Основная информация
| Дата опубликования: | 22 сентября 2020г. |
| Номер документа: | RU22085218202000562 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Москва |
| Принявший орган: | комитет по культуре |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
КОМИТЕТ ПО КУЛЬТУРЕ ГОРОДА БАРНАУЛА
ПРИКАЗ
22.09.2020 №69
Об организации работы с персональными данными в комитете по культуре города Барнаула
В целях соблюдения требований Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и других нормативно-правовых актов и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.
ПРИКАЗЫВАЮ:
Назначить программиста Шурыгина Дмитрия Николаевича администратором информационной безопасности, внести в должностную инструкцию соответствующие изменения.
Назначить председателя комитета по культуре города Паршкова Валерия Геннадьевича ответственным за организацию обработки персональных данных, внести в должностную инструкцию соответствующие изменения.
Назначить программиста Шурыгина Дмитрия Николаевича ответственным за обеспечение безопасности персональных данных в информационных системах, внести в должностную инструкцию соответствующие изменения.
Назначить программиста Шурыгина Дмитрия Николаевича ответственным за антивирусную проверку, внести в должностную инструкцию соответствующие изменения.
Назначить программиста Шурыгина Дмитрия Николаевича ответственным за техническое обслуживание, внести в должностную инструкцию соответствующие изменения.
Назначить программиста Шурыгина Дмитрия Николаевича ответственным за разработку, проведение мероприятий, направленных на выполнение требований законодательства и других нормативных документов в области персональных данных, внести в должностную инструкцию соответствующие изменения.
Утвердить:
7.1. Положение об обеспечении безопасности персональных данных при их обработке в информационной системе персональных данных комитета по культуре города Барнаула (Приложение 1).
7.2. Положение по удалению (изменению) персонифицированных записей из (в) информационной системы(е) персональных данных комитета по культуре города Барнаула (Приложение 2).
7.3. Инструкцию по выявлению инцидентов информационной безопасности информационной системы персональных данных (Приложение 3).
Программисту (Шурыгин Д.Н.) ознакомить сотрудников комитета по культуре города Барнаула с настоящим приказом.
Контроль за исполнением приказа оставляю за собой.
Председатель комитета В.Г. Паршков
Приложение 1
к приказу комитета
по культуре города Барнаула
от 28.08.2020 №61
ПОЛОЖЕНИЕ
об обеспечении безопасности персональных данных при их обработке в информационной системе персональных данных комитета по культуре города Барнаула
Перечень используемых определений, обозначений и сокращений
ПДн – персональные данные.
ИСПДн – информационная система персональных данных.
Общие положения
2.1. Положение об обеспечении безопасности персональных данных, (далее – ПДн), при их обработке в ИСПДн комитета по культуре города Барнаула (далее – Положение) разработано во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников», Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и других нормативно-правовых актов и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности ПДн при их обработке в ИСПДн.
2.2. Настоящее Положение определяет политику комитета по культуре города Барнаула (далее – Оператор) в отношении обработки ПДн и является общедоступным документом.
2.3. Требования настоящего Положения являются обязательными для исполнения всеми сотрудниками Оператора, получившими доступ к ПДн.
2.4. Решения об изменении настоящего Положения принимаются на основании:
2.4.1. результатов проведенных аудитов, мероприятий по контролю и надзору за обеспечением безопасности персональных данных, осуществляемых уполномоченными органами;
2.4.2. изменений нормативно-правовых актов и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности ПДн при их обработке в ИСПДн;
2.4.3. изменений процессов обработки персональных данных в ИСПДн Оператора;
2.4.4. результатов анализа инцидентов информационной безопасности в ИСПДн.
2.5. В настоящем Положении используются следующие понятия и термины:
2.5.1. ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
2.5.2. Оператор – комитет по культуре города, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку ПДн, а также определяющий цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
2.5.3. обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
2.5.4. автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
2.5.5. распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц;
2.5.6. предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
2.5.7. блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
2.5.8. уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и МИС и (или) в результате которых уничтожаются материальные носители ПДн;
2.5.9. обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
2.5.10. информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
2.5.11. трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.6. Оператором является:
Комитет по культуре города Барнаула;
ИНН: 2225020850;
Адрес местонахождения: 656056, Алтайский край, г. Барнаул, пр-кт Ленина, 6.
2.7. Обработка персональных данных осуществляется Оператором по адресу: 656056, Алтайский край, г. Барнаул, пр-кт Ленина, 6, с 26.11.1997 на основании включения в реестр Операторов, осуществляющих обработку персональных данных (Регистрационный номер «09-0064941» от 10.09.2009).
Общие принципы и условия обработки ПДн
3.1. Оператор осуществляет обработку ПДн работников (лиц, замещающих должности муниципальной гражданской службы) и лиц, не являющихся таковыми.
3.2. Обработка осуществляется в целях исполнения функций, определенных законами и иными нормативно-правовыми актами Российской Федерации, а также в рамках осуществления видов деятельности, определенных во внутренних документах Оператора.
3.3. При обработке ПДн Оператор руководствуется следующими принципами и условиями:
3.3.1. обработка ПДн должна осуществляться на законной и справедливой основе;
3.3.2. обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн за исключением случаев, определенных пп. 2-11 ч.1 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
3.3.3. обработка специальных категорий ПДн осуществляется в случаях, предусмотренных пп.1-9 ч.2. ст. 10 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
3.3.4. обработка биометрических категорий ПДн осуществляется только при наличии согласия в письменной форме субъекта ПДн за исключением случаев, предусмотренных ч.2. ст. 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
3.3.5. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение Оператора). Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящим Федеральным законом. В поручении Оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона от 27 июля 2006 №152-ФЗ «О персональных данных»;
3.3.6. обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
3.3.7. не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
3.3.8. обработке подлежат только ПДн, которые отвечают целям их обработки;
3.3.9. содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
3.3.10. при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
3.3.11. хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.4. Оператор самостоятельно определяет содержание, объем, цели обработки и сроки хранения ПДн.
3.5. Принятые Оператором документы, определяющие политику Оператора в отношении обработки ПДн, локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений доводятся до сотрудников Оператора в части касающихся их.
Правовые основания обработки ПДн
4.1. Оператор осуществляет обработку ПДн на основании следующих нормативно-правовых актов Российской Федерации:
4.1.1. Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
4.1.2. Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
4.1.3. Трудовой кодекс РФ;
4.1.4. Налоговый кодекс РФ;
4.1.5. Раздел VI Трудового кодекса Российской Федерации;
4.1.6. постановление Правительства Российской Федерации от 02.06.2008 № 420 «О Федеральной службе государственной статистики»;
4.1.7. Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации».
Цели обработки ПДн
5.1. Обработка ПДн осуществляется в целях:
5.1.1. Осуществление бухгалтерского и налогового учета, ведение документооборота с Федеральной налоговой службой Росси, Пенсионным фондом Российской Федерации, Фондом социального страхования Российской Федерации, Федеральной службой государственной статистики;
5.1.2. Оплата труда сотрудников комитета.
Категории обрабатываемых ПДн, источники их получения, сроки обработки и хранения
6.1. В ИСПДн данных Оператора обрабатываются следующие категории ПДн:
- Фамилия;
- Имя;
- Отчество;
- номер расчетного счета;
- сведения о заработной плате;
- Паспортные данные или данные иного документа, удостоверяющего личность и гражданство (серия, номер, дата выдачи, наименование органа, выдавшего документ);
- ИНН;
- СНИЛС;
- Адрес места жительства (по паспорту).
- Персональные данные предоставляются лично субъектом с согласия субъекта персональных данных или его законным представителем.
6.1.1. Срок обработки ПДн сотрудников составляет 75 лет.
Сведения о третьих лицах, участвующих в обработке ПДн
7.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки Оператор, а также с согласия субъектов ПДн в ходе своей деятельности предоставляет ПДн следующим организациям:
7.1.1. Отделение Пенсионного фонда России по Алтайскому краю;
7.1.2. Федеральная налоговая служба Российской Федерации.
7.1.3. При получении, в рамках установленных полномочий, мотивированных запросов органов прокуратуры, правоохранительных органов, органов безопасности, государственного инспектора труда при осуществлении им государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченным запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
7.2. Оператор не поручает обработку ПДн другим лицам.
Обязанности и права Оператора ПДн
8.1. Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его ПДн.
8.2. Оператор обязан разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.
8.3. Оператор обязан рассмотреть возражение против решения, принятого на основании исключительно автоматизированной обработки ПДн субъекта ПДн, в течение тридцати дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения.
8.4. При сборе ПДн Оператор обязан предоставить субъекту ПДн по его просьбе информацию, предусмотренную ч.7 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
8.5. Если предоставление ПДн является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.
8.6. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя.
8.7. Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
8.8. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
8.9. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн Оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Оператор обязан осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
8.10. В случае подтверждения факта неточности ПДн Оператор на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
8.11. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
8.12. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими нормативно-правовыми актами.
8.13. В случае отзыва субъектом ПДн согласия на обработку его ПДн Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
8.14. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п. 8.11 – 8.13 настоящего положения, Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Права субъектов ПДн
9.1. Субъект ПДн имеет право на получение сведений об обработке его ПДн Оператором.
9.2. Субъект ПДн вправе требовать от Оператора, который их обрабатывает, уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. В случае, если сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
9.4. Субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в ч. 7 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в ч. 4 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
9.5. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в следующих случаях:
9.5.1. если обработка ПДн, включая те, что получены в результате оперативно–розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;
9.5.2. если обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
9.5.3. если обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
9.5.4. если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
9.5.5. если обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
9.5.6. если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
9.6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Меры по обеспечению безопасности ПДн при их обработке
10.1. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн , а также от иных неправомерных действий в отношении ПДн.
10.2. Обеспечение безопасности достигается:
10.2.1. определением угроз безопасности ПДн при их обработке в ИСПДн;
10.2.2. применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
10.2.3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
10.2.4. учетом машинных носителей ПДн;
10.2.5. обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
10.2.6. восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.2.7. установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
Ответственность за разглашение информации, связанной с ПДн
11.1. Лица, виновные в нарушении требований настоящего Федерального законодательства, несут ответственность, предусмотренную законодательством Российской Федерации.
11.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, установленных настоящим Федеральным законом, а также требований к защите ПДн, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.
Приложение 2
к приказу комитета
по культуре города Барнаула
от 28.08.2020 №61
ПОЛОЖЕНИЕ
по удалению (изменению) персонифицированных записей из (в) информационной системы(е) персональных данных комитета по культуре города Барнаула
Перечень используемых определений, обозначений и сокращений
АИБ – администратор информационной безопасности.
КИ – конфиденциальная информация.
ИС – информационная система.
ПДн – персональные данные.
ИСПДн – информационная система персональных данных.
Администратор информационной безопасности – специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ИС, в том числе ИСПДн, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.
Общие положения
2.1. Настоящая Инструкция устанавливает основные требования к удалению (изменению) персонифицированных записей из (в) ИСПДн комитета по культуре города Барнаула.
2.2. Ответственность за соблюдение требований настоящей инструкции сотрудниками комитета по культуре города Барнаула возлагается персонально на сотрудников, контроль – возлагается на АИБа.
2.3. Положения данной инструкции обязательны для выполнения всеми сотрудниками комитета по культуре города Барнаула, обрабатывающими ПДн в ИСПДн комитета по культуре города Барнаула, а также имеющими допуск к обработке ПДн.
2.4. Полное (частичное) удаление персонифицированных записей о субъектах ПДн производится по достижении цели обработки таких данных, указанных в согласии на обработку или по письменному заявлению субъекта ПДн о прекращении обработки его ПДн (заявления о сокращении перечня ПДн, предъявляемых для обработки). Полное (частичное) удаление персонифицированных записей производится в течение 3 дней с момента подачи заявления от субъекта ПДн.
2.5. Изменение ПДн субъекта производиться только по его письменному заявлению об уточнении обрабатываемых ПДн в течение 3 дней с момента подачи заявления.
Порядок удаления (изменения) персонифицированных записей из (в) ИСПДн
3.1. Уничтожение ПДн из ИСПДн производится средствами ИСПДн, предусматривающими выполнение данной операции.
3.2. По факту полного/частичного удаления персонифицированных записей комиссией из 3-х человек, в состав которой должен входить сотрудник, работающий с ИСПДн, составляется Акт. По факту уничтожения ПДн из нескольких ИСПДн допускается оформлять один Акт. Акт храниться у АИБа.
3.3. В случае если удаление ПДн производиться по заявлению субъекта о прекращении обработки его ПДн (о сокращении перечня ПДн, предъявляемых для обработки), по факту исполнения заявления сотрудником комитета по культуре города Барнаула, выполнившим удаление ПДн, на заявлении делается дополнительная отметка об исполнении. Названное положение не отменяет требования п. 3.2 настоящего Положения.
3.4. По факту изменения ПДн, производящегося по заявлению субъекта об уточнении обрабатываемых его ПДн, сотрудником Комитета по культуре города Барнаула, выполнившим данные изменения, на заявлении делается отметка об исполнении.
Приложение 3
к приказу комитета
по культуре города Барнаула
от 28.08.2020 №61
ИНСТРУКЦИЯ
по выявлению инцидентов информационной безопасности информационной системы персональных данных
Перечень используемых определений, обозначений и сокращений
АИБ – администратор информационной безопасности.
ИБ – информационная безопасность.
ИС – информационная система.
ИСПДн – информационная система персональных данных.
Администратор информационной безопасности – специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ИС, в том числе ИСПДн, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.
Общие положения
2.1. Настоящая Инструкция устанавливает правила выявления фактов несоблюдения условий обработки защищаемой информации, использования средств защиты информации, которые могут привести к нарушению конфиденциальности, целостности и доступности защищаемой информации или другим нарушениям, приводящим к снижению класса защищенности государственной информационной системы, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений, а так же выявления и предотвращения иных инцидентов информационной безопасности ИСПДн комитета по культуре города Барнаула.
2.2. Инструкция разработана в соответствии с:
2.2.1. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
2.2.2. Приказом Федеральной службы по техническому и экспортному контролю России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
2.2.3. иными нормативными правовыми актами, а также в соответствии с локальными нормативными актами организации.
2.3. Настоящая Инструкция обязательна к соблюдению всеми пользователями ИСПДн комитета по культуре города Барнаула.
2.4. Разбирательство по всем инцидентам ИБ проводится АИБом комитета по культуре города Барнаула.
Выявление инцидента информационной безопасности
3.1. Основными источниками информации об Инцидентах ИБ являются:
3.1.1. факты, выявленные пользователями ИСПДн, администратором ИС, АИБом;
3.1.2. результаты работы средств мониторинга ИБ, результаты проверок и аудита (внутреннего или внешнего);
3.1.3. запросы и предписания органов надзора;
3.1.4. другие источники информации.
3.2. Пользователь ИСПДн может выявить признаки наличия инцидента ИБ путем анализа текущей ситуации на предмет ее соответствия требованиям, утвержденных в локальных актах комитета по культуре города Барнаула. Любые сведения о происшествии или инциденте ИБ должны быть незамедлительно переданы выявившим их пользователем АИБу.
Анализ исходной информации и принятие решения о проведении разбирательства
4.1. АИБ после получения информации о предполагаемом инциденте ИБ незамедлительно проводит первоначальный анализ полученных данных. В процессе анализа сотрудник проводит проверку наличия в выявленном факте нарушений.
4.2. По решению АИБа единичный инцидент ИБ, не приведший к негативным последствиям и совершенный пользователем ИСПДн впервые, фиксируется в карточке данных «Инциденты ИБ» с присвоением статуса «Разбирательство не требуется».
4.3. В случае наличия признаков инцидента ИБ, АИБ по общим вопросам определяет предварительную степень важности инцидента ИБ и принимает решение о необходимости проведения разбирательства, информирует руководителя структурного подразделения (начальника отдела) об инциденте ИБ, инициирует формирование регистрационной карточки инцидента с присвоением ему статуса «В процессе разбирательства».
4.4. В срок не более 3 (трех) рабочих дней с момента поступления информации об инциденте ИБ, АИБ определяет и инициирует первоочередные меры, направленные на локализацию инцидента и на минимизацию его последствий.
Разбирательство инцидента информационной безопасности
5.1. Целями разбирательства инцидентов ИБ являются:
5.1.1. выработка организационных и технических решений, направленных на снижение рисков нарушения информационной безопасности, предотвращение и минимизацию подобных нарушений в будущем;
5.1.2. защита прав пользователей ИСПДн комитета по культуре города Барнаула, установленных законодательством Российской Федерации;
5.1.3. обеспечение безопасности защищаемой информации;
5.1.4. предотвращение несанкционированного доступа к защищаемой информации.
5.2. Разбирательство инцидента ИБ состоит из следующих этапов:
5.2.1. подтверждение/опровержение факта возникновения инцидента ИБ;
5.2.2. подтверждение/корректировка уровня значимости инцидента ИБ;
5.2.3. уточнение дополнительных обстоятельств (деталей) инцидента ИБ;
5.2.4. получение (сбор) доказательств возникновения инцидента ИБ, обеспечение их сохранности и целостности;
5.2.5. минимизация последствий инцидента ИБ;
5.2.6. информирование и консультирование пользователей ИСПДн по действиям обнаружения, устранения последствий и предотвращения инцидентов ИБ;
5.2.7. разработка мероприятий по обнаружению и/или предупреждению инцидентов ИБ;
5.2.8. создание Рабочей группы для проведения расследования Инцидента ИБ:
5.3. При необходимости АИБ незамедлительно уведомляет комитет по культуре города Барнаула о факте инцидента ИБ и инициирует создание рабочей группы для разбирательства указанного инцидента ИБ. Взаимодействие между членами рабочей группы осуществляется в рабочем порядке с соблюдением при этом требований конфиденциальности. При необходимости проводятся заседания рабочей группы, время, место и темы которых определяются ее руководителем. В иных случаях АИБ может проводить расследование инцидента ИБ самостоятельно с подготовкой всех необходимых документов.
5.4. Порядок проведения разбирательства инцидента ИБ:
5.4.1. В процессе проведения разбирательства инцидента ИБ обязательными для установления являются:
- дата и время совершения инцидента ИБ;
- ФИО, должность и подразделение нарушителя ИБ (в случае внутреннего нарушителя ИБ);
- уровень критичности инцидента ИБ;
- обстоятельства и мотивы совершения инцидента ИБ;
- информационные ресурсы, затронутые инцидентом ИБ;
- характер и размер реального и потенциального ущерба;
- обстоятельства, способствовавшие совершению инцидента ИБ.
5.4.2. После получения необходимой информации по инциденту ИБ осуществляющий разбирательство сотрудник проводит анализ полученных данных.
5.4.3. Осуществляющий разбирательство сотрудник проводит оценку негативных последствий от реализации инцидента ИБ. В ходе данной оценки учитываются:
- прямой финансовый ущерб;
- репутационный ущерб;
- потенциальный ущерб;
- косвенные потери, связанные с недоступностью сервисов, потерей информации;
- другие виды ущерба или аспекты негативных последствий для комитета по культуре города Барнаула или ее пользователей.
5.5. В течение 5 (пяти) рабочих дней с момента назначения осуществляющего разбирательство сотрудника (формирования рабочей группы), осуществляющий разбирательство сотрудник запрашивает у руководителя структурного подразделения (начальника отдела) объяснительную записку нарушителя ИБ (в случае внутреннего нарушителя ИБ). Объяснительная записка должна быть составлена, подписана нарушителем ИБ в течение (двух) рабочих дней и представлена его непосредственным руководителем осуществляющему разбирательство сотруднику в течение 3 (трех) рабочих дней с момента поступления запроса. В случае отказа нарушителя ИБ предоставить объяснительную записку, осуществляющему разбирательство сотруднику предоставляется акт, составленный в соответствии с установленным порядком.
5.6. С целью минимизации последствий инцидента ИБ возможно временное отключение прав доступа сотрудника к ИС на время проведения расследования предварительно сделав заявку. Подобное отключение инициируется осуществляющим разбирательство сотрудником с обязательным предварительным устным согласованием с руководителем нарушителя.
5.7. В случае, если у нарушителя ИБ были отключены права доступа к ИС на время проведения разбирательства, то по его результатам осуществляющий разбирательство сотрудник по согласованию с руководителем нарушителя ИБ принимает решение и инициирует возвращение в полном или ограниченном объеме ранее имеющихся у нарушителя ИБ прав доступа к ИС либо инициирует официальную процедуру отмены (изменения) прав доступа к ИС в соответствии с установленным порядком в комитета по культуре города Барнаула. Если нарушение ИБ было вызвано незнанием нарушителем ИБ правил (технологии) работы с информационными ресурсами высокого уровня безопасности, то основанием для возврата прав доступа является успешное прохождение повторного инструктажа сотрудниками отделов, ознакомлением с положениями должностной инструкции, иными локальными нормативными актами комитета по культуре города Барнаула.
5.8. Восстановление временно отключенных у нарушителя ИБ прав доступа к ИС (разблокировка пользователя) может производиться только по заявке руководителя нарушителя ИБ или осуществляющего разбирательство сотрудника.
Оформление результатов проведенного разбирательства
6.1. Собранная в процессе разбирательства инцидента ИБ информация фиксируется осуществляющим разбирательство сотрудником в картотеке данных «Инциденты ИБ» и учитывается при подготовке итогового заключения по инциденту ИБ.
6.2. Осуществляющий разбирательство сотрудник формирует, согласовывает со всеми участниками разбирательства и подписывает итоговое заключение по расследованию инцидента ИБ.
6.3. Итоговое заключение по инциденту ИБ осуществляющий разбирательство сотрудник направляет председателю комитета по культуре города Барнаула.
6.4. Осуществляющий разбирательство сотрудник фиксирует завершение разбирательства в карточке «Инциденты ИБ» и присваивает инциденту статус «Разбирательство завершено».
6.5. Осуществляющий разбирательство сотрудник, при необходимости определения правовой оценки инцидента ИБ, может обратиться за консультациями в другие подразделения комитета по культуре города Барнаула и соответствующие организации. В этом случае информацию по инциденту ИБ осуществляющий разбирательство сотрудник передает с грифом «Конфиденциально».
6.6. В случае выявления в инциденте ИБ признаков административного правонарушения или уголовного преступления, относящихся к сфере информационных технологий, осуществляющий разбирательство сотрудник передает все материалы по инциденту ИБ председателю комитета по культуре города Барнаула для принятия решения, в соответствии с установленным порядком, о подаче заявления в правоохранительные органы Российской Федерации.
6.7. Осуществляющий разбирательство сотрудник фиксирует полученную дополнительную информацию в карточке данных «Инциденты ИБ» и информирует председателя комитета по культуре города Барнаула.
Завершение разбирательства, превентивные мероприятия
7.1. По завершению разбирательства инцидента ИБ, осуществляющий разбирательство сотрудник передает имеющиеся материалы (в объеме, достаточном для принятия решения) вышестоящему руководителю нарушителя ИБ (здесь и далее – в случае внутреннего нарушителя ИБ) для решения вопроса о целесообразности привлечения нарушителя ИБ к дисциплинарной ответственности.
7.2. На основании полученных результатов разбирательства руководитель структурного подразделения в срок не более 3 (трех) рабочих дней организовывает проведение одного или нескольких мероприятий, направленных на снижение рисков информационной безопасности в будущем:
7.2.1. повторное ознакомление нарушителя ИБ с Правилами;
7.2.2. анализ и пересмотр имеющихся прав доступа к информационным ресурсам у нарушителя ИБ;
7.2.3. доведение до всех пользователей ИСПДн требований внутренних нормативных документов комитета по культуре города Барнаула;
7.2.4. отмена неактуальных прав доступа к информационным ресурсам;
7.2.5. проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
7.2.6. другие обоснованные мероприятия.
Права, обязанности и ответственность участников разбирательства
8.1. Осуществляющий разбирательство сотрудник имеет право:
8.1.1. по согласованию с непосредственным руководителем нарушителя ИБ требовать предоставлений письменных объяснений по обстоятельствам инцидента ИБ у нарушителя ИБ;
8.1.2. запрашивать и получать от пользователей ИСПДн, в рамках их компетенций, устные и письменные разъяснения и иную информацию, необходимую для проведения разбирательства инцидента ИБ;
8.1.3. инициировать на основании заявок отключение от информационных ресурсов пользователей ИСПДн, нарушивших правила или требования ИБ, на период проведений расследования инцидента ИБ в случае если имеется существенный риск того, что продолжение пользователя с ИС может повлечь значительное увеличение ущерба или новые инциденты ИБ;
8.1.4. инициировать процедуры привлечения нарушителя ИБ к дисциплинарной/ материальной ответственности.
8.2. Осуществляющий разбирательство сотрудник обязан:
8.2.1. объективно и основательно проводить разбирательство каждого инцидента ИБ;
8.2.2. определять первоочередные меры, направленные на локализацию инцидента ИБ и минимизацию негативных последствий;
8.2.3. фиксировать в карточке данных «Инциденты ИБ» всю исходную информацию об инциденте ИБ и результаты его расследования;
8.2.4. предоставлять отчеты и рекомендации по проведенным разбирательствам председателю комитета по культуре города Барнаула;
8.2.5. проводить анализ обстоятельств, способствовавших совершению каждого инцидента ИБ, и на его основе, разрабатывать рекомендации и предложения по оптимизации бизнес-процессов и снижения ущерба от подобных инцидентов ИБ и минимизации возможности их повторения в будущем;
8.2.6. составление заключений по фактам инцидентов ИБ, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
8.3. Пользователи ИСПДн обязаны:
8.3.1. предоставлять по запросам проводящего разбирательство сотрудника устные и письменные разъяснения и иную информацию в рамках своей компетенции;
8.3.2. необходимую для проведения разбирательства инцидента ИБ;
8.3.3. информировать АИБа о выявленных инцидентах ИБ.
КОМИТЕТ ПО КУЛЬТУРЕ ГОРОДА БАРНАУЛА
ПРИКАЗ
22.09.2020 №69
Об организации работы с персональными данными в комитете по культуре города Барнаула
В целях соблюдения требований Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и других нормативно-правовых актов и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.
ПРИКАЗЫВАЮ:
Назначить программиста Шурыгина Дмитрия Николаевича администратором информационной безопасности, внести в должностную инструкцию соответствующие изменения.
Назначить председателя комитета по культуре города Паршкова Валерия Геннадьевича ответственным за организацию обработки персональных данных, внести в должностную инструкцию соответствующие изменения.
Назначить программиста Шурыгина Дмитрия Николаевича ответственным за обеспечение безопасности персональных данных в информационных системах, внести в должностную инструкцию соответствующие изменения.
Назначить программиста Шурыгина Дмитрия Николаевича ответственным за антивирусную проверку, внести в должностную инструкцию соответствующие изменения.
Назначить программиста Шурыгина Дмитрия Николаевича ответственным за техническое обслуживание, внести в должностную инструкцию соответствующие изменения.
Назначить программиста Шурыгина Дмитрия Николаевича ответственным за разработку, проведение мероприятий, направленных на выполнение требований законодательства и других нормативных документов в области персональных данных, внести в должностную инструкцию соответствующие изменения.
Утвердить:
7.1. Положение об обеспечении безопасности персональных данных при их обработке в информационной системе персональных данных комитета по культуре города Барнаула (Приложение 1).
7.2. Положение по удалению (изменению) персонифицированных записей из (в) информационной системы(е) персональных данных комитета по культуре города Барнаула (Приложение 2).
7.3. Инструкцию по выявлению инцидентов информационной безопасности информационной системы персональных данных (Приложение 3).
Программисту (Шурыгин Д.Н.) ознакомить сотрудников комитета по культуре города Барнаула с настоящим приказом.
Контроль за исполнением приказа оставляю за собой.
Председатель комитета В.Г. Паршков
Приложение 1
к приказу комитета
по культуре города Барнаула
от 28.08.2020 №61
ПОЛОЖЕНИЕ
об обеспечении безопасности персональных данных при их обработке в информационной системе персональных данных комитета по культуре города Барнаула
Перечень используемых определений, обозначений и сокращений
ПДн – персональные данные.
ИСПДн – информационная система персональных данных.
Общие положения
2.1. Положение об обеспечении безопасности персональных данных, (далее – ПДн), при их обработке в ИСПДн комитета по культуре города Барнаула (далее – Положение) разработано во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников», Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и других нормативно-правовых актов и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности ПДн при их обработке в ИСПДн.
2.2. Настоящее Положение определяет политику комитета по культуре города Барнаула (далее – Оператор) в отношении обработки ПДн и является общедоступным документом.
2.3. Требования настоящего Положения являются обязательными для исполнения всеми сотрудниками Оператора, получившими доступ к ПДн.
2.4. Решения об изменении настоящего Положения принимаются на основании:
2.4.1. результатов проведенных аудитов, мероприятий по контролю и надзору за обеспечением безопасности персональных данных, осуществляемых уполномоченными органами;
2.4.2. изменений нормативно-правовых актов и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности ПДн при их обработке в ИСПДн;
2.4.3. изменений процессов обработки персональных данных в ИСПДн Оператора;
2.4.4. результатов анализа инцидентов информационной безопасности в ИСПДн.
2.5. В настоящем Положении используются следующие понятия и термины:
2.5.1. ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
2.5.2. Оператор – комитет по культуре города, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку ПДн, а также определяющий цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
2.5.3. обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
2.5.4. автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
2.5.5. распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц;
2.5.6. предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
2.5.7. блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
2.5.8. уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и МИС и (или) в результате которых уничтожаются материальные носители ПДн;
2.5.9. обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
2.5.10. информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
2.5.11. трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.6. Оператором является:
Комитет по культуре города Барнаула;
ИНН: 2225020850;
Адрес местонахождения: 656056, Алтайский край, г. Барнаул, пр-кт Ленина, 6.
2.7. Обработка персональных данных осуществляется Оператором по адресу: 656056, Алтайский край, г. Барнаул, пр-кт Ленина, 6, с 26.11.1997 на основании включения в реестр Операторов, осуществляющих обработку персональных данных (Регистрационный номер «09-0064941» от 10.09.2009).
Общие принципы и условия обработки ПДн
3.1. Оператор осуществляет обработку ПДн работников (лиц, замещающих должности муниципальной гражданской службы) и лиц, не являющихся таковыми.
3.2. Обработка осуществляется в целях исполнения функций, определенных законами и иными нормативно-правовыми актами Российской Федерации, а также в рамках осуществления видов деятельности, определенных во внутренних документах Оператора.
3.3. При обработке ПДн Оператор руководствуется следующими принципами и условиями:
3.3.1. обработка ПДн должна осуществляться на законной и справедливой основе;
3.3.2. обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн за исключением случаев, определенных пп. 2-11 ч.1 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
3.3.3. обработка специальных категорий ПДн осуществляется в случаях, предусмотренных пп.1-9 ч.2. ст. 10 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
3.3.4. обработка биометрических категорий ПДн осуществляется только при наличии согласия в письменной форме субъекта ПДн за исключением случаев, предусмотренных ч.2. ст. 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
3.3.5. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение Оператора). Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящим Федеральным законом. В поручении Оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона от 27 июля 2006 №152-ФЗ «О персональных данных»;
3.3.6. обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
3.3.7. не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
3.3.8. обработке подлежат только ПДн, которые отвечают целям их обработки;
3.3.9. содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
3.3.10. при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
3.3.11. хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.4. Оператор самостоятельно определяет содержание, объем, цели обработки и сроки хранения ПДн.
3.5. Принятые Оператором документы, определяющие политику Оператора в отношении обработки ПДн, локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений доводятся до сотрудников Оператора в части касающихся их.
Правовые основания обработки ПДн
4.1. Оператор осуществляет обработку ПДн на основании следующих нормативно-правовых актов Российской Федерации:
4.1.1. Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
4.1.2. Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
4.1.3. Трудовой кодекс РФ;
4.1.4. Налоговый кодекс РФ;
4.1.5. Раздел VI Трудового кодекса Российской Федерации;
4.1.6. постановление Правительства Российской Федерации от 02.06.2008 № 420 «О Федеральной службе государственной статистики»;
4.1.7. Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации».
Цели обработки ПДн
5.1. Обработка ПДн осуществляется в целях:
5.1.1. Осуществление бухгалтерского и налогового учета, ведение документооборота с Федеральной налоговой службой Росси, Пенсионным фондом Российской Федерации, Фондом социального страхования Российской Федерации, Федеральной службой государственной статистики;
5.1.2. Оплата труда сотрудников комитета.
Категории обрабатываемых ПДн, источники их получения, сроки обработки и хранения
6.1. В ИСПДн данных Оператора обрабатываются следующие категории ПДн:
- Фамилия;
- Имя;
- Отчество;
- номер расчетного счета;
- сведения о заработной плате;
- Паспортные данные или данные иного документа, удостоверяющего личность и гражданство (серия, номер, дата выдачи, наименование органа, выдавшего документ);
- ИНН;
- СНИЛС;
- Адрес места жительства (по паспорту).
- Персональные данные предоставляются лично субъектом с согласия субъекта персональных данных или его законным представителем.
6.1.1. Срок обработки ПДн сотрудников составляет 75 лет.
Сведения о третьих лицах, участвующих в обработке ПДн
7.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки Оператор, а также с согласия субъектов ПДн в ходе своей деятельности предоставляет ПДн следующим организациям:
7.1.1. Отделение Пенсионного фонда России по Алтайскому краю;
7.1.2. Федеральная налоговая служба Российской Федерации.
7.1.3. При получении, в рамках установленных полномочий, мотивированных запросов органов прокуратуры, правоохранительных органов, органов безопасности, государственного инспектора труда при осуществлении им государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченным запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
7.2. Оператор не поручает обработку ПДн другим лицам.
Обязанности и права Оператора ПДн
8.1. Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его ПДн.
8.2. Оператор обязан разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.
8.3. Оператор обязан рассмотреть возражение против решения, принятого на основании исключительно автоматизированной обработки ПДн субъекта ПДн, в течение тридцати дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения.
8.4. При сборе ПДн Оператор обязан предоставить субъекту ПДн по его просьбе информацию, предусмотренную ч.7 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
8.5. Если предоставление ПДн является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.
8.6. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя.
8.7. Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
8.8. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
8.9. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн Оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Оператор обязан осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
8.10. В случае подтверждения факта неточности ПДн Оператор на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
8.11. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
8.12. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими нормативно-правовыми актами.
8.13. В случае отзыва субъектом ПДн согласия на обработку его ПДн Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
8.14. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п. 8.11 – 8.13 настоящего положения, Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Права субъектов ПДн
9.1. Субъект ПДн имеет право на получение сведений об обработке его ПДн Оператором.
9.2. Субъект ПДн вправе требовать от Оператора, который их обрабатывает, уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. В случае, если сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
9.4. Субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в ч. 7 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в ч. 4 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
9.5. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в следующих случаях:
9.5.1. если обработка ПДн, включая те, что получены в результате оперативно–розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;
9.5.2. если обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
9.5.3. если обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
9.5.4. если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
9.5.5. если обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
9.5.6. если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
9.6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Меры по обеспечению безопасности ПДн при их обработке
10.1. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн , а также от иных неправомерных действий в отношении ПДн.
10.2. Обеспечение безопасности достигается:
10.2.1. определением угроз безопасности ПДн при их обработке в ИСПДн;
10.2.2. применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
10.2.3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
10.2.4. учетом машинных носителей ПДн;
10.2.5. обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
10.2.6. восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.2.7. установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
Ответственность за разглашение информации, связанной с ПДн
11.1. Лица, виновные в нарушении требований настоящего Федерального законодательства, несут ответственность, предусмотренную законодательством Российской Федерации.
11.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, установленных настоящим Федеральным законом, а также требований к защите ПДн, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.
Приложение 2
к приказу комитета
по культуре города Барнаула
от 28.08.2020 №61
ПОЛОЖЕНИЕ
по удалению (изменению) персонифицированных записей из (в) информационной системы(е) персональных данных комитета по культуре города Барнаула
Перечень используемых определений, обозначений и сокращений
АИБ – администратор информационной безопасности.
КИ – конфиденциальная информация.
ИС – информационная система.
ПДн – персональные данные.
ИСПДн – информационная система персональных данных.
Администратор информационной безопасности – специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ИС, в том числе ИСПДн, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.
Общие положения
2.1. Настоящая Инструкция устанавливает основные требования к удалению (изменению) персонифицированных записей из (в) ИСПДн комитета по культуре города Барнаула.
2.2. Ответственность за соблюдение требований настоящей инструкции сотрудниками комитета по культуре города Барнаула возлагается персонально на сотрудников, контроль – возлагается на АИБа.
2.3. Положения данной инструкции обязательны для выполнения всеми сотрудниками комитета по культуре города Барнаула, обрабатывающими ПДн в ИСПДн комитета по культуре города Барнаула, а также имеющими допуск к обработке ПДн.
2.4. Полное (частичное) удаление персонифицированных записей о субъектах ПДн производится по достижении цели обработки таких данных, указанных в согласии на обработку или по письменному заявлению субъекта ПДн о прекращении обработки его ПДн (заявления о сокращении перечня ПДн, предъявляемых для обработки). Полное (частичное) удаление персонифицированных записей производится в течение 3 дней с момента подачи заявления от субъекта ПДн.
2.5. Изменение ПДн субъекта производиться только по его письменному заявлению об уточнении обрабатываемых ПДн в течение 3 дней с момента подачи заявления.
Порядок удаления (изменения) персонифицированных записей из (в) ИСПДн
3.1. Уничтожение ПДн из ИСПДн производится средствами ИСПДн, предусматривающими выполнение данной операции.
3.2. По факту полного/частичного удаления персонифицированных записей комиссией из 3-х человек, в состав которой должен входить сотрудник, работающий с ИСПДн, составляется Акт. По факту уничтожения ПДн из нескольких ИСПДн допускается оформлять один Акт. Акт храниться у АИБа.
3.3. В случае если удаление ПДн производиться по заявлению субъекта о прекращении обработки его ПДн (о сокращении перечня ПДн, предъявляемых для обработки), по факту исполнения заявления сотрудником комитета по культуре города Барнаула, выполнившим удаление ПДн, на заявлении делается дополнительная отметка об исполнении. Названное положение не отменяет требования п. 3.2 настоящего Положения.
3.4. По факту изменения ПДн, производящегося по заявлению субъекта об уточнении обрабатываемых его ПДн, сотрудником Комитета по культуре города Барнаула, выполнившим данные изменения, на заявлении делается отметка об исполнении.
Приложение 3
к приказу комитета
по культуре города Барнаула
от 28.08.2020 №61
ИНСТРУКЦИЯ
по выявлению инцидентов информационной безопасности информационной системы персональных данных
Перечень используемых определений, обозначений и сокращений
АИБ – администратор информационной безопасности.
ИБ – информационная безопасность.
ИС – информационная система.
ИСПДн – информационная система персональных данных.
Администратор информационной безопасности – специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ИС, в том числе ИСПДн, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.
Общие положения
2.1. Настоящая Инструкция устанавливает правила выявления фактов несоблюдения условий обработки защищаемой информации, использования средств защиты информации, которые могут привести к нарушению конфиденциальности, целостности и доступности защищаемой информации или другим нарушениям, приводящим к снижению класса защищенности государственной информационной системы, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений, а так же выявления и предотвращения иных инцидентов информационной безопасности ИСПДн комитета по культуре города Барнаула.
2.2. Инструкция разработана в соответствии с:
2.2.1. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
2.2.2. Приказом Федеральной службы по техническому и экспортному контролю России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
2.2.3. иными нормативными правовыми актами, а также в соответствии с локальными нормативными актами организации.
2.3. Настоящая Инструкция обязательна к соблюдению всеми пользователями ИСПДн комитета по культуре города Барнаула.
2.4. Разбирательство по всем инцидентам ИБ проводится АИБом комитета по культуре города Барнаула.
Выявление инцидента информационной безопасности
3.1. Основными источниками информации об Инцидентах ИБ являются:
3.1.1. факты, выявленные пользователями ИСПДн, администратором ИС, АИБом;
3.1.2. результаты работы средств мониторинга ИБ, результаты проверок и аудита (внутреннего или внешнего);
3.1.3. запросы и предписания органов надзора;
3.1.4. другие источники информации.
3.2. Пользователь ИСПДн может выявить признаки наличия инцидента ИБ путем анализа текущей ситуации на предмет ее соответствия требованиям, утвержденных в локальных актах комитета по культуре города Барнаула. Любые сведения о происшествии или инциденте ИБ должны быть незамедлительно переданы выявившим их пользователем АИБу.
Анализ исходной информации и принятие решения о проведении разбирательства
4.1. АИБ после получения информации о предполагаемом инциденте ИБ незамедлительно проводит первоначальный анализ полученных данных. В процессе анализа сотрудник проводит проверку наличия в выявленном факте нарушений.
4.2. По решению АИБа единичный инцидент ИБ, не приведший к негативным последствиям и совершенный пользователем ИСПДн впервые, фиксируется в карточке данных «Инциденты ИБ» с присвоением статуса «Разбирательство не требуется».
4.3. В случае наличия признаков инцидента ИБ, АИБ по общим вопросам определяет предварительную степень важности инцидента ИБ и принимает решение о необходимости проведения разбирательства, информирует руководителя структурного подразделения (начальника отдела) об инциденте ИБ, инициирует формирование регистрационной карточки инцидента с присвоением ему статуса «В процессе разбирательства».
4.4. В срок не более 3 (трех) рабочих дней с момента поступления информации об инциденте ИБ, АИБ определяет и инициирует первоочередные меры, направленные на локализацию инцидента и на минимизацию его последствий.
Разбирательство инцидента информационной безопасности
5.1. Целями разбирательства инцидентов ИБ являются:
5.1.1. выработка организационных и технических решений, направленных на снижение рисков нарушения информационной безопасности, предотвращение и минимизацию подобных нарушений в будущем;
5.1.2. защита прав пользователей ИСПДн комитета по культуре города Барнаула, установленных законодательством Российской Федерации;
5.1.3. обеспечение безопасности защищаемой информации;
5.1.4. предотвращение несанкционированного доступа к защищаемой информации.
5.2. Разбирательство инцидента ИБ состоит из следующих этапов:
5.2.1. подтверждение/опровержение факта возникновения инцидента ИБ;
5.2.2. подтверждение/корректировка уровня значимости инцидента ИБ;
5.2.3. уточнение дополнительных обстоятельств (деталей) инцидента ИБ;
5.2.4. получение (сбор) доказательств возникновения инцидента ИБ, обеспечение их сохранности и целостности;
5.2.5. минимизация последствий инцидента ИБ;
5.2.6. информирование и консультирование пользователей ИСПДн по действиям обнаружения, устранения последствий и предотвращения инцидентов ИБ;
5.2.7. разработка мероприятий по обнаружению и/или предупреждению инцидентов ИБ;
5.2.8. создание Рабочей группы для проведения расследования Инцидента ИБ:
5.3. При необходимости АИБ незамедлительно уведомляет комитет по культуре города Барнаула о факте инцидента ИБ и инициирует создание рабочей группы для разбирательства указанного инцидента ИБ. Взаимодействие между членами рабочей группы осуществляется в рабочем порядке с соблюдением при этом требований конфиденциальности. При необходимости проводятся заседания рабочей группы, время, место и темы которых определяются ее руководителем. В иных случаях АИБ может проводить расследование инцидента ИБ самостоятельно с подготовкой всех необходимых документов.
5.4. Порядок проведения разбирательства инцидента ИБ:
5.4.1. В процессе проведения разбирательства инцидента ИБ обязательными для установления являются:
- дата и время совершения инцидента ИБ;
- ФИО, должность и подразделение нарушителя ИБ (в случае внутреннего нарушителя ИБ);
- уровень критичности инцидента ИБ;
- обстоятельства и мотивы совершения инцидента ИБ;
- информационные ресурсы, затронутые инцидентом ИБ;
- характер и размер реального и потенциального ущерба;
- обстоятельства, способствовавшие совершению инцидента ИБ.
5.4.2. После получения необходимой информации по инциденту ИБ осуществляющий разбирательство сотрудник проводит анализ полученных данных.
5.4.3. Осуществляющий разбирательство сотрудник проводит оценку негативных последствий от реализации инцидента ИБ. В ходе данной оценки учитываются:
- прямой финансовый ущерб;
- репутационный ущерб;
- потенциальный ущерб;
- косвенные потери, связанные с недоступностью сервисов, потерей информации;
- другие виды ущерба или аспекты негативных последствий для комитета по культуре города Барнаула или ее пользователей.
5.5. В течение 5 (пяти) рабочих дней с момента назначения осуществляющего разбирательство сотрудника (формирования рабочей группы), осуществляющий разбирательство сотрудник запрашивает у руководителя структурного подразделения (начальника отдела) объяснительную записку нарушителя ИБ (в случае внутреннего нарушителя ИБ). Объяснительная записка должна быть составлена, подписана нарушителем ИБ в течение (двух) рабочих дней и представлена его непосредственным руководителем осуществляющему разбирательство сотруднику в течение 3 (трех) рабочих дней с момента поступления запроса. В случае отказа нарушителя ИБ предоставить объяснительную записку, осуществляющему разбирательство сотруднику предоставляется акт, составленный в соответствии с установленным порядком.
5.6. С целью минимизации последствий инцидента ИБ возможно временное отключение прав доступа сотрудника к ИС на время проведения расследования предварительно сделав заявку. Подобное отключение инициируется осуществляющим разбирательство сотрудником с обязательным предварительным устным согласованием с руководителем нарушителя.
5.7. В случае, если у нарушителя ИБ были отключены права доступа к ИС на время проведения разбирательства, то по его результатам осуществляющий разбирательство сотрудник по согласованию с руководителем нарушителя ИБ принимает решение и инициирует возвращение в полном или ограниченном объеме ранее имеющихся у нарушителя ИБ прав доступа к ИС либо инициирует официальную процедуру отмены (изменения) прав доступа к ИС в соответствии с установленным порядком в комитета по культуре города Барнаула. Если нарушение ИБ было вызвано незнанием нарушителем ИБ правил (технологии) работы с информационными ресурсами высокого уровня безопасности, то основанием для возврата прав доступа является успешное прохождение повторного инструктажа сотрудниками отделов, ознакомлением с положениями должностной инструкции, иными локальными нормативными актами комитета по культуре города Барнаула.
5.8. Восстановление временно отключенных у нарушителя ИБ прав доступа к ИС (разблокировка пользователя) может производиться только по заявке руководителя нарушителя ИБ или осуществляющего разбирательство сотрудника.
Оформление результатов проведенного разбирательства
6.1. Собранная в процессе разбирательства инцидента ИБ информация фиксируется осуществляющим разбирательство сотрудником в картотеке данных «Инциденты ИБ» и учитывается при подготовке итогового заключения по инциденту ИБ.
6.2. Осуществляющий разбирательство сотрудник формирует, согласовывает со всеми участниками разбирательства и подписывает итоговое заключение по расследованию инцидента ИБ.
6.3. Итоговое заключение по инциденту ИБ осуществляющий разбирательство сотрудник направляет председателю комитета по культуре города Барнаула.
6.4. Осуществляющий разбирательство сотрудник фиксирует завершение разбирательства в карточке «Инциденты ИБ» и присваивает инциденту статус «Разбирательство завершено».
6.5. Осуществляющий разбирательство сотрудник, при необходимости определения правовой оценки инцидента ИБ, может обратиться за консультациями в другие подразделения комитета по культуре города Барнаула и соответствующие организации. В этом случае информацию по инциденту ИБ осуществляющий разбирательство сотрудник передает с грифом «Конфиденциально».
6.6. В случае выявления в инциденте ИБ признаков административного правонарушения или уголовного преступления, относящихся к сфере информационных технологий, осуществляющий разбирательство сотрудник передает все материалы по инциденту ИБ председателю комитета по культуре города Барнаула для принятия решения, в соответствии с установленным порядком, о подаче заявления в правоохранительные органы Российской Федерации.
6.7. Осуществляющий разбирательство сотрудник фиксирует полученную дополнительную информацию в карточке данных «Инциденты ИБ» и информирует председателя комитета по культуре города Барнаула.
Завершение разбирательства, превентивные мероприятия
7.1. По завершению разбирательства инцидента ИБ, осуществляющий разбирательство сотрудник передает имеющиеся материалы (в объеме, достаточном для принятия решения) вышестоящему руководителю нарушителя ИБ (здесь и далее – в случае внутреннего нарушителя ИБ) для решения вопроса о целесообразности привлечения нарушителя ИБ к дисциплинарной ответственности.
7.2. На основании полученных результатов разбирательства руководитель структурного подразделения в срок не более 3 (трех) рабочих дней организовывает проведение одного или нескольких мероприятий, направленных на снижение рисков информационной безопасности в будущем:
7.2.1. повторное ознакомление нарушителя ИБ с Правилами;
7.2.2. анализ и пересмотр имеющихся прав доступа к информационным ресурсам у нарушителя ИБ;
7.2.3. доведение до всех пользователей ИСПДн требований внутренних нормативных документов комитета по культуре города Барнаула;
7.2.4. отмена неактуальных прав доступа к информационным ресурсам;
7.2.5. проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
7.2.6. другие обоснованные мероприятия.
Права, обязанности и ответственность участников разбирательства
8.1. Осуществляющий разбирательство сотрудник имеет право:
8.1.1. по согласованию с непосредственным руководителем нарушителя ИБ требовать предоставлений письменных объяснений по обстоятельствам инцидента ИБ у нарушителя ИБ;
8.1.2. запрашивать и получать от пользователей ИСПДн, в рамках их компетенций, устные и письменные разъяснения и иную информацию, необходимую для проведения разбирательства инцидента ИБ;
8.1.3. инициировать на основании заявок отключение от информационных ресурсов пользователей ИСПДн, нарушивших правила или требования ИБ, на период проведений расследования инцидента ИБ в случае если имеется существенный риск того, что продолжение пользователя с ИС может повлечь значительное увеличение ущерба или новые инциденты ИБ;
8.1.4. инициировать процедуры привлечения нарушителя ИБ к дисциплинарной/ материальной ответственности.
8.2. Осуществляющий разбирательство сотрудник обязан:
8.2.1. объективно и основательно проводить разбирательство каждого инцидента ИБ;
8.2.2. определять первоочередные меры, направленные на локализацию инцидента ИБ и минимизацию негативных последствий;
8.2.3. фиксировать в карточке данных «Инциденты ИБ» всю исходную информацию об инциденте ИБ и результаты его расследования;
8.2.4. предоставлять отчеты и рекомендации по проведенным разбирательствам председателю комитета по культуре города Барнаула;
8.2.5. проводить анализ обстоятельств, способствовавших совершению каждого инцидента ИБ, и на его основе, разрабатывать рекомендации и предложения по оптимизации бизнес-процессов и снижения ущерба от подобных инцидентов ИБ и минимизации возможности их повторения в будущем;
8.2.6. составление заключений по фактам инцидентов ИБ, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
8.3. Пользователи ИСПДн обязаны:
8.3.1. предоставлять по запросам проводящего разбирательство сотрудника устные и письменные разъяснения и иную информацию в рамках своей компетенции;
8.3.2. необходимую для проведения разбирательства инцидента ИБ;
8.3.3. информировать АИБа о выявленных инцидентах ИБ.
Дополнительные сведения
| Государственные публикаторы: | официальный Интернет-сайт города № 69 от 23.09.2020 |
| Рубрики правового классификатора: | 150.020.030 Муниципальные информационные системы персональных данных. |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
