных средств ИСПДн в помещениях, где они установлены, должны применяться системы вентиляции и кондиционирования воздуха.
5.5. Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИСПДн, сетевое и коммуникационное оборудование, а также наиболее критичные рабочие станции должны подключаться к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания:
локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных компьютеров;
источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения;
дублированные системы электропитания в устройствах;
резервные линии электропитания в пределах комплекса зданий (!);
аварийные электрогенераторы (!).
Системы обеспечения отказоустойчивости:
кластеризация;
технология RAID.
5.6. Для обеспечения отказоустойчивости критичных компонентов ИСПДн при сбое в работе оборудования и их автоматической замены без простоев должны использоваться методы кластеризации. Для наиболее критичных компонентов ИСПДн должны использоваться территориально удаленные системы кластеров.
5.7. Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, применяющие дублирование данных, хранимых на дисках.
5.8. Система резервного копирования и хранения данных, должна обеспечивать хранение защищаемой информации на твердый носитель (ленту, жесткий диск и т.п.).
VI. Организационные меры
6.1. Резервное копирование и хранение данных должно осуществлять на периодической основе:
для обрабатываемых персональных данных – не реже раза в неделю;
для технологической информации – не реже раза в месяц;
эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы ИСПДн – не реже раза в месяц, и каждый раз при внесении изменений в эталонные копии (выход новых версий).
6.2. Данные о проведение процедуры резервного копирования, должны отражаться в специально созданном журнале учета.
6.3. Носители, на которые произведено резервное копирование, должны быть пронумерованы: номером носителя, датой проведения резервного копирования.
6.4. Носители должны храниться в несгораемом шкафу или помещении оборудованном системой пожаротушения.
6.5. Носители должны храниться не менее года, для возможности восстановления данных.
VII. Ответственность
7.1. Ответственность за поддержание установленного в настоящей Инструкции порядка проведения резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в ИСПДн возлагается на Администратора безопасности.
УТВЕРЖДЕН
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83 -271-13-02-01-04
Журнал учета съемных носителей персональных данных
№п/п
Регистрационный номер/дата
Тип/ёмкость машинного носителя персональных данных
Номер экземпляра/количество экземпляров
Место установки (использования)/дата установки
Ответственное должностное лицо (ФИО)
Расписка в получении (ФИО, подпись, дата)
Расписка в обратном приеме (ФИО, подпись, дата)
Место хранения машинного носителя персональных данных
Сведения об уничтожении машинных носителей персональных данных, стирании информации (подпись, дата)
1
2
3
4
5
6
7
8
9
10
УТВЕРЖДЕН
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83 -271-13-02-01-04
Журнал учета ключевых носителей
Журнал начат «____» ___________________ 201__ г. Журнал завершен «____» ___________________ 201__ г.
Должность Должность
______________________ / ФИО должностного лица / ______________________ / ФИО должностного лица/
На _____ листах
№
п/п
Номера экземпляров (криптографические номера) ключевых документов
Номера серий криптогра-фических ключей
Наименование
СКЗИ
Отметка о получении
Отметка о выдаче
Отметка об уничтожении ключевых документов
От кого получе
ны
Дата и номер сопроводи- тельного письма
Ф.И.О.
пользователя
Дата
Дата уничтожения
Ф.И.О. пользователя
СКЗИ, производившего уничтожение
Номер акта или расписка об уничтожении
1
2
3
4
5
6
УТВЕРЖДЕН
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83 -271-13-02-01-04
Перечень муниципальных автоматизированных информационных систем персональных данных администрации Ергачинского сельского поселения
№ п/п
Название АС (ИСПДн)
Класс системы
Тип обработки ПДн
Состав серверного и прикладного ПО
Защищаемые информационные ресурсы ПДн
Описание каналов передачи данных
Структура
Местонахождение ИСПДн
Кол-во АРМ
Кол-во серверов
Операционная система
Серверное и прикладное ПО
1
Бухгалтерская программа «1С: Зарплата и кадры»
К3
Многопользовательская, с разграничением прав
1
0
Windows7
Проприетарная файловая СУБД, ПО «1С: Зарплата и кадры»
База данных
АРМ без подключения к ЛВС и без подключения к Internet
Локальная
Кунгурский район, п.Ергач, ул. Трактовая, д.1
УТВЕРЖДЕН
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
ТЕХНИЧЕСКИЙ ПАСПОРТ
Информационной системы персональных данных
«_________________________________________»
Общие сведения об ИСПДн.
1.1. Наименование ИСПДн: «_______________________________»
1.2. Физическое расположение ИСПДн: Кунгурский район, п.Ергач, ул.Трактовая, д.1
1.3. Частная модель угроз безопасности ПДн в ИСПДн утверждена __.__.201_ г.
1.4. Класс ИСПДн: K3 (акт классификации ИСПДн №_____от __.__.201_ г)
1.5. Перечень ПДн, обрабатываемых в ИСПДн
Таблица 1
П Е Р Е Ч Е Н Ь
персональных данных, обрабатываемых в ИСПДн
№ п/п
Наименование персональных данных
Категория ПДн
Цель обработки ПДн в рамках ИСПДн
1.
Персональные данные работников
1.1
Первичные учетные данные работников
К3
Учет работников, осуществление процессов согласно трудовому законодательству РФ
1.2
Сведения о занимаемой должности
К3
Поддержание иерархичности отношений между работниками, осуществление процессов согласно трудовому законодательству РФ
1.3
Финансовое состояние работника
К3
Осуществление налоговых отчислений, осуществление процессов согласно трудовому законодательству РФ
1.4
Сведения о реквизитах работника
К3
Осуществление процессов согласно трудовому законодательству РФ
1.5
Дополнительные сведения о работнике
К3
Выплата льгот, осуществление процессов согласно трудовому законодательству РФ
Технологические процессы обработки ПДн, используемые в ИСПДн.
Таблица 2
П Е Р Е Ч Е Н Ь
технологических процессов обработки ПДн, используемых в ИСПДн
№ п/п
Наименование технологического процесса
1.
Прием сотрудника на работу
2.
Увольнение работника
3.
Начисление работнику зарплаты
4.
Начисление работнику премии
Состав оборудования системы.
3.1. Состав основных технический средств и систем (ОТСС):
Таблица 3
П Е Р Е Ч Е Н Ь
основных технических средств и систем, входящих в состав ИСПДн
№
п/п
Тип ОТСС
Программные и технические характеристики
Место установки
Кол-во, шт.
1
2
3
4
5
6
3.2. Состав вспомогательных технических средств и систем (ВТСС):
Таблица 4
П Е Р Е Ч Е Н Ь
вспомогательных технических средств, входящих в состав ИСПДн «____________»
(средств вычислительной техники, не участвующих в обработке персональных данных)
№
п/п
Наименование и тип ВТСС
Место установки
Кол-во, шт.
Примечание
1
Стационарный телефонный аппарат
2
Факс
3
Система охранной и пожарной сигнализации
4
Сплит-система кондиционирования воздуха
3.3. Структура, топология и размещение ОТСС относительно границ контролируемой зоны объекта указаны в Приложении 1 и Приложении 2.
3.4. Состав средств защиты информации:
1
Таблица 5
ПЕРЕЧЕНЬ
средств защиты информации, установленных в ИСПДн«________________________»
№
п/п
Наименование и тип технического средства
Сведения о сертификате
Место установки
1
2
3
АДМИНИСТРАЦИЯ ЕРГАЧИНСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ КУНГУРСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ПОСТАНОВЛЕНИЕ
23.10.2020 №83-271-13-02-01-04
Об утверждении нормативных правовых актов по обработке и защите персональных данных в администрации Ергачинского сельского поселения
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», подпунктом «б» пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211, постановлением Правительства от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Администрация Ергачинского сельского поселения ПОСТАНОВЛЯЕТ:
Утвердить прилагаемые:
1) Положение об обработке и защите персональных данных;
2) Инструкцию по порядку учёта, хранения и уничтожения съемных носителей персональных данных в администрации Ергачинского сельского поселения;
3) Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в администрации Ергачинского сельского поселения;
4) Форму согласия на обработку персональных данных;
5) Форму обязательства муниципального служащего администрации Ергачинского сельского поселения, в случае расторжения с ним трудового договора, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
6) Перечень должностей муниципальной службы администрации Ергачинского сельского поселения, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
7) Перечень должностей муниципальной службы администрации Ергачинского сельского поселения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
8) Список помещений, предназначенных для обработки персональных данных (далее – ПДн) согласно приложению 3;
9) Руководство пользователя по обеспечению безопасности ИСПДн в администрации Ергачинского сельского поселения;
10) Руководство администратора по обеспечению безопасности ИСПДн в администрации Ергачинского сельского поселения;
11) Журналы учета:
съемных носителей персональных данных;
ключевых носителей.
12) Перечень муниципальных автоматизированных информационных систем персональных данных администрации Ергачинского сельского поселения;
13) Технический паспорт информационной системы персональных данных.
2. Назначить ответственным за организацию обработки персональных данных в администрации Ергачинского сельского поселения Демагину О.П. - ведущего специалиста аппарата администрации.
3. Опубликовать (обнародовать) настоящее постановление в соответствии с Уставом муниципального образования «Ергачинское сельское поселение» Кунгурского муниципального района Пермского края.
4. Контроль за исполнением постановления оставляю за собой.
Глава Ергачинского сельского поселения Р.М.Файзуллин
УТВЕРЖДЕНО
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83 -271-13-02-01-04
ПОЛОЖЕНИЕ
об обработке и защите персональных данных
в администрации Ергачинского сельского поселения
I. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет:
правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
правила рассмотрения запросов субъектов персональных данных или их представителей;
правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами;
перечни персональных данных, обрабатываемых в связи с реализацией служебных или трудовых отношений, а также в связи с предоставлением муниципальных услуг и осуществлением муниципальных функций;
порядок доступа в помещения, в которых ведется обработка персональных данных.
1.2. Положение определяет деятельность администрации Ергачинского сельского поселения как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.3. Обработка персональных данных в администрации Ергачинского сельского поселения осуществляется с соблюдением принципов и условий, предусмотренных Положением и законодательством Российской Федерации в сфере персональных данных.
1.4. Положение распространяется на обработку и защиту персональных данных в администрации Ергачинского сельского поселения.
II. Процедуры, направленные на выявление и
предотвращение нарушений законодательства Российской Федерации
в сфере персональных данных
2.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в администрации Ергачинского сельского поселения используются следующие процедуры:
2.1.1. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
2.1.2. Оценка вреда, который может быть причинен субъектам персональных данных;
2.1.3. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящим Положением и (или) обучение по соответствующим дополнительным профессиональным программам;
2.1.4. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в сфере персональных данных;
2.1.5. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2.1.6. Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
III. Цели обработки персональных данных
3.1. В администрации Ергачинского сельского поселения персональные данные могут обрабатываться для:
3.1.1. осуществления статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных»;
3.1.2. обеспечения доступа неограниченного круга лиц к общедоступным персональным данным, который предоставлен субъектом персональных данных либо по просьбе субъекта персональных данных;
3.1.3. выполнения возложенных на администрацию Ергачинского сельского поселения функций и полномочий.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
3.3. Обработка персональных данных, несовместимых с целями сбора персональных данных, указанными в пункте 3.1 Положения, не допускается.
3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным в пункте 3.1 Положения целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
IV. Условия и порядок обработки персональных данных
муниципальных служащих администрации
Ергачинского сельского поселения
4.1. Персональные данные муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрации Ергачинского сельского поселения, обрабатываются в целях осуществления кадровой работы, в том числе содействия муниципальным служащим в прохождении муниципальной службы, работы, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности муниципальных служащих, включая членов их семей, обеспечения муниципальным служащим установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.
4.2. В администрации Ергачинского сельского поселения обрабатываются следующие категории персональных данных:
4.2.1. Фамилия, имя, отчество, дата и место рождения, гражданство;
4.2.2. Прежние фамилия, имя, отчество, дата, место рождения (в случае изменения);
4.2.3. Владение иностранными языками и языками народов Российской Федерации;
4.2.4. Образование (когда и какие образовательные организации окончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);
4.2.5. Выполняемая работа с начала трудовой деятельности (в том числе военная служба, работа по совместительству, предпринимательская деятельность);
4.2.6. Классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены);
4.2.7. Государственные награды, иные награды и знаки отличия (кем награжден и когда);
4.2.8. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
4.2.9. Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
4.2.10. Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен);
4.2.11. Пребывание за границей (когда, где, с какой целью);
4.2.12. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);
4.2.13. Адрес регистрации и фактического проживания, дата регистрации по месту жительства;
4.2.14. Вид, серия, номер документа, удостоверяющего личность на территории Российской Федерации, наименование органа, выдавшего его, дата выдачи;
4.2.15. Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);
4.2.16. Номер контактного телефона или сведения о других способах связи;
4.2.17. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
4.2.18. Идентификационный номер налогоплательщика;
4.2.19. Номер страхового свидетельства обязательного пенсионного страхования;
4.2.20. Реквизиты полиса обязательного медицинского страхования;
4.2.21. Реквизиты свидетельств государственной регистрации актов гражданского состояния;
4.2.22. Наличие (отсутствие) судимости;
4.2.23. Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата);
4.2.24. Наличие (отсутствие) заболевания, препятствующего поступлению на муниципальную службу Российской Федерации или ее прохождению, подтвержденного заключением медицинского учреждения;
4.2.25. Наличие (отсутствие) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденное заключением медицинского учреждения;
4.2.26. Сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, имуществе обязательствах имущественного характера супругов и несовершеннолетних детей;
4.2.27. Номер индивидуального лицевого счета, дата его открытия, номер банковской карты;
4.2.28. Иные персональные данные, необходимые для достижения целей, указанных в пункте 4.1 Положения.
4.3. Обработка персональных данных муниципальных служащих, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется без их согласия в рамках целей, указанных в пункте 4.1 Положения, на основании пунктов 2, 3, 11 части 1 статьи 6 Федерального закона «О персональных данных».
4.4. Обработка специальных категорий персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется без их согласия в рамках целей, указанных в пункте 4.1 Положения, на основании пунктов 2, 2.3, 3, 4, 6, 7, 8 части 2 и части 3 статьи 10 Федерального закона «О персональных данных», за исключением случаев получения персональных данных у третьей стороны.
4.5. Обработка персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется при условии получения согласия указанных лиц в следующих случаях:
4.5.1. При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации о муниципальной службе и трудовым законодательством;
4.5.2. При трансграничной передаче персональных данных;
4.5.3. При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
4.6. В случаях, предусмотренных пунктом 4.5 Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».
4.7. Обработка персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется соответствующими актами администрации Ергачинского сельского поселения муниципальными служащими и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется путем:
4.8.1. Получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в администрацию Ергачинского сельского поселения);
4.8.2. Копирования оригиналов документов;
4.8.3. Внесения сведений в учетные формы;
4.8.4. Формирования персональных данных в ходе кадровой работы;
4.8.5. Внесения персональных данных в информационные системы (при наличии);
4.8.6. Получения персональных данных непосредственно от муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения.
4.9. В случае возникновения необходимости получения персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, у третьей стороны следует известить об этом заранее муниципального служащего администрации Ергачинского сельского поселения, гражданина, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, получить письменное согласие и сообщить о целях и способах получения персональных данных.
4.10. Запрещается получать, обрабатывать и приобщать к личному делу муниципального служащего администрации Ергачинского сельского поселения персональные данные, не предусмотренные пунктом 4.2 Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
4.11. При сборе персональных данных ведущий специалист аппарата администрации, осуществляющий сбор (получение) персональных данных непосредственно от муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом.
4.12. Передача (распространение, предоставление) и использование персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, осуществляется лишь в случаях и в порядке, предусмотренных Федеральными законами.
V. Условия обезличивания персональных данных
5.1. Обезличивание персональных данных проводится с целью снижения ущерба от разглашения защищаемых персональных данных и снижения требований к защите информационной системы персональных данных.
5.2. Обезличивание персональных данных также осуществляется по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
5.3. Способы обезличивания при условии дальнейшей обработки персональных данных:
уменьшение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
замена численных значений минимальным, средним или максимальным значением;
понижение точности некоторых сведений;
деление сведений на части и обработка их в разных информационных системах;
другие способы.
5.4. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
5.5. Для обезличивания персональных данных применяются любые способы, явно не запрещенные законодательством.
5.6. Муниципальные служащие, осуществляющие обработку персональных данных, несут ответственность за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
5.7. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
5.8. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
5.8.1. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
парольной политики;
антивирусной политики;
правил работы со съемными носителями (если они используются);
правил резервного копирования;
правил доступа в помещения, где расположены элементы информационных систем.
5.8.2. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
правил хранения бумажных носителей;
правил доступа к ним и в помещения, где они хранятся.
VI. Условия и порядок обработки персональных данных
субъектов в связи с предоставлением муниципальных услуг
и исполнением муниципальных функций
6.1. В администрации Ергачинского сельского поселения обработка персональных данных субъектов персональных данных может осуществляться в целях предоставления муниципальных услуг и исполнения муниципальных функций.
6.2. Персональные данные субъектов персональных данных, обратившихся в администрацию Ергачинского сельского поселения лично, а также направивших индивидуальные или коллективные письменные обращения (запросы) или обращения (запросы) в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений (запросов) с последующим уведомлением о результатах рассмотрения.
6.3. Обработка персональных данных, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона «О персональных данных».
6.4. Обработка персональных данных, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, осуществляется специалистами администрации Ергачинского сельского поселения, предоставляющих соответствующие муниципальные услуги и (или) исполняющими муниципальные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в администрацию Ергачинского сельского поселения для получения муниципальной услуги или в целях исполнения муниципальной функции, осуществляется путем:
6.5.1. Получения оригиналов необходимых документов (заявление);
6.5.2. Заверения копий документов;
6.5.3. Внесения сведений в учетные формы (на бумажных и электронных носителях).
6.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных.
6.7. При сборе персональных данных специалистами администрации Ергачинского сельского поселения, осуществляющие получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением муниципальной услуги или в связи с исполнением муниципальной функции, обязаны разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
6.8. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) администрацией Ергачинского сельского поселения осуществляется лишь в случаях и в порядке, предусмотренных Федеральными законами.
VII. Порядок обработки персональных данных субъектов
персональных данных в информационных системах
7.1. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах органов и подведомственных организаций, осуществляется в соответствии с постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
7.2. Специалистам администрации Ергачинского сельского поселения имеющим право осуществлять обработку персональных данных в информационных системах администрации Ергачинского сельского поселения (при наличии информационных систем), предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными регламентами (должностными инструкциями) муниципальных служащих (должностными обязанностями работников).
Информация может вноситься как в автоматическом режиме, при получении персональных данных с Единого портала государственных и муниципальных услуг (функций) или официального сайта администрации Ергачинского сельского поселения в сети Интернет, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
7.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах администрации Ергачинского сельского поселения, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
7.3.1. Определение угроз безопасности персональных данных при их обработке в информационных системах;
7.3.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законодательством Российской Федерации уровни защищенности персональных данных;
7.3.3. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
7.3.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
7.3.5. Учет машинных носителей персональных данных;
7.3.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
7.3.7. Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
7.3.8. Установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах;
7.3.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
7.4. В случае выявления нарушений порядка обработки персональных данных специалистами администрации Ергачинского сельского поселения незамедлительно принимаются меры по установлению причин нарушений и их устранению.
VIII. Сроки обработки и хранения персональных данных
8.1. Сроки обработки и хранения персональных данных муниципальных служащих администрации Ергачинского сельского поселения, граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, определяются в соответствии с законодательством Российской Федерации.
С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения персональных данных:
8.1.1. Персональные данные, содержащиеся в распоряжениях по личному составу муниципальных служащих администрации с Ергачинского сельского поселения (о приеме, переводе, поощрении, увольнении), подлежат хранению в архиве администрации Ергачинского сельского поселения в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;
8.1.2. Персональные данные, содержащиеся в личных делах муниципальных служащих администрации Ергачинского сельского поселения, а Ергачинского также в личных карточках муниципальных служащих администрации сельского поселения, хранятся в архиве администрации Ергачинского сельского поселения в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;
8.1.3. Персональные данные, содержащиеся в распоряжениях по основной деятельности муниципальных служащих администрации Ергачинского сельского поселения, подлежат постоянному хранению в порядке, предусмотренном законодательством Российской Федерации;
8.1.4. Персональные данные, содержащиеся в распоряжениях о предоставлении очередных и учебных отпусков, дежурствах, краткосрочных командировках, взысканиях муниципальных служащих администрации с Ергачинского сельского поселения, подлежат хранению в архиве администрации Ергачинского сельского поселения в течение пяти лет;
8.1.5. Персональные данные, содержащиеся в документах граждан, претендующих на замещение должностей в администрацию Ергачинского сельского поселения, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в соответствующих структурных подразделениях в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.
8.2. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в администрацию Ергачинского сельского поселения в связи с получением муниципальных услуг и исполнением муниципальных функций, указанных в пункте 8.1 Положения, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
8.3. Персональные данные граждан, обратившихся в администрацию с Ергачинского сельского поселения лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
8.4. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением администрацией Ергачинского сельского поселения муниципальных услуг и исполнением муниципальных функций, хранятся на бумажных носителях в администрации Ергачинского сельского поселения.
8.5. Если сроки хранения персональных данных не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели их обработки и хранения.
8.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
8.7. Специалисты администрации Ергачинского сельского поселения обеспечивают раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Положением.
8.8. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляет глава Ергачинского сельского поселения.
8.9. Срок хранения персональных данных, внесенных в информационную систему администрации с Ергачинского сельского поселения, указанную в пункте 7.1 Положения, должен соответствовать сроку хранения бумажных оригиналов.
IX. Порядок уничтожения персональных данных
при достижении целей обработки или при наступлении иных
законных оснований
9.1. Специалист администрации Ергачинского сельского поселения, ответственный за документооборот, осуществляет систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
9.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии администрации Ергачинского сельского поселения (далее – комиссия), состав которой утверждается распоряжением администрации Ергачинского сельского поселения.
По итогам заседания составляются протокол и акт о выделении к уничтожению документов с указанием уничтожаемых дел и их количества, проверяется их комплектность, акт подписывается председателем и членами экспертной комиссии и утверждается главой Ергачинского сельского поселения.
9.3. Специалист администрации Ергачинского сельского поселения, ответственный за архивную деятельность, организует работу по уничтожению документов, содержащих персональные данные.
9.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
9.5. По итогам уничтожения дел (на бумажном и (или) электронном носителях) в акт о выделении к уничтожению документов вносится соответствующая запись.
X. Рассмотрение запросов субъектов персональных данных
или их представителей
10.1. Муниципальные служащие администрации Ергачинского сельского поселения, граждане, претендующие на замещение должностей в администрации Ергачинского сельского поселения, а также граждане, персональные данные которых обрабатываются в администрации Ергачинского сельского поселения, в связи с предоставлением муниципальных услуг и осуществлением муниципальных функций, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
10.1.1. Подтверждение факта обработки персональных данных;
10.1.2. Правовые основания и цели обработки персональных данных;
10.1.3. Применяемые способы обработки персональных данных;
10.1.4. Наименование и местонахождение администрации Ергачинского сельского поселения, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании Федерального закона;
10.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
10.1.6. Сроки обработки персональных данных, в том числе сроки их хранения;
10.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
10.1.8. Информацию об осуществленной или предполагаемой трансграничной передаче данных;
10.1.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению администрации Ергачинского сельского поселения, если обработка поручена или будет поручена такой организации или лицу;
10.1.10. Иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
10.2. Субъекты персональных данных, указанные в пункте 10.1 Положения, вправе требовать от администрации Ергачинского сельского поселения уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.3. Сведения, указанные в подпунктах 10.1.1 - 10.1.10 пункта 10.1 Положения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
10.4. Сведения, указанные в подпунктах 10.1.1 - 10.1.10 пункта 10.1 Положения, предоставляются субъекту персональных данных или его представителю специалистам администрации Ергачинского сельского поселения, осуществляющие обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:
10.4.1. Номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
10.4.2. Сведения, подтверждающие участие субъекта персональных данных в правоотношениях с администрацией Ергачинского сельского поселения, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10.5. В случае, если сведения, указанные в подпунктах 10.1.1 - 10.1.8 пункта 10.1 Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в администрацию Ергачинского сельского поселения или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.6. Субъект персональных данных вправе обратиться повторно в администрацию Ергачинского сельского поселения или направить повторный запрос в целях получения сведений, указанных в подпунктах 10.1.1 - 10.1.8 пункта 10.1 Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 8.5 Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8.4 Положения, должен содержать обоснование направления повторного запроса.
10.7. Администрация Ергачинского сельского поселения вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 10.5 и 10.6 Положения с мотивированным указанием причин отказа.
10.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
XI. Порядок доступа в помещения, в которых ведется обработка
персональных данных
11.1. Персональные данные субъектов персональных данных хранятся в администрации Ергачинского сельского поселения.
11.2. Автоматизированные рабочие места информационных систем персональных данных размещены в администрации Ергачинского сельского поселения.
11.3. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.
11.4. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.
Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
11.5. Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится муниципальными служащими администрации Ергачинского сельского поселения, имеющими право доступа в данные помещения.
11.6. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня муниципальные служащие, имеющие право доступа в помещения, обязаны:
убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть шкафы;
отключить технические средства (кроме постоянно действующей техники) и электроприборы, выключить освещение;
закрыть окна;
закрыть двери.
11.7. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только муниципальные служащие, непосредственно работающие в данном помещении.
Иные муниципальные служащие имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии муниципальных служащих, непосредственно работающих в данных помещениях.
11.8. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты.
11.9. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии муниципального служащего, работающего в данном помещении.
11.10. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на муниципальных служащих, обрабатывающих персональные данные.
Приложение 1
к Положению об обработке и защите персональных данных
Начат «___» _________ ____ г.
Окончен «___» ________ ____ г.
На _______________ листах
ЖУРНАЛ
учета электронных носителей персональных данных
Учетный номер
Дата постановки на учет
Вид электронного носителя,
место его хранения (размещения)
Ответственный за использование и хранение
Ф.И.О.
подпись
дата
1
2
3
4
5
6
Приложение 2
к Положению об обработке и защите персональных данных
АКТ №
классификации информационной системы персональных данных
«________________________________________________»
(Название ИСПДн)
В соответствии с постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 11 февраля 2013года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и распоряжением администрации Ергачинского сельского поселения «О создании комиссии по классификации информационных систем персональных данных» от «___» ___________ № ___________________________________
комиссия в составе:
председатель комиссии:
должность Ф.И.О.,
члены комиссии:
должность Ф.И.О.,
должность Ф.И.О.,
произвела сбор данных об информационной системе персональных данных (далее – ИСПДн) и установила нижеследующее:
1) в ИСПДн обрабатываются персональные данные сотрудников оператора;
2) в ИСПДн одновременно обрабатываются персональные данные менее чем 10000 субъектов персональных данных;
3) по структуре ИСПДн относится к локальной информационной системе, состоящей из нескольких АРМ и серверов;
4) по наличию подключений к сетям международного информационного обмена (Интернет) информационная система относится к системам, не имеющим подключения;
5) по режиму обработки персональных данных в информационной системе ИСПДн относится к многопользовательским;
6) по разграничению прав доступа пользователей ИСПДн относится к системам с разграничением прав доступа;
7) в зависимости от местонахождения технических средств ИСПДн относится к системам, технические средства которых размещены в Российской Федерации;
8) речевая обработка сведений, составляющих ПДн, в информационной системе не осуществляется;
9) условие обработки персональных данных – для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 10000 субъектов персональных данных, не являющихся сотрудниками оператора.
В соответствии с постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных информационной системе персональных данных «Название ИСПДн» установить уровень защищенности 4.
председатель комиссии:
Ф.И. О.
_____________________
«___»_________ 20___ г
члены комиссии:
Ф.И. О.
_____________________
«___»_________ 20___ г.
Ф.И. О.
_____________________
"___"_________ 201__ г
УТВЕРЖДЕНА
постановлением администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
______
Инструкция
по порядку учёта, хранения и уничтожения съемных носителей персональных данных в администрации Ергачинского сельского поселения
Общие положения
1.1. Настоящая Инструкция устанавливает порядок использования съемных носителей информации муниципальными служащими администрации Ергачинского сельского поселения (далее – Администрация) при работе с автоматизированными информационными системами персональных данных (далее – АИС ПДн).
1.2. Под АИС ПДн понимается такая автоматизированная информационная система, представляющая собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.3. Действие настоящей Инструкции распространяется на сотрудников Администрации, в рамках выполнения своих должностных обязанностей участвующих в обработке персональных данных.
1.4. Контроль исполнения требований настоящей Инструкции возлагается на главу Ергачинского сельского поселения (далее – Администратор безопасности).
II. Порядок использования носителей информации
2.1. Носитель информации – физическое лицо или материальный объект, в том числе физическое или информационное поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
2.2. Под использованием носителей информации в АИС ПДн понимается их подключение к инфраструктуре АИС ПДн с целью обработки, приема/передачи информации между АИС ПДн и носителями информации.
2.3. В АИС ПДн допускается использование только учтенных носителей информации, которые являются собственностью Администрации и подвергаются регулярной ревизии и контролю.
III. Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизации
3.1. Съемный носитель – носитель информации, предназначенный для ее автономного хранения и независимого от места записи использования (съемные винчестеры, флэш-память, оптические лазерные диски, дискеты).
3.2.Все находящиеся на хранении и в обращении съемные носители с персональными данными подлежат учёту.
3.3. Каждый съемный носитель с записанными на нем персональными данными должен иметь маркировку, на которой указывается его уникальный учетный номер.
3.4. Учет и выдачу съемных носителей персональных данных осуществляет Администратор безопасности. Факт выдачи съемного носителя фиксируется в журнале учета съемных носителей персональных данных.
3.5. Сотрудники получают учтенный съемный носитель от Администратора безопасности для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета. По окончании работ пользователь сдает съемный носитель для хранения Администратору безопасности, о чем делается соответствующая запись в журнале учета.
IV. Обязанности сотрудников при использовании съемных носителей
4.1. При использовании сотрудниками носителей персональных данных необходимо:
- соблюдать требования настоящей Инструкции;
- использовать носители информации исключительно для выполнения своих служебных обязанностей;
- ставить в известность Администратора безопасности о фактах нарушения требований настоящей Инструкции;
- бережно относиться к носителям персональных данных;
- обеспечивать физическую сохранность носителей персональных данных;
- извещать Администратора безопасности о фактах утраты (кражи) носителей персональных данных;
- перед началом использования съемного носителя на автоматизированном рабочем месте проверять носитель на наличие вредоносного программного кода с помощью антивирусного программного обеспечения.
4.2. При использовании носителей персональных данных запрещено:
- использовать носители персональных данных в личных целях;
- передавать носители персональных данных другим лицам (за исключением Администратора безопасности;
- хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
- выносить съемные носители персональных данных из служебных помещений для работы с ними на дому.
V. Порядок действий при выявлении фактов несанкционированных действий сотрудников при использовании, а также при утрате и уничтожении съемных носителей персональных данных
5.1. Обработка информации с использованием неучтенных носителей информации рассматривается как несанкционированная обработка. Администратор безопасности оставляет за собой право блокировать или ограничивать использование носителей информации.
5.2. В случае выявления фактов несанкционированного и/или нецелевого использования носителей персональных данных инициируется служебная проверка, проводимая комиссией.
5.3. По факту выясненных обстоятельств составляется Акт расследования инцидента и передается на рассмотрение в комиссию для принятия мер согласно (локальным) нормативным актам Администрации и действующему законодательству.
5.4. В случае утраты или уничтожения съемных носителей персональных данных либо разглашении содержащихся в них сведений немедленно ставится в известность Администратора безопасности. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей персональных данных.
5.5. Съемные носители персональных данных, пришедшие в негодность, подлежат уничтожению. Уничтожение съемных носителей персональных данных осуществляется комиссией, в состав которой входит Администратор безопасности. По результатам уничтожения носителей составляется акт. Типовая форма акта уничтожения приведена в Приложении 1 к настоящей Инструкции.
VI. Ответственность
6.1. Сотрудники, нарушившие требования настоящей Инструкции, несут ответственность в соответствии с действующим законодательством и нормативными актами Администрации.
Приложение 1
к Инструкции по порядку учёта, хранения и уничтожения съемных носителей персональных данных в администрации Ергачинского сельского поселения
АКТ
уничтожения съемных носителей персональных данных
Комиссия, назначенная распоряжением от ____________ № _______________ в составе:
____________________________________________________________________________________________________________________________________
(должности, ФИО)
провела отбор съемных носителей персональных данных, не подлежащих дальнейшему использованию:
№
п/п
Учетный номер съемного носителя
Примечание
1.
2.
Всего съемных носителей________________________(цифрами и прописью)
На съемных носителях уничтожены персональные данные путем стирания ее на устройстве гарантированного уничтожения информации (механического разрушения, сжигания и т.п.).
Перечисленные съемные носители уничтожены
__________________________________________________________________
путем (разрезания, демонтажа, механического разрушения и т.п.).
__________________________________________________________________
Председатель комиссии
Члены комиссии
(ФИО)
Подпись Дата
УТВЕРЖДЕНО
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
ПОЛОЖЕНИЕ
О разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в администрации Ергачинского сельского поселения
1. Настоящим Положением устанавливается уровень разграничения прав доступа к обрабатываемым персональным данным (далее – ПДн) в информационных системах персональных данных (далее – ИСПДн).
2. Разграничение прав осуществляется на основании Отчета по результатам проведения внутренней проверки, а так же исходя из характера и режима обработки персональных данных в конкретной ИСПДн.
3. В данном Положении утверждается список лиц ответственных за обработку ПДн в ИСПДн, а так же их уровень прав доступа к обрабатываемым персональным данным.
4. Настоящее Положение является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным.
УТВЕРЖДЕНА
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
Форма
___________________________________
(наименование должности руководителя)
______________________________________
(наименование государственного органа)
_____________________________________
(ФИО руководителя)
_____________________________________
(должность муниципального служащего)
_____________________________________
(ФИО муниципального служащего)
Согласие
на обработку персональных данных
Я, _______________________________________________________________,
(фамилия, имя, отчество)
зарегистрированный по адресу: ________________________________________
____________________________________________________________________,
основной документ, удостоверяющий личность ___________________________
____________________________________________________________________,
(наименование документа, удостоверяющего личность, серия и номер,
сведения о дате выдачи документа и выдавшем его органе)
даю согласие ____________________________________________________________________
(наименование муниципального органа)
___________________________________________________________________
(адрес муниципального органа)
на автоматизированную, а также без использования средств автоматизации обработку следующих моих персональных данных, а именно – совершение действий, предусмотренных пунктом 3 части 1 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», содержащихся в настоящем заявлении, в целях обеспечения соблюдения законодательства о муниципальной службе, трудового законодательства и иных нормативных правовых актов, содействия в трудоустройстве, формирования кадрового резерва на муниципальную службу Пермского края, а именно:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и(или) отчества в случае их изменения); число, месяц, год рождения; место рождения; информация о гражданстве (в том числе предыдущие гражданства, иные гражданства); вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона или сведения о других способах связи; реквизиты страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; реквизиты страхового медицинского полиса обязательного медицинского страхования; реквизиты свидетельства государственной регистрации актов гражданского состояния; информация о семейном положении, составе семьи, близких родственниках (в том числе бывших); сведения о трудовой деятельности; сведения о воинском учете и реквизиты документов воинского учета; сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании); сведения об ученой степени; медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению; фотография; сведения о прохождении государственной гражданской службы; информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту; сведения о пребывании за границей; информация о классном чине муниципальной службы; информация о наличии или отсутствии судимости; информация об оформленных допусках к государственной тайне; информация о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; сведения о доходах, об имуществе и обязательствах имущественного характера, сведения о расходах; иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 4.2 Положения об обработке и защите персональных данных.
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме в случаях, предусмотренных действующим законодательством.
Об ответственности за достоверность представленных сведений предупрежден(а).
«___» ____________ 20___ г. ___________ _____________________
(дата) (подпись) (расшифровка подписи)
УТВЕРЖДЕНО
постановлением
администрации Ергачинского
сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
ФОРМА
ОБЯЗАТЕЛЬСТВО
муниципального служащего администрации
Ергачинского сельского поселения, в случае расторжения с ним трудового договора, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей
Я, _________________________________________________________________,
(фамилия, имя, отчество)
____________________________________________________________________
(должность)
____________________________________________________________________,
обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной трудового контракта, освобождения меня от замещаемой должности и увольнения с муниципальной службы.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.
Ответственность, предусмотренная Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими федеральными законами, мне разъяснена.
"___" ____________ 20___ г. ___________ _____________________
(дата) (подпись) (расшифровка подписи)
УТВЕРЖДЕН
постановлением
администрации Ергачинского
сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
Перечень должностей муниципальной службы администрации Ергачинского сельского поселения, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
Ведущий специалист аппарата администрации
Ведущий специалист по имуществу, землеустройству и градостроительству
Ведущий специалист по экономике и финансам
УТВЕРЖДЕН
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
Перечень должностей муниципальной службы администрации сельского Ергачинского поселения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
Ведущий специалист аппарата администрации
Ведущий специалист по имуществу, землеустройству и градостроительству
Ведущий специалист по экономике и финансам
УТВЕРЖДЕН
постановлением
администрации сельского Ергачинского поселения
от 23.10.2020 № 83-271-13-02-01-04
Список помещений,
предназначенных для обработки персональных данных
№
п/п
Наименование помещения
Адрес и место расположения
1
Кабинет ведущего специалиста аппарата администрации
Кунгурский район,
п.Ергач
ул. Трактовая, д.1 каб. 1
2
Кабинет ведущего специалиста по экономике и финансам
Кунгурский район,
п.Ергач,
ул. Трактовая,д.1 каб. 2
3
Кабинет ведущего специалиста по имуществу, землеустройству и градостроительству
Кунгурский район,
п.Ергач,
ул. Трактовая, д. 1, каб. 3
УТВЕРЖДЕНО
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
Руководство пользователя по обеспечению безопасности ИСПДн в администрации Ергачинского сельского поселения
I. Общие положения
1.1. Пользователь информационной системы персональных данных (далее – Пользователь) осуществляет обработку персональных данных (далее – ПДн) в информационной системе персональных данных (далее – ИСПДн).
1.2. Пользователем является каждый специалист администрации Ергачинского сельского поселения, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.
1.3. Пользователь несет персональную ответственность за свои действия.
1.4. Пользователь в своей работе руководствуется настоящей инструкцией, Политикой информационной безопасности администрации Ергачинского сельского поселения, руководящими и нормативными документами ФСТЭК России и (соответствующими) регламентирующими документами администрации Ергачинского сельского поселения (если нужно, то тут указать наименования документов).
1.5. Методическое руководство работой пользователя осуществляется ответственным за обеспечение защиты персональных данных.
II. Должностные обязанности
Пользователь обязан:
2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
2.2. Выполнять на автоматизированном рабочем месте (далее – АРМ) только те процедуры, которые определены для него в Положении о разграничении прав доступа к обрабатываемым персональным данным.
2.3. Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а также руководящих и организационно-распорядительных документов.
2.4. Соблюдать требования парольной политики (раздел 3).
2.5. Соблюдать правила при работе в сетях общего доступа и (или) международного обмена – Интернет и других (раздел 4).
2.6. Экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, (шторы на оконных проемах должны быть завешаны (жалюзи закрыты)).
2.7. Обо всех выявленных нарушениях, связанных с информационной безопасностью администрации Ергачинского сельского поселения, а так же для получений консультаций по вопросам информационной безопасности, необходимо обратиться к ведущему специалисту аппарата администрации.
2.8. Для получения консультаций по вопросам работы и настройке элементов ИСПДн необходимо обращаться к Администратору ИСПДн.
2.9. Пользователям запрещается:
Разглашать защищаемую информацию третьим лицам.
Копировать защищаемую информацию на внешние носители без разрешения своего руководителя.
Самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств.
Несанкционированно открывать общий доступ к папкам на своей рабочей станции.
Запрещено подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства.
Отключать (блокировать) средства защиты информации.
Обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн.
Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн.
Привлекать посторонних лиц для ремонта или настройки АРМ без согласования с ответственным за обеспечение защиты персональных данных.
2.10. При отсутствии визуального контроля за рабочей станцией: доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш
2.11. Принимать меры по реагированию, в случае возникновения внештатных или аварийных ситуаций, с целью ликвидации их последствий в пределах возложенных на него функций.
III. Организация парольной защиты
3.1. Личные пароли доступа к элементам ИСПДн выдаются пользователям Администратором информационной безопасности или Администратором ИСПДн.
3.2. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в 6 месяцев.
3.3. Правила формирования пароля:
Пароль не может содержать имя учетной записи пользователя или какую-либо его часть.
Пароль должен состоять не менее чем из 6 символов.
В пароле должны присутствовать символы трех категорий из числа следующих четырех:
прописные буквы английского алфавита от A до Z;
строчные буквы английского алфавита от a до z;
десятичные цифры (от 0 до 9);
символы, не принадлежащие алфавитно-цифровому набору (например, !, $, #, %).
Запрещается использовать в качестве пароля имя входа в систему, простые пароли типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения своей личности и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе.
Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов.
Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.). Запрещается выбирать пароли, которые уже использовались ранее.
3.4. Правила ввода пароля:
Ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан.
Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).
3.5. Правила хранение пароля:
Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах.
Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
3.6. Лица, использующие паролирование, обязаны:
- четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию;
- своевременно сообщать Администратору информационной безопасности об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.
IV. Правила работы в сетях общего доступа и
(или) международного обмена
4.1. Работа в сетях общего доступа и (или) международного обмена (сети Интернет и других) (далее – Сеть) на элементах ИСПДн, должна проводиться при служебной необходимости.
4.2. При работе в Сети запрещается:
Осуществлять работу при отключенных средствах защиты (антивирус, брандмауэр).
Передавать по Сети защищаемую информацию без использования средств защиты каналов связи.
Запрещается скачивать из Сети программное обеспечение и другие файлы.
Запрещается посещение сайтов сомнительной репутации (порно сайты, сайты, содержащие нелегально распространяемое ПО и другие).
Запрещается нецелевое использование подключения к сети.
УТВЕРЖДЕНО
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
Руководство администратора по обеспечению безопасности ИСПДн в администрации Ергачинского сельского поселения
I. Общие положения
1.1. Администратор в своей работе руководствуется настоящей инструкцией, Политикой информационной безопасности администрации Ергачинского сельского поселения, руководящими и нормативными документами ФСТЭК России и (соответствующими) регламентирующими документами администрации Ергачинского сельского поселения (если нужно, то указать наименование).
1.2. Администратор отвечает за обеспечение устойчивой работоспособности элементов ИСПДн и средств защиты, при обработке персональных данных.
1.3. Методическое руководство работой Администратора осуществляется ответственным за обеспечение защиты персональных данных.
II. Должностные обязанности
Администратор обязан:
2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
2.2. Обеспечивать установку, настройку и своевременное обновление элементов ИСПДн:
программного обеспечения автоматизированных рабочих мест (далее – АРМ) и серверов (операционные системы, прикладное и специальное программное обеспечение);
аппаратных средств;
аппаратных и программных средств защиты.
2.3. Обеспечивать работоспособность элементов ИСПДн и локальной вычислительной сети.
2.4. Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.
2.5. Обеспечивать функционирование и поддерживать работоспособность средств защиты в рамках возложенных на него функций.
2.6. В случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе средств защиты информации, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.
2.7. Проводить периодический контроль принятых мер по защите в пределах возложенных на него функций.
2.8. Хранить, осуществлять прием и выдачу персональных паролей пользователей, осуществлять контроль за правильностью использования персонального пароля Оператором ИСПДн.
2.9. Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации.
2.10. Информировать ответственного за обеспечение защиты персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн.
2.11. Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн или средств защиты.
2.12. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки персональных данных, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации. Вышедшие из строя элементы и блоки средств вычислительной техники заменяются на элементы и блоки, прошедшие специальные исследования и специальную проверку.
2.13. Присутствовать при выполнении технического обслуживания элементов ИСПДн сторонними физическими людьми и организациями.
2.14. Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.
2.15. Не допускать к работе на рабочих станциях и серверах структурного подразделения посторонних лиц.
2.16. Осуществлять контроль монтажа оборудования структурного подразделения специалистами сторонних организаций.
2.17. Участвовать в приемке для нужд структурного подразделения новых программных средств.
2.18. Обобщать результаты своей деятельности и готовить предложения по ее совершенствованию.
2.19. При изменении конфигурации автоматизированной системы (далее – АС) вносить соответствующие изменения в паспорт АС, обрабатывающей информацию ограниченного доступа.
III. Назначение и область действия
3.1. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации определяет действия (далее – Инструкция), связанные с функционированием информационных систем персональных данных (далее – ИСПДн) администрации Ергачинского сельского поселения (далее – Администрация), меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн.
3.2. Целью настоящего документа является превентивная защита элементов ИСПДн от предотвращения потери защищаемой информации.
3.3. Задачей данной Инструкции является:
определение мер защиты от потери информации;
определение действий восстановления в случае потери информации.
3.4. Действие настоящей Инструкции распространяется на всех пользователей Администрации, имеющих доступ к ресурсам ИСПДн, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:
системы жизнеобеспечения;
системы обеспечения отказоустойчивости;
системы резервного копирования и хранения данных;
системы контроля физического доступа.
3.5. Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного раза в два года.
3.6. Ответственным сотрудником за реагирование на инциденты безопасности, приводящие к потере защищаемой информации, назначается оператор ИСПДн.
3.7. Ответственным сотрудником за контроль обеспечения мероприятий по предотвращению инцидентов безопасности, приводящих к потере защищаемой информации, назначается администратор безопасности средств защиты персональных данных (далее – Администратор безопасности).
IV. Порядок реагирования на инцидент
4.1. В настоящем документе под Инцидентом понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн, а так же потерей защищаемой информации.
4.2. Происшествие, вызывающее инцидент, может произойти:
В результате непреднамеренных действий пользователей.
В результате преднамеренных действий пользователей и третьих лиц.
В результате нарушения правил эксплуатации технических средств ИСПДн.
В результате возникновения внештатных ситуаций и обстоятельств непреодолимой силы.
4.3. Все действия в процессе реагирования на Инцидент должны документироваться ответственным за реагирование сотрудником в «Журнале по учету мероприятий по контролю».
4.4. В кратчайшие сроки, не превышающие одного рабочего дня, Администратор безопасности предпринимает меры по восстановлению работоспособности.
V. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении инцидентов
5.1. Технические меры.
К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения Инцидентов, такие как:
системы жизнеобеспечения (!);
системы обеспечения отказоустойчивости;
системы резервного копирования и хранения данных;
системы контроля физического доступа.
5.2. Системы жизнеобеспечения ИСПДн включают:
пожарные сигнализации и системы пожаротушения;
системы вентиляции и кондиционирования;
системы резервного питания.
5.3. Все критичные помещения Администрации (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожаротушения.
5.4. Для выполнения требований по эксплуатации (температура, относительная влажность воздуха) программно-аппаратных средств ИСПДн в помещениях, где они установлены, должны применяться системы вентиляции и кондиционирования воздуха.
5.5. Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИСПДн, сетевое и коммуникационное оборудование, а также наиболее критичные рабочие станции должны подключаться к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания:
локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных компьютеров;
источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения;
дублированные системы электропитания в устройствах;
резервные линии электропитания в пределах комплекса зданий (!);
аварийные электрогенераторы (!).
Системы обеспечения отказоустойчивости:
кластеризация;
технология RAID.
5.6. Для обеспечения отказоустойчивости критичных компонентов ИСПДн при сбое в работе оборудования и их автоматической замены без простоев должны использоваться методы кластеризации. Для наиболее критичных компонентов ИСПДн должны использоваться территориально удаленные системы кластеров.
5.7. Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, применяющие дублирование данных, хранимых на дисках.
5.8. Система резервного копирования и хранения данных, должна обеспечивать хранение защищаемой информации на твердый носитель (ленту, жесткий диск и т.п.).
VI. Организационные меры
6.1. Резервное копирование и хранение данных должно осуществлять на периодической основе:
для обрабатываемых персональных данных – не реже раза в неделю;
для технологической информации – не реже раза в месяц;
эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы ИСПДн – не реже раза в месяц, и каждый раз при внесении изменений в эталонные копии (выход новых версий).
6.2. Данные о проведение процедуры резервного копирования, должны отражаться в специально созданном журнале учета.
6.3. Носители, на которые произведено резервное копирование, должны быть пронумерованы: номером носителя, датой проведения резервного копирования.
6.4. Носители должны храниться в несгораемом шкафу или помещении оборудованном системой пожаротушения.
6.5. Носители должны храниться не менее года, для возможности восстановления данных.
VII. Ответственность
7.1. Ответственность за поддержание установленного в настоящей Инструкции порядка проведения резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в ИСПДн возлагается на Администратора безопасности.
УТВЕРЖДЕН
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83 -271-13-02-01-04
Журнал учета съемных носителей персональных данных
№п/п
Регистрационный номер/дата
Тип/ёмкость машинного носителя персональных данных
Номер экземпляра/количество экземпляров
Место установки (использования)/дата установки
Ответственное должностное лицо (ФИО)
Расписка в получении (ФИО, подпись, дата)
Расписка в обратном приеме (ФИО, подпись, дата)
Место хранения машинного носителя персональных данных
Сведения об уничтожении машинных носителей персональных данных, стирании информации (подпись, дата)
1
2
3
4
5
6
7
8
9
10
УТВЕРЖДЕН
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83 -271-13-02-01-04
Журнал учета ключевых носителей
Журнал начат «____» ___________________ 201__ г. Журнал завершен «____» ___________________ 201__ г.
Должность Должность
______________________ / ФИО должностного лица / ______________________ / ФИО должностного лица/
На _____ листах
№
п/п
Номера экземпляров (криптографические номера) ключевых документов
Номера серий криптогра-фических ключей
Наименование
СКЗИ
Отметка о получении
Отметка о выдаче
Отметка об уничтожении ключевых документов
От кого получе
ны
Дата и номер сопроводи- тельного письма
Ф.И.О.
пользователя
Дата
Дата уничтожения
Ф.И.О. пользователя
СКЗИ, производившего уничтожение
Номер акта или расписка об уничтожении
1
2
3
4
5
6
УТВЕРЖДЕН
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83 -271-13-02-01-04
Перечень муниципальных автоматизированных информационных систем персональных данных администрации Ергачинского сельского поселения
№ п/п
Название АС (ИСПДн)
Класс системы
Тип обработки ПДн
Состав серверного и прикладного ПО
Защищаемые информационные ресурсы ПДн
Описание каналов передачи данных
Структура
Местонахождение ИСПДн
Кол-во АРМ
Кол-во серверов
Операционная система
Серверное и прикладное ПО
1
Бухгалтерская программа «1С: Зарплата и кадры»
К3
Многопользовательская, с разграничением прав
1
0
Windows7
Проприетарная файловая СУБД, ПО «1С: Зарплата и кадры»
База данных
АРМ без подключения к ЛВС и без подключения к Internet
Локальная
Кунгурский район, п.Ергач, ул. Трактовая, д.1
УТВЕРЖДЕН
постановлением
администрации Ергачинского сельского поселения
от 23.10.2020 № 83-271-13-02-01-04
ТЕХНИЧЕСКИЙ ПАСПОРТ
Информационной системы персональных данных
«_________________________________________»
Общие сведения об ИСПДн.
1.1. Наименование ИСПДн: «_______________________________»
1.2. Физическое расположение ИСПДн: Кунгурский район, п.Ергач, ул.Трактовая, д.1
1.3. Частная модель угроз безопасности ПДн в ИСПДн утверждена __.__.201_ г.
1.4. Класс ИСПДн: K3 (акт классификации ИСПДн №_____от __.__.201_ г)
1.5. Перечень ПДн, обрабатываемых в ИСПДн
Таблица 1
П Е Р Е Ч Е Н Ь
персональных данных, обрабатываемых в ИСПДн
№ п/п
Наименование персональных данных
Категория ПДн
Цель обработки ПДн в рамках ИСПДн
1.
Персональные данные работников
1.1
Первичные учетные данные работников
К3
Учет работников, осуществление процессов согласно трудовому законодательству РФ
1.2
Сведения о занимаемой должности
К3
Поддержание иерархичности отношений между работниками, осуществление процессов согласно трудовому законодательству РФ
1.3
Финансовое состояние работника
К3
Осуществление налоговых отчислений, осуществление процессов согласно трудовому законодательству РФ
1.4
Сведения о реквизитах работника
К3
Осуществление процессов согласно трудовому законодательству РФ
1.5
Дополнительные сведения о работнике
К3
Выплата льгот, осуществление процессов согласно трудовому законодательству РФ
Технологические процессы обработки ПДн, используемые в ИСПДн.
Таблица 2
П Е Р Е Ч Е Н Ь
технологических процессов обработки ПДн, используемых в ИСПДн
№ п/п
Наименование технологического процесса
1.
Прием сотрудника на работу
2.
Увольнение работника
3.
Начисление работнику зарплаты
4.
Начисление работнику премии
Состав оборудования системы.
3.1. Состав основных технический средств и систем (ОТСС):
Таблица 3
П Е Р Е Ч Е Н Ь
основных технических средств и систем, входящих в состав ИСПДн
№
п/п
Тип ОТСС
Программные и технические характеристики
Место установки
Кол-во, шт.
1
2
3
4
5
6
3.2. Состав вспомогательных технических средств и систем (ВТСС):
Таблица 4
П Е Р Е Ч Е Н Ь
вспомогательных технических средств, входящих в состав ИСПДн «____________»
(средств вычислительной техники, не участвующих в обработке персональных данных)
№
п/п
Наименование и тип ВТСС
Место установки
Кол-во, шт.
Примечание
1
Стационарный телефонный аппарат
2
Факс
3
Система охранной и пожарной сигнализации
4
Сплит-система кондиционирования воздуха
3.3. Структура, топология и размещение ОТСС относительно границ контролируемой зоны объекта указаны в Приложении 1 и Приложении 2.
3.4. Состав средств защиты информации:
1
Таблица 5
ПЕРЕЧЕНЬ
средств защиты информации, установленных в ИСПДн«________________________»
№
п/п
Наименование и тип технического средства
Сведения о сертификате
Место установки
1
2
3
Вопрос юристу
Поделитесь ссылкой на эту страницу:
