Основная информация
| Дата опубликования: | 07 мая 2018г. |
| Номер документа: | RU54000201800449 |
| Текущая редакция: | 2 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Новосибирская область |
| Принявший орган: | Министерство образования Новосибирской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
ПРИКАЗ
от 7 мая 2018 г. № 1098
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ПО ПРОВЕДЕНИЮ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
Во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», приказываю:
1. Утвердить прилагаемые:
1) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве образования Новосибирской области;
2) правила работы с обезличенными данными в министерстве образования Новосибирской области;
3) правила резервного копирования и восстановления информации, содержащей персональные данные, обрабатываемые с использованием средств вычислительной техники, в министерстве образования Новосибирской области;
4) правила внесения изменений в конфигурацию информационных систем и системы защиты информации министерства образования Новосибирской области.
5) правила хранения, использования и передачи персональных данных работников министерства образования Новосибирской области.
6) список должностей государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Новосибирской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
(пп.6 в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
2. Ответственному за организацию обработки персональных данных в министерстве образования Новосибирской области, работникам министерства, осуществляющим обработку персональных данных, системным администраторам министерства обеспечить выполнение правил, утвержденных пунктом 1 настоящего приказа.
3. Контроль за исполнением настоящего приказа оставляю за собой.
Исполняющий обязанности министра
А.А. Флек
УТВЕРЖДЁН
приказом Минобразования
Новосибирской области
от 07.05.2018 № 1098
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
СПИСОК
должностей государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Новосибирской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
1. Заместитель министра начальник управления профессионального образования и подготовки трудовых ресурсов;
2. Начальник организационно-правового управления;
3. Начальник управления образовательной политики;
4. Начальник управления бюджетного процесса;
5. Начальник управления молодежной политики и высшей школы;
6. Начальник управления материальных ресурсов и государственных заданий;
7. Начальник управления лицензирования, аккредитации, контроля и надзора в сфере образования;
8. Заместитель начальника управления молодежной политики и высшей школы начальник отдела высшей школы;
9. Начальник отдела организации управления и кадровой работы организационно правового управления;
10. Начальник отдела дополнительного образования детей и воспитательной работы управления образовательной политики;
11. Заместитель начальника отдела надзора и контроля управления лицензирования, аккредитации, контроля и надзора в сфере образования;
12. Консультант отдела аккредитации управления лицензирования, аккредитации, контроля и надзора в сфере образования;
13. Консультант отдела надзора и контроля управления лицензирования, аккредитации, контроля и надзора в сфере образования;
14. Консультант отдела организации управления и кадровой работы организационно правового управления;
15. Консультант отдела правового сопровождения организационно правового управления;
16. Консультант отдела профессионального образования управления профессионального образования и подготовки трудовых ресурсов;
17. Консультант отдела бухгалтерского учета и отчетности управления бюджетного процесса;
18. Главный специалист отдела аккредитации управления лицензирования, аккредитации, контроля и надзора в сфере образования;
19. Главный специалист отдела надзора и контроля управления лицензирования, аккредитации, контроля и надзора в сфере образования;
20. Главный специалист отдела лицензирования управления лицензирования, аккредитации, контроля и надзора в сфере образования;
21. Главный специалист отдела профессионального развития педагогических кадров управления образовательной политики;
22. Главный специалист отдела дополнительного образования детей и воспитательной работы управления образовательной политики;
23. Главный специалист отдела дошкольного и общего образования управления образовательной политики;
24. Ведущий специалист отдела надзора и контроля управления лицензирования, аккредитации, контроля и надзора в сфере образования;
25. Главный эксперт отдела профессионального образования управления профессионального образования и подготовки трудовых ресурсов;
26. Главный эксперт отдела дополнительного образования детей и воспитательной работы управления образовательной политики;
27. Главный эксперт отдела высшей школы управления молодежной политики и высшей школы;
28. Главный эксперт отдела организации управления и кадровой работы организационно правового управления;
29. Главный эксперт отдела дошкольного и общего образования управления образовательной политики;
30. Ведущий эксперт отдела организации управления и кадровой работы организационно правового управления;
31. Бухгалтер отдела бухгалтерского учета и отчетности управления бюджетного процесса.
ПРАВИЛАОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве образования Новосибирской области (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» и другими нормативно-правовыми актами.
3. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в министерстве образования Новосибирской области организовывается проведение периодических проверок условий обработки персональных данных.
4. Проверки организуются лицом, ответственным за организацию обработки персональных данных в министерстве образования Новосибирской области и осуществляются в его присутствии комиссией, образуемой приказом министерства образования Новосибирской области.
5. Проверки соответствия обработки персональных данных установленным требованиям в министерстве образования Новосибирской области проводятся на основании утвержденного министром образования Новосибирской области ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
6. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- соблюдение требований к обработке персональных данных;
- соблюдение режима защиты персональных данных;
- актуальность и факты внесения изменений в имеющиеся локальные акты по вопросам обработки и защиты персональных данных;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- соблюдение антивирусной защиты на всех элементах информационной системы персональных данных;
- порядок и условия применения средств защиты информации;
- соблюдение режима защиты информации при подключении к сетям общего пользования и (или) международного обмена;
- установка обновлений программного обеспечения на всех элементах информационной системы персональных данных;
- выполнение резервного копирования защищаемой информации;
- проведение анализа и пересмотра имеющихся угроз безопасности персональных данных;
- учет машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- осуществление мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
7. Ответственный за организацию обработки персональных данных в министерстве образования Новосибирской области имеет право:
- запрашивать у работников министерства образования Новосибирской области информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить на рассмотрение министру образования Новосибирской области предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить на рассмотрение министру образования Новосибирской области предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
8. В отношении персональных данных, ставших известными лицу, ответственному за организацию обработки персональных данных в министерстве образования Новосибирской области в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
9. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, министру образования Новосибирской области докладывает ответственный за организацию обработки персональных данных либо председатель постоянно действующей экспертной комиссии по защите информации ограниченного доступа, контроля за соблюдением порядка обращения с документами, содержащими информацию ограниченного доступа в министерстве образования Новосибирской области.
10. Результатом проведения внутренней проверки в части обработки и защиты персональных данных в министерстве образования Новосибирской области является отчетный документ по результатам проведенной внутренней проверки, составленный ответственным за организацию обработки персональных данных и утвержденный министром образования Новосибирской области.
11. Министр образования Новосибирской области, назначивший внеплановую проверку, обязан контролировать своевременность и правильность ее проведения.
ПРАВИЛА РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящие Правила работы с обезличенными персональными данными в министерстве образования Новосибирской области (далее - министерство) разработаны в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Настоящие Правила определяют порядок работы с обезличенными данными министерства.
Настоящие Правила утверждаются приказом министра и действуют постоянно.
II. Термины и определения
2. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
III. Свойства обезличенных персональных данных
3. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
4. К свойствам обезличенных данных относятся:
- полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
- семантическая целостность (сохранение семантики персональных данных при их обезличивании);
- применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
IV. Характеристики методов обезличивания
5. К характеристикам (свойствам) методов обезличивания персональных данных (далее - методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:
- обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
- вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
- изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
- стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);
- возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
- совместимость (возможность интеграции персональных данных, обезличенных различными методами);
- параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
- возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
V. Требования к методам обезличивания
6. Требования к методам обезличивания подразделяются на:
- требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;
- требования к свойствам, которыми должен обладать метод обезличивания.
7. К требованиям к свойствам получаемых обезличенных данных относятся:
- сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
- сохранение структурированности обезличиваемых персональных данных;
сохранение семантической целостности обезличиваемых персональных данных;
- анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-a№o№ymity).
8. К требованиям к свойствам метода обезличивания относятся:
- обратимость (возможность проведения деобезличивания);
- возможность обеспечения заданного уровня анонимности;
- увеличение стойкости при увеличении объема обезличиваемых персональных данных.
VI. Методы обезличивания
9. Методами обезличивания являются:
1) введения идентификаторов (замена части сведений идентификаторами с созданием таблицы соответствия идентификаторов исходным данным);
2) метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
3) метод декомпозиции (разбиение массива персональных данных на несколько частей с их последующим раздельным хранением);
4) метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
( п.9 в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
VII. Порядок работы с обезличенными персональными данными
10. Перечень должностей работников министерства, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается отдельно приказом министерства.
Ответственный за организацию обработки персональных данных в министерстве принимает решение о необходимости обезличивания персональных данных.
Работники министерства, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
Работники министерства, обслуживающие базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
11. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
12. Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.
13. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используется);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
14. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.
ПРАВИЛА РЕЗЕРВНОГО КОПИРОВАНИЯ И ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
1. Основные понятия, термины и определения
Информация - сведения (сообщения, данные) независимо от формы их представления;
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
I. Общие положения
2. Настоящие Правила определяют порядок резервного копирования и восстановления информации, содержащей персональные данные, обрабатываемой с использованием средств вычислительной техники в министерстве образования Новосибирской области (далее - министерство).
3. Настоящие Правила разработаны на основании требований Федерального закона от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и иных нормативных правовых актов Российской Федерации.
4. Требования настоящих Правил распространяются на работников министерства, в функциональные обязанности которых входит резервирование и восстановление информации, содержащей персональные данные, обрабатываемой с использованием средств вычислительной техники в министерстве.
Все изменения в Правила вносятся приказом министерства.
5. Настоящие Правила о резервном копировании и восстановлении информации, содержащей персональные данные, обрабатываемой с использованием средств вычислительной техники в министерстве, разработано с целью:
- определения порядка резервного копирования информации, содержащей персональные данные для последующего восстановления работоспособности информационных систем персональных данных Учреждения при полной или частичной потере информации, содержащей персональные данные, вызванной сбоями или отказами аппаратного или программного обеспечения, ошибками пользователей, чрезвычайными обстоятельствами (пожаром, стихийными бедствиями и т.д.);
- определения порядка восстановления информации, содержащей персональные данные в случае возникновения такой необходимости;
- упорядочения работы должностных лиц министерства, связанной с резервным копированием и восстановлением информации, содержащей персональные данные.
6. В настоящем документе регламентируются действия ответственных лиц министерства при выполнении следующих мероприятий:
- резервное копирование;
- контроль резервного копирования;
- хранение резервных копий;
- полное или частичное восстановление данных и приложений.
7. Резервному копированию подлежит информация, обрабатываемая в информационных системах персональных данных министерства, содержащая персональные данные физических лиц (субъектов персональных данных).
8. Машинным носителям информации, содержащим резервную копию, присваивается степень конфиденциальности, соответствующая той, к которой отнесены персональные данные в министерстве.
II. Порядок резервного копирования
9. Резервное копирование информации, содержащей персональные данные, производится на основании следующих данных:
- состав и объем копируемых данных, в соответствии с Приложением № 1 к настоящему Положению; не приводится
- максимальный срок хранения резервных копий - 10 лет;
- хранение 4-х следующих архивов;
- архив, сделанный на текущий день
- архив на конец текущей недели;
- архив на 1-е число текущего месяца;
- архив, сделанный на конец года.
10. Резервное копирование информации, содержащей персональные данные, производится Администратором информационной системы персональных данных.
11. Система резервного копирования должна обеспечивать производительность, достаточную для сохранения информации, содержащей персональные данные, в установленные сроки и с заданной периодичностью. Методика проведения резервного копирования описана в Приложении № 2 к настоящему Положению.
12. Технология создания резервных копий определяется правилами эксплуатации технических и программных средств.
13. Для создания резервных копий данных могут использоваться жесткие диски серверов и ПЭВМ, сменные (съемные) носители информации (CD/DVD, flash-накопители, внешние жесткие диски и т.п.), зарегистрированные в соответствии с правилами работы с документами, содержащими информацию ограниченного доступа.
14. Носители созданных резервных копий данных должны быть промаркированы Администратором информационной системы персональных данных министерства. Маркировка должна содержать номер копии, дату ее создания, наименование информационной системы персональных данных.
15. При создании резервных копий допускается их архивирование специальными программными средствами.
16. О выявленных попытках несанкционированного доступа к резервируемой информации, а также иных нарушениях информационной безопасности произошедших в процессе резервного копирования, Администратор информационной системы персональных данных сообщает Администратору информационной безопасности служебной запиской в течение рабочего дня после обнаружения указанного события.
III. Контроль результатов резервного копирования
17. Контроль результатов всех процедур резервного копирования осуществляется совместно Администратором информационной системы персональных данных и Администратором информационной безопасности Учреждения, в срок до 17 часов рабочего дня, следующего за установленной датой выполнения этих процедур.
В случае обнаружения ошибки при осуществлении резервного копирования, лица, ответственные за контроль результатов, осуществляют все необходимые действия по устранению ошибки. При необходимости резервное копирование осуществляется повторно.
18. На протяжении периода времени, когда система резервного копирования находится в аварийном состоянии, должно осуществляться ежедневное копирование информации, подлежащей резервированию, с использованием средств файловых систем серверов, располагающих необходимыми объемами дискового пространства для ее хранения.
IV. Замена носителей резервной копии
19. Система резервного копирования должна обеспечивать возможность периодической замены (выгрузки) резервных носителей без потерь информации на них, а также обеспечивать восстановление текущей информации информационных систем персональных данных в случае отказа любого из устройств резервного копирования.
20. В случае необходимости замены испорченных носителей информации новыми, Администратор информационной системы персональных данных заблаговременно за 10 рабочих дней согласовывает спецификации новых носителей информации с Администратором информационной безопасности Учреждения.
21. Все процедуры по загрузке, выгрузке носителей из системы резервного копирования, а также их перемещение осуществляются Администратором информационной системы персональных данных по запросу и в присутствии Администратора информационной безопасности.
22. В качестве новых носителей допускается повторно использовать те, у которых срок хранения содержащейся информации истек.
23. Конфиденциальная информация с носителей, которые перестают использоваться в системе резервного копирования, должна быть гарантированно уничтожена. Для гарантированного уничтожения информации допускается использование специального программного обеспечения.
24. Для хранения носителей резервных копий должны использоваться хранилища, создающие оптимальные условия для физической сохранности и защиты от воздействия неблагоприятных факторов.
V. Восстановление информации из резервных копий
25. Основанием для инициирования процедуры восстановления служит мотивированная заявка руководителя структурного подразделения на имя Администратора информационной безопасности. Восстановление данных производится после согласования с Администратором информационной безопасности.
После согласования заявки, восстановление данных осуществляется в максимально сжатые сроки, ограниченные техническими возможностями системы.
26. Восстановление данных из резервной копии осуществляется Администратором информационной системы персональных данных на специализированных рабочих местах, оснащенных необходимыми техническими средствами.
27. Восстановление утраченных данных производится из резервной копии, обеспечивающей минимальную потерю данных, содержащихся в информационном ресурсе.
28. Процедура восстановления информации из резервной копии осуществляется в соответствии с методикой восстановления информации (Приложение № 3 к настоящему Положению).
Приложение № 1
к правилам резервного копирования и восстановления информации, содержащей персональные данные, обрабатываемые с использованием средств вычислительной техники,
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
ПЕРЕЧЕНЬ
резервируемой информации
№
п/п
Наименование информационной системы персональных данных
Размещение хранилища резервной копии информации
Почетный работник профессионального образования Новосибирской области
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Электронный колледж
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные индивидуальных предпринимателей осуществляющих образовательную деятельность для прохождения процедуры лицензирования образовательной деятельности. Архив
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
«Реестр аттестованных экспертов, привлекаемых министерством образования Новосибирской области к проведению мероприятий по контролю в соответствии с Федеральным законом «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные обладателей документов и заявителей для предоставления государственной услуги по подтверждению документов об образовании, об ученой степени и ученых званиях
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Реестр экспертов, привлекаемых для проведения аккредитационной экспертизы
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Претенденты на заключение договоров о целевом обучении, в том числе на условиях целевого приема в образовательных организациях высшего образования, расположенных на территории Новосибирской области, за счет средств областного бюджета Новосибирской области
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные детей, включенных в состав делегации Новосибирской области, направленных на общероссийскую новогоднюю елку и ответственных лиц за их безопасность
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Выплата единовременного денежного пособия в трехкратном размере средней месячной заработной платы педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций, имеющих стаж педагогической деятельности не менее 25 лет, достигшим возраста 60 лет для мужчин и 55 лет для женщин, при увольнении в связи с выходом на страховую пенсию по старости
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Аттестация в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность, руководителей государственных образовательных организаций Новосибирской области, подведомственных министерству образования Новосибирской области»
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Получение денежного поощрения лучшими учителями
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Премия «Лучший педагогический работник Новосибирской области»
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Премия «Почетный работник образования Новосибирской области»
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные экспертов и членов главной аттестационной комиссии министерства по аттестации в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные членов совета руководителей общеобразовательных организаций по вопросам общего образования при министерстве образования, науки и инновационной политики
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные стипендиатов Правительства Новосибирской области, Губернатора Новосибирской области, Правительства Российской Федерации, участников конкурсного отбора на получение адресной финансовой поддержки
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628
Серверная
Государственная информационная система Новосибирской области «Электронная школа»
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Обращения граждан
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Бухгалтерия
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Кадровые документы в отношении руководителей государственных учреждений, подведомственных министерству образования Новосибирской области
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные кандидатов на замещение вакантных должностей. Кадровый резерв министерства образования Новосибирской области
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные государственных гражданских служащих, имеющих право на возмещение расходов на наем (поднаем) жилого помещения
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Подсистема «Электронный детский сад» государственной информационной системы Новосибирской области «Межведомственная автоматизированная информационная система»
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Приложение № 2
к правилам резервного копирования и восстановления информации, содержащей персональные данные, обрабатываемые с использованием средств вычислительной техники, в министерстве образования
Новосибирской области
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
Методика резервного копирования
Для организации системы резервного копирования используются встроенные средства установленных операционных систем.
С целью оптимизации расходов на развертывание системы резервного копирования, запись резервной копии осуществляется на внешний отчуждаемый носитель.
С помощью указанного ПО выполняются такие действия, как задание режимов и составление расписания резервного копирования клиентов, осуществляются операции по загрузке и выгрузке носителей информации, проводится контроль за состоянием выполнения заданий, запускаются процедуры восстановления информации.
Для снижения совокупной нагрузки на информационную систему все операции по резервированию информации необходимо проводить в вечернее время (на окончание рабочего дня). Резервные копии записываются ежедневно после 21 часа. Срок хранения - 10 лет. Резервные копии хранятся на внешнем отчуждаемом носителе, определенных для решения этой задачи, установленных в помещениях Учреждения.
Источником информации, подлежащей резервированию, являются базы данных информационных систем персональных данных.
Для резервирования информации, хранимой в базах данных информационных систем персональных данных, используются встроенные средства установленных операционных систем и архиваторы. В результате работы встроенных средств формируется каталог с резервной копией данных информационной системы.
Приложение № 3
к положению о разграничении прав
доступа к обрабатываемым
персональным данным в
министерстве образования
Новосибирской области
Методика восстановления данных
Любое восстановление информации, не вызванное необходимостью экстренного восстановления, связанной с потерей работоспособности информационной системы или ее компонент, выполняется Администратором информационной системы персональных данных на основании заявки руководителя структурного подразделения по согласованию с Администратором информационной безопасности.
В процессе восстановления резервной копии следует руководствоваться инструкциями по восстановлению информации из резервных копий, описанными в документации, прилагающийся к системе резервного копирования.
ПРАВИЛА ВНЕСЕНИЯ ИЗМЕНЕНИЙ В КОНФИГУРАЦИЮ ИНФОРМАЦИОННЫХ СИСТЕМ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ МИНИСТЕРСТВА ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
Общие положения
1. Настоящие Правила устанавливают порядок действий при внесении изменений в конфигурацию информационных систем и системы защиты информации министерства образования Новосибирской области (далее - изменение базовой конфигурации).
2. Изменением базовой конфигурации является:
- изменение места расположения оборудования, входящего в информационные системы, обрабатывающие защищаемую информацию, не содержащую сведения, составляющие государственную тайну (далее - ИС), а также в систему защиты информации (далее - СЗИ);
- передача СЗИ, между подразделениями и пользователями ИС министерства образования Новосибирской области (далее - министерство);
- установка и ввод в эксплуатацию нового оборудования ИС, СЗИ;
- замена носителей информации;
- управление правами пользователей ИС и их парольной и ключевой информации.
3. Организацию изменения базовой конфигурации осуществляет ответственный за организацию обработки персональных данных в информационных системах министерства образования Новосибирской области.
Порядок внесения изменений в конфигурацию информационных систем и системы защиты информации
4. Изменение базовой конфигурации осуществляется на основании заявки с указанием сути изменений.
5. При технической возможности реализации заявки и корректности изменения базовой конфигурации, ответственный за организацию обработки персональных данных передает данную заявку на исполнение сотрудникам министерства, уполномоченным на внесение изменений в базовую конфигурацию. При отсутствии технической возможности реализации заявки и/или некорректности изменения базовой конфигурации, ответственный за организацию обработки персональных данных отклоняет заявку с указанием причин. Под корректностью понимается соответствие измененной конфигурации требованиям по обеспечению безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну.
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
6. Уполномоченный сотрудник осуществляет изменение базовой конфигурации и оповещает ответственного за организацию обработки персональных данных о ходе и результатах исполнения заявки.
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
7. Ответственный за организацию обработки персональных данных осуществляет проверку корректности изменения базовой конфигурации, контроль эффективности обеспечения безопасности защищаемой информации в информационных системах министерства. При необходимости проводит работы по актуализации документации, по вопросам обеспечения безопасности защищаемой информации в Учреждении, и/или повторную аттестацию по требованиям безопасности защищаемой информации.
ПРАВИЛА ХРАНЕНИЯ, ИСПОЛЬЗОВАНИЯ И ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ МИНИСТЕРСТВА ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящие Правила хранения, использования и передачи персональных данных работников министерства (далее - Правила) разработаны в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Цель разработки настоящих Правил - определение правил обработки (хранения, использования, передачи) персональных данных работников министерства образования Новосибирской области (далее - министерство, оператор); обеспечение защиты прав и свобод работников министерства при обработке их персональных данных.
II. Хранение и использование персональных данных работников
3. Хранение персональных данных должно осуществляться в форме, позволяющей определить работника министерства, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является работник. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Хранение персональных данных работников министерства может осуществляться на бумажных и машинных носителях, доступ к которым ограничен списком лиц, допущенных к обработке персональных данных.
4. Все отчуждаемые машинные носители персональных данных подлежат строгому учету. Форма журнала учета материальных (отчуждаемых машинных) носителей защищаемой информации, не содержащей сведения, составляющие государственную тайну, утверждена нормативным актом Учреждения.
5. Персональные данные работников, содержащиеся на машинных носителях информации, могут храниться на автоматизированных рабочих местах и серверах информационных систем министерства, установленных в пределах помещений, утвержденных нормативным актом министерства.
6. Персональные данные работников, содержащиеся на материальных носителях персональных данных, должны храниться в пределах помещений, утвержденных Приказом об обеспечении безопасности материальных носителей персональных данных.
7. Хранение персональных данных работников должно происходить в порядке, исключающем их утрату или их неправомерное использование.
8. Использование персональных данных работников министерства осуществляется исключительно в целях выполнения требований трудового законодательства Российской Федерации.
9. Обработка персональных данных работников министерства осуществляется только специально уполномоченными лицами, перечень которых утверждается приказом министра, при этом указанные в приказе работники должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения непосредственных должностных обязанностей.
10. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники организации - оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
11. Передача персональных данных работников между структурными подразделениями министерства осуществляется только между работниками, включенными в перечень лиц, имеющих доступ к персональным данным.
12. Обработка персональных данных работников должна осуществляться только в пределах помещений министерства и с использованием средств вычислительной техники министерства.
13. Министерство вправе поручить обработку персональных данных работников другим юридическим или физическим лицам на основании договора (далее - поручение министерства) с согласия работника, если иное не предусмотрено Федеральным законом «О персональных данных». Лицо, осуществляющее обработку персональных данных по поручению министерства, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных».
14. Работники министерства и иные лица, получающие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия работников, если иное не предусмотрено федеральным законодательством в сфере защиты персональных данных.
III. Передача персональных данных
15. При передаче персональных данных работника Оператор должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
- предупреждать лица, получающие персональные данные работников, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных персональных данных;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;
- не отвечать на вопросы, связанные с передачей персональных данных работника по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими работниками своих непосредственных должностных обязанностей, адресатам в чью компетенцию входит получение такой информации.
МИНИСТЕРСТВО ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
ПРИКАЗ
от 7 мая 2018 г. № 1098
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ПО ПРОВЕДЕНИЮ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
Во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», приказываю:
1. Утвердить прилагаемые:
1) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве образования Новосибирской области;
2) правила работы с обезличенными данными в министерстве образования Новосибирской области;
3) правила резервного копирования и восстановления информации, содержащей персональные данные, обрабатываемые с использованием средств вычислительной техники, в министерстве образования Новосибирской области;
4) правила внесения изменений в конфигурацию информационных систем и системы защиты информации министерства образования Новосибирской области.
5) правила хранения, использования и передачи персональных данных работников министерства образования Новосибирской области.
6) список должностей государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Новосибирской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
(пп.6 в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
2. Ответственному за организацию обработки персональных данных в министерстве образования Новосибирской области, работникам министерства, осуществляющим обработку персональных данных, системным администраторам министерства обеспечить выполнение правил, утвержденных пунктом 1 настоящего приказа.
3. Контроль за исполнением настоящего приказа оставляю за собой.
Исполняющий обязанности министра
А.А. Флек
УТВЕРЖДЁН
приказом Минобразования
Новосибирской области
от 07.05.2018 № 1098
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
СПИСОК
должностей государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Новосибирской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
1. Заместитель министра начальник управления профессионального образования и подготовки трудовых ресурсов;
2. Начальник организационно-правового управления;
3. Начальник управления образовательной политики;
4. Начальник управления бюджетного процесса;
5. Начальник управления молодежной политики и высшей школы;
6. Начальник управления материальных ресурсов и государственных заданий;
7. Начальник управления лицензирования, аккредитации, контроля и надзора в сфере образования;
8. Заместитель начальника управления молодежной политики и высшей школы начальник отдела высшей школы;
9. Начальник отдела организации управления и кадровой работы организационно правового управления;
10. Начальник отдела дополнительного образования детей и воспитательной работы управления образовательной политики;
11. Заместитель начальника отдела надзора и контроля управления лицензирования, аккредитации, контроля и надзора в сфере образования;
12. Консультант отдела аккредитации управления лицензирования, аккредитации, контроля и надзора в сфере образования;
13. Консультант отдела надзора и контроля управления лицензирования, аккредитации, контроля и надзора в сфере образования;
14. Консультант отдела организации управления и кадровой работы организационно правового управления;
15. Консультант отдела правового сопровождения организационно правового управления;
16. Консультант отдела профессионального образования управления профессионального образования и подготовки трудовых ресурсов;
17. Консультант отдела бухгалтерского учета и отчетности управления бюджетного процесса;
18. Главный специалист отдела аккредитации управления лицензирования, аккредитации, контроля и надзора в сфере образования;
19. Главный специалист отдела надзора и контроля управления лицензирования, аккредитации, контроля и надзора в сфере образования;
20. Главный специалист отдела лицензирования управления лицензирования, аккредитации, контроля и надзора в сфере образования;
21. Главный специалист отдела профессионального развития педагогических кадров управления образовательной политики;
22. Главный специалист отдела дополнительного образования детей и воспитательной работы управления образовательной политики;
23. Главный специалист отдела дошкольного и общего образования управления образовательной политики;
24. Ведущий специалист отдела надзора и контроля управления лицензирования, аккредитации, контроля и надзора в сфере образования;
25. Главный эксперт отдела профессионального образования управления профессионального образования и подготовки трудовых ресурсов;
26. Главный эксперт отдела дополнительного образования детей и воспитательной работы управления образовательной политики;
27. Главный эксперт отдела высшей школы управления молодежной политики и высшей школы;
28. Главный эксперт отдела организации управления и кадровой работы организационно правового управления;
29. Главный эксперт отдела дошкольного и общего образования управления образовательной политики;
30. Ведущий эксперт отдела организации управления и кадровой работы организационно правового управления;
31. Бухгалтер отдела бухгалтерского учета и отчетности управления бюджетного процесса.
ПРАВИЛАОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве образования Новосибирской области (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» и другими нормативно-правовыми актами.
3. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в министерстве образования Новосибирской области организовывается проведение периодических проверок условий обработки персональных данных.
4. Проверки организуются лицом, ответственным за организацию обработки персональных данных в министерстве образования Новосибирской области и осуществляются в его присутствии комиссией, образуемой приказом министерства образования Новосибирской области.
5. Проверки соответствия обработки персональных данных установленным требованиям в министерстве образования Новосибирской области проводятся на основании утвержденного министром образования Новосибирской области ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
6. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- соблюдение требований к обработке персональных данных;
- соблюдение режима защиты персональных данных;
- актуальность и факты внесения изменений в имеющиеся локальные акты по вопросам обработки и защиты персональных данных;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- соблюдение антивирусной защиты на всех элементах информационной системы персональных данных;
- порядок и условия применения средств защиты информации;
- соблюдение режима защиты информации при подключении к сетям общего пользования и (или) международного обмена;
- установка обновлений программного обеспечения на всех элементах информационной системы персональных данных;
- выполнение резервного копирования защищаемой информации;
- проведение анализа и пересмотра имеющихся угроз безопасности персональных данных;
- учет машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- осуществление мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
7. Ответственный за организацию обработки персональных данных в министерстве образования Новосибирской области имеет право:
- запрашивать у работников министерства образования Новосибирской области информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить на рассмотрение министру образования Новосибирской области предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить на рассмотрение министру образования Новосибирской области предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
8. В отношении персональных данных, ставших известными лицу, ответственному за организацию обработки персональных данных в министерстве образования Новосибирской области в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
9. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, министру образования Новосибирской области докладывает ответственный за организацию обработки персональных данных либо председатель постоянно действующей экспертной комиссии по защите информации ограниченного доступа, контроля за соблюдением порядка обращения с документами, содержащими информацию ограниченного доступа в министерстве образования Новосибирской области.
10. Результатом проведения внутренней проверки в части обработки и защиты персональных данных в министерстве образования Новосибирской области является отчетный документ по результатам проведенной внутренней проверки, составленный ответственным за организацию обработки персональных данных и утвержденный министром образования Новосибирской области.
11. Министр образования Новосибирской области, назначивший внеплановую проверку, обязан контролировать своевременность и правильность ее проведения.
ПРАВИЛА РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящие Правила работы с обезличенными персональными данными в министерстве образования Новосибирской области (далее - министерство) разработаны в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Настоящие Правила определяют порядок работы с обезличенными данными министерства.
Настоящие Правила утверждаются приказом министра и действуют постоянно.
II. Термины и определения
2. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
III. Свойства обезличенных персональных данных
3. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
4. К свойствам обезличенных данных относятся:
- полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
- семантическая целостность (сохранение семантики персональных данных при их обезличивании);
- применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
IV. Характеристики методов обезличивания
5. К характеристикам (свойствам) методов обезличивания персональных данных (далее - методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:
- обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
- вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
- изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
- стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);
- возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
- совместимость (возможность интеграции персональных данных, обезличенных различными методами);
- параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
- возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
V. Требования к методам обезличивания
6. Требования к методам обезличивания подразделяются на:
- требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;
- требования к свойствам, которыми должен обладать метод обезличивания.
7. К требованиям к свойствам получаемых обезличенных данных относятся:
- сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
- сохранение структурированности обезличиваемых персональных данных;
сохранение семантической целостности обезличиваемых персональных данных;
- анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-a№o№ymity).
8. К требованиям к свойствам метода обезличивания относятся:
- обратимость (возможность проведения деобезличивания);
- возможность обеспечения заданного уровня анонимности;
- увеличение стойкости при увеличении объема обезличиваемых персональных данных.
VI. Методы обезличивания
9. Методами обезличивания являются:
1) введения идентификаторов (замена части сведений идентификаторами с созданием таблицы соответствия идентификаторов исходным данным);
2) метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
3) метод декомпозиции (разбиение массива персональных данных на несколько частей с их последующим раздельным хранением);
4) метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
( п.9 в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
VII. Порядок работы с обезличенными персональными данными
10. Перечень должностей работников министерства, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается отдельно приказом министерства.
Ответственный за организацию обработки персональных данных в министерстве принимает решение о необходимости обезличивания персональных данных.
Работники министерства, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
Работники министерства, обслуживающие базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
11. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
12. Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.
13. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используется);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
14. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.
ПРАВИЛА РЕЗЕРВНОГО КОПИРОВАНИЯ И ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
1. Основные понятия, термины и определения
Информация - сведения (сообщения, данные) независимо от формы их представления;
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
I. Общие положения
2. Настоящие Правила определяют порядок резервного копирования и восстановления информации, содержащей персональные данные, обрабатываемой с использованием средств вычислительной техники в министерстве образования Новосибирской области (далее - министерство).
3. Настоящие Правила разработаны на основании требований Федерального закона от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и иных нормативных правовых актов Российской Федерации.
4. Требования настоящих Правил распространяются на работников министерства, в функциональные обязанности которых входит резервирование и восстановление информации, содержащей персональные данные, обрабатываемой с использованием средств вычислительной техники в министерстве.
Все изменения в Правила вносятся приказом министерства.
5. Настоящие Правила о резервном копировании и восстановлении информации, содержащей персональные данные, обрабатываемой с использованием средств вычислительной техники в министерстве, разработано с целью:
- определения порядка резервного копирования информации, содержащей персональные данные для последующего восстановления работоспособности информационных систем персональных данных Учреждения при полной или частичной потере информации, содержащей персональные данные, вызванной сбоями или отказами аппаратного или программного обеспечения, ошибками пользователей, чрезвычайными обстоятельствами (пожаром, стихийными бедствиями и т.д.);
- определения порядка восстановления информации, содержащей персональные данные в случае возникновения такой необходимости;
- упорядочения работы должностных лиц министерства, связанной с резервным копированием и восстановлением информации, содержащей персональные данные.
6. В настоящем документе регламентируются действия ответственных лиц министерства при выполнении следующих мероприятий:
- резервное копирование;
- контроль резервного копирования;
- хранение резервных копий;
- полное или частичное восстановление данных и приложений.
7. Резервному копированию подлежит информация, обрабатываемая в информационных системах персональных данных министерства, содержащая персональные данные физических лиц (субъектов персональных данных).
8. Машинным носителям информации, содержащим резервную копию, присваивается степень конфиденциальности, соответствующая той, к которой отнесены персональные данные в министерстве.
II. Порядок резервного копирования
9. Резервное копирование информации, содержащей персональные данные, производится на основании следующих данных:
- состав и объем копируемых данных, в соответствии с Приложением № 1 к настоящему Положению; не приводится
- максимальный срок хранения резервных копий - 10 лет;
- хранение 4-х следующих архивов;
- архив, сделанный на текущий день
- архив на конец текущей недели;
- архив на 1-е число текущего месяца;
- архив, сделанный на конец года.
10. Резервное копирование информации, содержащей персональные данные, производится Администратором информационной системы персональных данных.
11. Система резервного копирования должна обеспечивать производительность, достаточную для сохранения информации, содержащей персональные данные, в установленные сроки и с заданной периодичностью. Методика проведения резервного копирования описана в Приложении № 2 к настоящему Положению.
12. Технология создания резервных копий определяется правилами эксплуатации технических и программных средств.
13. Для создания резервных копий данных могут использоваться жесткие диски серверов и ПЭВМ, сменные (съемные) носители информации (CD/DVD, flash-накопители, внешние жесткие диски и т.п.), зарегистрированные в соответствии с правилами работы с документами, содержащими информацию ограниченного доступа.
14. Носители созданных резервных копий данных должны быть промаркированы Администратором информационной системы персональных данных министерства. Маркировка должна содержать номер копии, дату ее создания, наименование информационной системы персональных данных.
15. При создании резервных копий допускается их архивирование специальными программными средствами.
16. О выявленных попытках несанкционированного доступа к резервируемой информации, а также иных нарушениях информационной безопасности произошедших в процессе резервного копирования, Администратор информационной системы персональных данных сообщает Администратору информационной безопасности служебной запиской в течение рабочего дня после обнаружения указанного события.
III. Контроль результатов резервного копирования
17. Контроль результатов всех процедур резервного копирования осуществляется совместно Администратором информационной системы персональных данных и Администратором информационной безопасности Учреждения, в срок до 17 часов рабочего дня, следующего за установленной датой выполнения этих процедур.
В случае обнаружения ошибки при осуществлении резервного копирования, лица, ответственные за контроль результатов, осуществляют все необходимые действия по устранению ошибки. При необходимости резервное копирование осуществляется повторно.
18. На протяжении периода времени, когда система резервного копирования находится в аварийном состоянии, должно осуществляться ежедневное копирование информации, подлежащей резервированию, с использованием средств файловых систем серверов, располагающих необходимыми объемами дискового пространства для ее хранения.
IV. Замена носителей резервной копии
19. Система резервного копирования должна обеспечивать возможность периодической замены (выгрузки) резервных носителей без потерь информации на них, а также обеспечивать восстановление текущей информации информационных систем персональных данных в случае отказа любого из устройств резервного копирования.
20. В случае необходимости замены испорченных носителей информации новыми, Администратор информационной системы персональных данных заблаговременно за 10 рабочих дней согласовывает спецификации новых носителей информации с Администратором информационной безопасности Учреждения.
21. Все процедуры по загрузке, выгрузке носителей из системы резервного копирования, а также их перемещение осуществляются Администратором информационной системы персональных данных по запросу и в присутствии Администратора информационной безопасности.
22. В качестве новых носителей допускается повторно использовать те, у которых срок хранения содержащейся информации истек.
23. Конфиденциальная информация с носителей, которые перестают использоваться в системе резервного копирования, должна быть гарантированно уничтожена. Для гарантированного уничтожения информации допускается использование специального программного обеспечения.
24. Для хранения носителей резервных копий должны использоваться хранилища, создающие оптимальные условия для физической сохранности и защиты от воздействия неблагоприятных факторов.
V. Восстановление информации из резервных копий
25. Основанием для инициирования процедуры восстановления служит мотивированная заявка руководителя структурного подразделения на имя Администратора информационной безопасности. Восстановление данных производится после согласования с Администратором информационной безопасности.
После согласования заявки, восстановление данных осуществляется в максимально сжатые сроки, ограниченные техническими возможностями системы.
26. Восстановление данных из резервной копии осуществляется Администратором информационной системы персональных данных на специализированных рабочих местах, оснащенных необходимыми техническими средствами.
27. Восстановление утраченных данных производится из резервной копии, обеспечивающей минимальную потерю данных, содержащихся в информационном ресурсе.
28. Процедура восстановления информации из резервной копии осуществляется в соответствии с методикой восстановления информации (Приложение № 3 к настоящему Положению).
Приложение № 1
к правилам резервного копирования и восстановления информации, содержащей персональные данные, обрабатываемые с использованием средств вычислительной техники,
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
ПЕРЕЧЕНЬ
резервируемой информации
№
п/п
Наименование информационной системы персональных данных
Размещение хранилища резервной копии информации
Почетный работник профессионального образования Новосибирской области
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Электронный колледж
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные индивидуальных предпринимателей осуществляющих образовательную деятельность для прохождения процедуры лицензирования образовательной деятельности. Архив
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
«Реестр аттестованных экспертов, привлекаемых министерством образования Новосибирской области к проведению мероприятий по контролю в соответствии с Федеральным законом «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные обладателей документов и заявителей для предоставления государственной услуги по подтверждению документов об образовании, об ученой степени и ученых званиях
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Реестр экспертов, привлекаемых для проведения аккредитационной экспертизы
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Претенденты на заключение договоров о целевом обучении, в том числе на условиях целевого приема в образовательных организациях высшего образования, расположенных на территории Новосибирской области, за счет средств областного бюджета Новосибирской области
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные детей, включенных в состав делегации Новосибирской области, направленных на общероссийскую новогоднюю елку и ответственных лиц за их безопасность
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Выплата единовременного денежного пособия в трехкратном размере средней месячной заработной платы педагогическим работникам государственных образовательных организаций Новосибирской области и муниципальных образовательных организаций, имеющих стаж педагогической деятельности не менее 25 лет, достигшим возраста 60 лет для мужчин и 55 лет для женщин, при увольнении в связи с выходом на страховую пенсию по старости
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Аттестация в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность, руководителей государственных образовательных организаций Новосибирской области, подведомственных министерству образования Новосибирской области»
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Получение денежного поощрения лучшими учителями
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Премия «Лучший педагогический работник Новосибирской области»
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Премия «Почетный работник образования Новосибирской области»
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные экспертов и членов главной аттестационной комиссии министерства по аттестации в целях установления квалификационных категорий педагогических работников организаций, осуществляющих образовательную деятельность и находящихся в ведении Новосибирской области, педагогических работников муниципальных и частных организаций, осуществляющих образовательную деятельность
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные членов совета руководителей общеобразовательных организаций по вопросам общего образования при министерстве образования, науки и инновационной политики
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные стипендиатов Правительства Новосибирской области, Губернатора Новосибирской области, Правительства Российской Федерации, участников конкурсного отбора на получение адресной финансовой поддержки
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628
Серверная
Государственная информационная система Новосибирской области «Электронная школа»
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Обращения граждан
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Бухгалтерия
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Кадровые документы в отношении руководителей государственных учреждений, подведомственных министерству образования Новосибирской области
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные кандидатов на замещение вакантных должностей. Кадровый резерв министерства образования Новосибирской области
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Персональные данные государственных гражданских служащих, имеющих право на возмещение расходов на наем (поднаем) жилого помещения
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Подсистема «Электронный детский сад» государственной информационной системы Новосибирской области «Межведомственная автоматизированная информационная система»
630007, Новосибирская область, г. Новосибирск, Красный проспект, 18 кабинет 628 Серверная
Приложение № 2
к правилам резервного копирования и восстановления информации, содержащей персональные данные, обрабатываемые с использованием средств вычислительной техники, в министерстве образования
Новосибирской области
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
Методика резервного копирования
Для организации системы резервного копирования используются встроенные средства установленных операционных систем.
С целью оптимизации расходов на развертывание системы резервного копирования, запись резервной копии осуществляется на внешний отчуждаемый носитель.
С помощью указанного ПО выполняются такие действия, как задание режимов и составление расписания резервного копирования клиентов, осуществляются операции по загрузке и выгрузке носителей информации, проводится контроль за состоянием выполнения заданий, запускаются процедуры восстановления информации.
Для снижения совокупной нагрузки на информационную систему все операции по резервированию информации необходимо проводить в вечернее время (на окончание рабочего дня). Резервные копии записываются ежедневно после 21 часа. Срок хранения - 10 лет. Резервные копии хранятся на внешнем отчуждаемом носителе, определенных для решения этой задачи, установленных в помещениях Учреждения.
Источником информации, подлежащей резервированию, являются базы данных информационных систем персональных данных.
Для резервирования информации, хранимой в базах данных информационных систем персональных данных, используются встроенные средства установленных операционных систем и архиваторы. В результате работы встроенных средств формируется каталог с резервной копией данных информационной системы.
Приложение № 3
к положению о разграничении прав
доступа к обрабатываемым
персональным данным в
министерстве образования
Новосибирской области
Методика восстановления данных
Любое восстановление информации, не вызванное необходимостью экстренного восстановления, связанной с потерей работоспособности информационной системы или ее компонент, выполняется Администратором информационной системы персональных данных на основании заявки руководителя структурного подразделения по согласованию с Администратором информационной безопасности.
В процессе восстановления резервной копии следует руководствоваться инструкциями по восстановлению информации из резервных копий, описанными в документации, прилагающийся к системе резервного копирования.
ПРАВИЛА ВНЕСЕНИЯ ИЗМЕНЕНИЙ В КОНФИГУРАЦИЮ ИНФОРМАЦИОННЫХ СИСТЕМ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ МИНИСТЕРСТВА ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
Общие положения
1. Настоящие Правила устанавливают порядок действий при внесении изменений в конфигурацию информационных систем и системы защиты информации министерства образования Новосибирской области (далее - изменение базовой конфигурации).
2. Изменением базовой конфигурации является:
- изменение места расположения оборудования, входящего в информационные системы, обрабатывающие защищаемую информацию, не содержащую сведения, составляющие государственную тайну (далее - ИС), а также в систему защиты информации (далее - СЗИ);
- передача СЗИ, между подразделениями и пользователями ИС министерства образования Новосибирской области (далее - министерство);
- установка и ввод в эксплуатацию нового оборудования ИС, СЗИ;
- замена носителей информации;
- управление правами пользователей ИС и их парольной и ключевой информации.
3. Организацию изменения базовой конфигурации осуществляет ответственный за организацию обработки персональных данных в информационных системах министерства образования Новосибирской области.
Порядок внесения изменений в конфигурацию информационных систем и системы защиты информации
4. Изменение базовой конфигурации осуществляется на основании заявки с указанием сути изменений.
5. При технической возможности реализации заявки и корректности изменения базовой конфигурации, ответственный за организацию обработки персональных данных передает данную заявку на исполнение сотрудникам министерства, уполномоченным на внесение изменений в базовую конфигурацию. При отсутствии технической возможности реализации заявки и/или некорректности изменения базовой конфигурации, ответственный за организацию обработки персональных данных отклоняет заявку с указанием причин. Под корректностью понимается соответствие измененной конфигурации требованиям по обеспечению безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну.
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
6. Уполномоченный сотрудник осуществляет изменение базовой конфигурации и оповещает ответственного за организацию обработки персональных данных о ходе и результатах исполнения заявки.
( в редакции приказа министерства образования Новосибирской области от 12.12.2018 № 3222)
7. Ответственный за организацию обработки персональных данных осуществляет проверку корректности изменения базовой конфигурации, контроль эффективности обеспечения безопасности защищаемой информации в информационных системах министерства. При необходимости проводит работы по актуализации документации, по вопросам обеспечения безопасности защищаемой информации в Учреждении, и/или повторную аттестацию по требованиям безопасности защищаемой информации.
ПРАВИЛА ХРАНЕНИЯ, ИСПОЛЬЗОВАНИЯ И ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ МИНИСТЕРСТВА ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Настоящие Правила хранения, использования и передачи персональных данных работников министерства (далее - Правила) разработаны в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Цель разработки настоящих Правил - определение правил обработки (хранения, использования, передачи) персональных данных работников министерства образования Новосибирской области (далее - министерство, оператор); обеспечение защиты прав и свобод работников министерства при обработке их персональных данных.
II. Хранение и использование персональных данных работников
3. Хранение персональных данных должно осуществляться в форме, позволяющей определить работника министерства, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является работник. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Хранение персональных данных работников министерства может осуществляться на бумажных и машинных носителях, доступ к которым ограничен списком лиц, допущенных к обработке персональных данных.
4. Все отчуждаемые машинные носители персональных данных подлежат строгому учету. Форма журнала учета материальных (отчуждаемых машинных) носителей защищаемой информации, не содержащей сведения, составляющие государственную тайну, утверждена нормативным актом Учреждения.
5. Персональные данные работников, содержащиеся на машинных носителях информации, могут храниться на автоматизированных рабочих местах и серверах информационных систем министерства, установленных в пределах помещений, утвержденных нормативным актом министерства.
6. Персональные данные работников, содержащиеся на материальных носителях персональных данных, должны храниться в пределах помещений, утвержденных Приказом об обеспечении безопасности материальных носителей персональных данных.
7. Хранение персональных данных работников должно происходить в порядке, исключающем их утрату или их неправомерное использование.
8. Использование персональных данных работников министерства осуществляется исключительно в целях выполнения требований трудового законодательства Российской Федерации.
9. Обработка персональных данных работников министерства осуществляется только специально уполномоченными лицами, перечень которых утверждается приказом министра, при этом указанные в приказе работники должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения непосредственных должностных обязанностей.
10. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники организации - оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
11. Передача персональных данных работников между структурными подразделениями министерства осуществляется только между работниками, включенными в перечень лиц, имеющих доступ к персональным данным.
12. Обработка персональных данных работников должна осуществляться только в пределах помещений министерства и с использованием средств вычислительной техники министерства.
13. Министерство вправе поручить обработку персональных данных работников другим юридическим или физическим лицам на основании договора (далее - поручение министерства) с согласия работника, если иное не предусмотрено Федеральным законом «О персональных данных». Лицо, осуществляющее обработку персональных данных по поручению министерства, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных».
14. Работники министерства и иные лица, получающие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия работников, если иное не предусмотрено федеральным законодательством в сфере защиты персональных данных.
III. Передача персональных данных
15. При передаче персональных данных работника Оператор должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
- предупреждать лица, получающие персональные данные работников, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных персональных данных;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;
- не отвечать на вопросы, связанные с передачей персональных данных работника по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими работниками своих непосредственных должностных обязанностей, адресатам в чью компетенцию входит получение такой информации.
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 02.08.2018 |
| Рубрики правового классификатора: | 020.010.000 Органы исполнительной власти, 020.010.050 Органы исполнительной власти субъектов Российской Федерации, 130.010.000 Образование (см. также 200.160.040), 130.010.010 Общие положения |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
