Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми ...



БАШ[ОРТОСТАН РЕСПУБЛИКА]Ы

Совет сельского поселения Кара-Якуповский сельсовет

муниципального района Чишминский район Республики Башкортостан

РЕШЕНИЕ

05 марта 2020 года №15

Об утверждении перечня

мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами

В соответствии с Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ и в целях реализации Постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

Совет сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан

РЕШИЛ:

1. Утвердить и ввести в действие организационно-распорядительные документы, регламентирующие порядок работы по обработке и защите персональных данных:

Правила обработки, хранения и уничтожения персональных данных (приложение № 1).

Политика обработки персональных данных (приложение № 2).

Перечень информационных систем персональных данных (приложение № 3).

Перечень персональных данных (приложение № 4).

Порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных (приложение № 5).

Инструкция лица, ответственного за организацию обработки персональных данных (приложение № 6).

Инструкция лица, ответственного за обеспечение безопасности персональных данных (приложение № 7).

Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации (приложение №8).

Типовая форма согласия субъекта на обработку персональных данных (приложение № 9).

Типовая форма обязательства о неразглашении конфиденциальной информации (персональных данных), не содержащих сведений, составляющих государственную тайну (приложение № 10).

Типовая форма акта об уничтожении персональных данных (приложение № 11).

Правила проведения мероприятий по контролю процессов обработки и защиты ПДн (приложение № 12).

Правила рассмотрения запросов субъектов персональных данных или их представителей (приложение № 13).

Журнал учета машинных носителей информации (приложение № 14).

Журнал учета применяемых средств защиты информации, эксплуатационной и технической документации к ним (приложение 15).

Положение по организации парольной защиты (приложение 16).

Положение по организации антивирусной защиты (приложение 17).

Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение № 18).

Правила работы с обезличенными данными (приложение № 19).

Инструкция по обеспечению безопасности персональных данных (приложение № 20).

Инструкция по действиям персонала во внештатных ситуациях при обработке конфиденциальной информации и персональных данных (приложение № 21).

2. Решение довести до сведения всех сотрудников и депутатов Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район республики Башкортостан.

3. Контроль за исполнением настоящего постановления оставляю за собой.

Глава сельского поселения Кара-Якуповский

сельсовет муниципального района Чишминский

район Республики Башкортостан

Р.З. Карагулов

Приложение № 1

к решению

Совета сельского поселения

Кара-Якуповский сельсовет

муниципального района

Чишминский район

Республики Башкортостан

от 05 марта 2020 года № 15

Правила

обработки, хранения и уничтожения персональных данных

Общие положения

Настоящие Правила обработки, хранения и уничтожения персональных данных (далее – Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Настоящие Правила определяют правила обработки персональных данных; сроки обработки и хранения персональных данных, порядок их уничтожения, ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных в Совете сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан (далее - Оператор).

Организацию работ по осуществлению обработки и защиты персональных данных, осуществлению контроля за соблюдением требований законодательства по персональным данным и локальных актов Оператора осуществляет Ответственный за организацию обработки персональных данных.

Текущий контроль за соблюдением правил по обработке персональных данных без использования средств автоматизации осуществляет Ответственный за организацию обработки персональных данных.

Настоящие Правила не исключают обязательного выполнения других руководящих документов по вопросам обработки, передачи, хранения и уничтожения персональных данных.

Должностные лица, допустившие нарушения требований руководящих и нормативных документов по вопросам защиты персональных данных, привлекаются к ответственности в соответствии с законодательством Российской Федерации.

2. Основные понятия

В настоящих Правилах используются следующие основные понятия:

персональные данные субъекту персональных данных - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу;

персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных

(внесены изменения Решением Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан от 16 апреля 2021 года № 18)

обработка персональных данных - любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированное рабочее место (АРМ) — программно-технический комплекс автоматизированной системы, предназначенный для автоматизации деятельности определенного вида;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

конфиденциальность персональных данных - обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

носитель - материальный объект, в том числе физическое поле, в котором информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Общие требования к обработке персональных данных

Обработке подлежат только те персональные данные, которые отвечают целям их обработки.

Сотрудники Оператора и иные лица, получившие доступ к персональным данным, не вправе раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Персональные данные не могут быть использованы в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и свобод граждан.

Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно, либо его законным представителем. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с федеральным законодательством.

Необходимо получить согласие субъекта персональных данных на обработку его персональных данных (за исключением случаев, предусмотренных федеральными законами):

при передаче персональных данных третьим лицам;

при распространении персональных данных,

при принятии решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

Обязанность получения письменного согласия на обработку персональных данных субъекта персональных данных возлагается на главного специалиста Оператора.

Оператор не вправе запрашивать у субъектов информацию об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

3.8 Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных.

(внесены дополнения Решением Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан от 16 апреля 2021 года № 18)

3.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

3.1.1 Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

3.1.2 В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3.1.3 В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3.1.4 В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

3.1.5 В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 статьи 10.1 Федерального закона «О персональных данных», такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

3.1.6 Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

3.1.7 Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

3.1.8 Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

3.1.9 В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

3.1.10 Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

3.1.11 Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

3.1.12 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

3.1.13 Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 статьи 10.1 Федерального закона «О персональных данных».

3.1.14 Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение 3 рабочих дней с момента вступления решения суда в законную силу.

3.1.15 Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

(внесены дополнения Решением Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан от 16 апреля 2021 года № 18)

4. Порядок обработки персональных данных в информационной системе персональных данных

В информационной системе персональных данных должна соблюдаться парольная защита.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Все машинные носители информации, на которых записана информация, содержащая персональные данные субъектов, должны быть зарегистрированы в «Журнале учета машинных носителей информации», и иметь этикетку, на которой указывается учетный (регистрационный) номер.

При эксплуатации информационной системы, предназначенной для обработки персональных данных, пользователям запрещается:

вносить изменения в состав, конструкцию, конфигурацию и размещение технических средств информационной системы;

вносить изменения в состав программного обеспечения, структуру файловой системы;

осуществлять попытки несанкционированного доступа к ресурсам информационной системы и к информации других пользователей;

подключать информационную систему персональных данных к информационным сетям общего пользования без использования дополнительных средств защиты (сертифицированные межсетевые экраны и средства криптографической защиты данных);

использовать неучтенные машинные накопители информации.

При проведении технического обслуживания и ремонта компонентов информационной системы персональных данных, запрещается передавать указанные компоненты третьим лицам в отсутствии пункта о соблюдении конфиденциальности в соглашении, заключенном с этими лицами.

Обязанности сотрудника по обработке ПДн в информационной системе персональных данных:

при работе с АРМ использовать только установленное программное обеспечение, необходимое для выполнения должностных обязанностей сотрудника;

при обработке персональных данных на АРМ исключить возможность ознакомления посторонних лиц с электронными документами;

при отлучении с рабочего места закрывать все электронные документы, базы данных, содержащие персональные данные, блокировать АРМ;

использовать только учтенные машинные носители информации;

обеспечивает сохранность машинных носителей информации;

при повреждении и выходе из строя внешних машинных носителей сдавать их для уничтожения;

докладывать непосредственному руководителю о выявленных или допущенных нарушениях правил.

5. Порядок обработки персональных данных без использования средств автоматизации

Персональные данные при их обработке без использования средств автоматизации, фиксируются на отдельных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на носителях не допускается фиксация на одном носителе персональных данных, цели обработки которых заведомо не совместимы.

При использовании типовых форм документов, характер информации в которых предполагается включение в них персональных данных, должно соблюдаться следующее условие: типовая форма или связанные с ней документы (административный регламент, инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки персональных данных.

В отношении каждой категории персональных данных должны быть определены места хранения персональных данных (носителей персональных данных) и установлен перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.

Обязанности сотрудника по обработке ПДн без использования средств автоматизации:

выполнять требования, установленные Правилами обработки, хранения и уничтожения персональных данных и Политикой обработки и защиты персональных данных;

обеспечить сохранность бумажных документов в процессе обработки и хранения;

исключать просмотр документов, содержащих персональные данные, третьими лицами, в том числе сотрудниками Оператора, которым не предоставлен доступ к данным документам;

хранить документы на рабочем месте исключительно с целью обработки ПДн. При достижении целей обработки сдавать документы в архив, либо осуществлять в установленном порядке уничтожение документов;

в нерабочее время бумажные документы хранить в запираемых секциях рабочих столов или в шкафах, либо в запираемом помещении.

6. Порядок и срок хранения персональных данных

Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, иным нормативным правовым документом или договором, стороной которого, является субъект персональных данных.

Съемные машинные носители персональных данных должны храниться в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов).

Конкретные сроки хранения персональных данных указываются в номенклатуре дел.

Срок хранения персональных данных в электронном виде не может превышать срока хранения персональных данных на бумажных носителях.

Необходимо обеспечивать раздельное хранение персональных данных (носителей персональных данных), обработка которых осуществляется в различных целях.

Места хранения носителей персональных данных определяются распоряжением Председателя Совета.

Ответственный за организацию обработки персональных данных осуществляет контроль за хранением и использованием носителей персональных данных с целью исключения несанкционированного использования, изменения, распространения и уничтожения персональных данных, находящихся на этих носителях.

Вынос носителей персональных данных за пределы помещения Оператора допускается исключительно по служебной необходимости с разрешения непосредственного руководителя.

7. Передача персональных данных

Передача персональных данных третьим лицам возможна при соблюдении следующих условий:

Наличие письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральными законами.

Соблюдение лицами, получающими персональные данные субъекта, режима конфиденциальности персональных данных.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом о персональных данных. В поручении должны быть определены: перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с Федеральным законом о персональных данных.

Трансграничная передача персональных данных, обрабатываемых в Операторе, допускается в случаях, предусмотренных Федеральным Законодательством и международными договорами Российской Федерации.

Оператор передает персональные данные субъекта персональных данных третьим лицам на основании письменного запроса о предоставлении персональных данных (далее - запрос). Запрос должен содержать сведения о положениях федерального закона, устанавливающего право обратившегося на получение запрашиваемых персональных данных или о заключенном договоре (соглашении) об информационном взаимодействии с Оператором; о целях получения персональных данных; о составе персональных данных. В случае если запрос направляется по информационно-телекоммуникационным сетям, он должен быть подписан усиленной квалифицированной электронной подписью.

8. Доступ к персональным данным

Перечень должностей, допущенных к обработке персональных данных, утверждается распоряжением Председателя Совета.

В отношении отдельных категорий персональных данных возможно ограничение допуска сотрудников, занимающих одну должность, к обработке персональных данных, на основании распоряжения Председателя Совета.

Сотрудник, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

Сотрудник, допущенный к обработке персональных данных, принимает на себя обязательства в случае прекращения с ним трудовых отношений, перевода на другую работу, освобождения от работ, связанных с обработкой персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей. Обязательство в письменной форме приобщается к личному делу сотрудника.

Сотрудники, допущенные к обработке персональных данных, должны быть проинформированы о характере обработки, категориях обрабатываемых персональных данных, а также об особенностях и условиях осуществления такой обработки.

Субъект персональных данных, чьи персональные данные обрабатываются Оператором, имеет право на доступ к своим персональным данным в соответствие со статьей 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Порядок уничтожения персональных данных

9.1 Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по окончанию срока хранения бумажных носителей персональных данных, достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

Уничтожение персональных данных осуществляется комиссией с составлением акта, по истечению сроков хранения и обработки персональных данных.

Уничтожение бумажных носителей персональных данных должно осуществляться путем сожжения, либо измельчения в бумаго-уничтожающей машине.

При необходимости уничтожения части персональных данных, уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.

Уничтожение машинных носителей информации должно производится следующими способами:

оптические диски и дискеты – путем физического повреждения;

флеш накопители – путем ударно-механического повреждения основной платы, на которой располагается флеш память;

накопитель на жестком магнитном диске – путем измельчения магнитных дисков.

Для удаления персональных данных с машинных носителей информации могут использоваться программные методы гарантированного удаления информации, в которых используются алгоритмы гарантированного удаления данных.

Для удаления персональных данных из электронных баз данных применяются методы обезличивания персональных данных с целью невозможности определить принадлежность персональных данных конкретному субъекту в соответствие с Правилами работы с обезличенными данными.

Ответственность за неисполнение (ненадлежащее исполнение) настоящих Правил

Сотрудники несут ответственность за ненадлежащее исполнение или неисполнение настоящих Правил в соответствии с действующим законодательством Российской Федерации и локальными актами Оператора.

Приложение № 2

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Политика

обработки персональных данных

Общие положения

1.1.Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных к решению Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан (Далее - Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2.Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных».

1.3.Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.

1.4. К настоящей Политике имеет доступ любой субъект персональных данных. Политика публикуется на официальном сайте Оператора и размещается на информационных стендах Оператора.

1.5.Правовые основания обработки персональных данных:

Конституция Российской Федерации; Налоговый кодекс Российской Федерации; Семейный кодекс Российской Федерации; Кодекс Российской Федераций об административных правонарушениях; Трудовой кодекс Российской Федерации; Градостроительный кодекс, Федеральный закон Российской Федерации от 02.03.2007 №25-ФЗ «О муниципальной службе в Российской Федерации»; Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»; Федеральный закон от 01.04.1996 г. №27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон Российской Федерации от 9 февраля 2009 г. №8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»; Федеральный закон Российской Федерации от 27 июля 2010 г. №210-ФЗ «Об организации предоставления государственных и муниципальных услуг»; Федеральный закон Российской Федерации от 28 марта 1998 г. №53-Ф3 «О воинской обязанности и военной службе»; «Положение о воинском учете», утвержденное Постановлением Правительства Российской Федерации №719 от 27 ноября 2006 г.; Федеральный закон Российской Федерации от 06.10.2003 №131-Ф3 «Об общих принципах организации местного самоуправления в Российской Федерации»; Федеральный закон Российской Федерации «О трудовых пенсиях в Российской Федерации»; Федеральный закон Российской Федерации от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; Закон Республики Башкортостан от 12.12.2006 г. №391-з «Об обращениях граждан в Республике Башкортостан»; Федеральный закон от 19.05.1995 №82-ФЗ "Об общественных объединениях”; Федеральный закон от 02.04.2014 №44-ФЗ "Об участии граждан в охране общественного порядка"; Федеральный закон от 19 мая 1995 г. №81-ФЗ «О государственных пособиях гражданам, имеющим детей»; Указ Президента Российской Федерации от 06.03.97 г. №188-ФЗ «Перечень сведений конфиденциального характера»; Федеральный закон от 22.08.1996г. №125-ФЗ «О высшем и послевузовском образовании»; Постановление Правительства Российской Федерации от 27.11.2013 №1076-ФЗ «О порядке заключения и расторжения договора о целевом приеме и договора о целевом обучении»; Федеральный закон от 24.04.2008 № 48-ФЗ «Об опеке и попечительстве»; Федеральный закон от 16.04.2001 № 44-ФЗ «О государственном Банке данных о детях, оставшихся без попечения родителей»; постановление Правительства Российской Федерации от 29.03.2000 №275 «Об утверждении правил передачи детей на усыновление, удочерение) и осуществления контроля за условиями их жизни и воспитания в семьях усыновителей на территории Российской Федерации и правил постановки на учет консульскими учреждениями Российской Федерации детей, являющихся гражданами Российской Федерации и усыновленных иностранными гражданами или лицам без гражданства, дети, оставшиеся без попечения родителей, передаются на усыновление», Постановление Правительства Республики Башкортостан от 28 августа 2014 года №410 "Об утверждении Порядка проведения ремонта ранее занимаемых жилых помещений, расположенных на территории Республики Башкортостан, нанимателями или членами семей нанимателей по договорам социального найма либо собственниками которых являются дети-сироты и дети, оставшиеся без попечения родителей, Лиц из числа детей-сирот и детей, оставшихся без попечения родителей", Постановление Правительства Российской Федерации от 17.11.2010 г. № 927 «Об отдельных вопросах осуществления опеки и попечительства в отношении совершеннолетних недееспособных или не полностью дееспособных граждан», Постановление Правительства от 18.05.2009 г. №423-ПП «Об отдельных вопросах осуществления опеки и попечительства в отношении несовершеннолетних граждан», Постановление Правительства от 19.05.2009 г. №423-ПП «О временной передаче детей, находящихся в организациях для детей-сирот и детей, оставшихся без попечения родителей, в семьи граждан, постоянно проживающих на территории Российской Федерации», Постановление Правительства Республики Башкортостан от 27.09.2013 г. №438-ПП «Об утверждении порядка установления факта невозможности проживания детей-сирот и детей, оставшихся без попечения родителей, лиц из числа детей-сирот и детей, оставшихся без попечения родителей, в ранее занимаемых жилых помещениях, нанимателями или членами семей нанимателей по договорам социального найма либо собственниками которых они являются, и порядка выявления обстоятельств, свидетельствующих о необходимости оказания содействия детям-сиротам и детям, оставшимся без попечения родителей, лицам из числа детей-сирот и детей, оставшихся без попечения родителей, в преодолении трудной жизненной ситуации», Федеральным Законам от 24.06.1999 года №120-ФЗ «Об основах системы профилактики безнадзорности и правонарушений несовершеннолетних; Закон Республики Башкортостан «О местном самоуправлении в Республике Башкортостан»; Закон Республики Башкортостан от 23.03.1998 года №151-з «О системе профилактики безнадзорности и правонарушений несовершеннолетних, защиты их прав в Республики Башкортостан»; Закон Республики Башкортостан от 29.12.2007 года №522-з «О комиссиях по делам несовершеннолетних и защите их прав»; Закон Республики Башкортостан от 11 июля 2006 года №342-з «О патронатном воспитании в Республике Башкортостан»; Федеральный закон от 19 июня 2004 г. № 54-ФЗ "О собраниях, митингах, демонстрациях, шествиях и пикетированиях", Устав Администрации.

Основные цели обработки персональных данных

регистрация и учет депутатов Совета сельского поселения Кара-Якуповскийсельсовет муниципального района Чишминский район Республики Башкортостан, обеспечение соблюдения законов и иных нормативных правовых актов, контроль количества и качества выполняемой работы и обеспечение сохранности имущества;

обеспечение соблюдения законов и иных нормативных правовых актов в связи с оказанием муниципальных услуг и муниципальных функций;

рассмотрение обращений граждан.

Основные понятия, используемые в настоящей Политике

В настоящей Политике используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных

(внесены дополнения Решением Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан от 16 апреля 2021 года № 18)

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Принципы обработки персональных данных

4.1. Обработка персональных данных Оператором осуществляется на законной и справедливой основе.

4.2. Обработка персональных данных ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

4.6. При обработке персональных данных обеспечены точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и обеспечивает их принятие по удалению и уточнению неполных и неточных данных.

4.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей.

4.8. Оператор и иные лица, получившие доступ к персональным данным, обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Условия обработки персональных данных

5.1. Обработка персональных данных осуществляться с соблюдением принципов и правил, предусмотренных Федеральными законами. Обработка персональных данных осуществляется в следующих случаях:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

(внесены изменения Решением Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан от 16 апреля 2021 года № 18)

осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

При выполнении одного из перечисленных условий согласие не требуется.

5.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, если:

субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

персональные данные сделаны общедоступными субъектом персональных данных;

обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации.

Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных

(внесены дополнения Решением Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан от 16 апреля 2021 года № 18)

5.2.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 статьи 10.1 Федерального закона «О персональных данных», такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 статьи 10.1 Федерального закона «О персональных данных».

Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение 3 рабочих дней с момента вступления решения суда в законную силу.

Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

(внесены дополнения Решением Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан от 16 апреля 2021 года № 18)

5.3. Обработка персональных данных о судимости может осуществляться в случаях и в порядке, которые определяются в соответствии с федеральными законами.

5.4. Обработка специальных категорий персональных данных незамедлительно прекращается, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

5.5. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) не обрабатываются.

5.6. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральными законами. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с Федеральными законами.

5.7. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

Ответственность за отправку персональных данных Оператору через незащищенные каналы связи (электронная почта) несет сам отправитель.

Общее описание обработки персональных данных

6.1. Персональные данные обрабатываются Оператором с использованием средств автоматизации и без использования таких средств. Оператором определен перечень действий (операций) с персональными данными при их обработке: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

6.2. При трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

предусмотренных международными договорами Российской Федерации;

предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

исполнения договора, стороной которого является субъект персональных данных;

защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

6.3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

6.4. При исключительно автоматизированной обработке персональных данных запрещается принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, если имеется согласие в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

Оператор обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Сроки обработки персональных данных

7.1. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

7.2. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

7.4. В случае отсутствия возможности уничтожения персональных данных в течение указанных выше сроков, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Меры в области обработки и защиты

персональных данных

8.1. Оператором предусмотрено принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами, в отношении обработки персональных данных. Оператором определены состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, в частности:

назначение лица, ответственного за организацию обработки персональных данных;

издание документов, определяющие политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

установление уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

выполнение требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

применение средств защиты информации в информационных системах персональных данных, прошедших в установленном порядке процедуру оценки соответствия;

осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;

ведение учета машинных носителей персональных данных;

обеспечение обнаружения фактов несанкционированного доступа к персональным данным и принятие мер;

предусмотрена возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и проводится обучение указанных работников.

осуществление внутреннего контроля и аудита соответствия обработки персональных данных федеральному законодательству и принятыми в соответствии с ними нормативных правовых актов, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора.

Права субъекта персональных данных

9.1Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые Оператором способы обработки персональных данных;

наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

9.2 Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования, отзыва или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.3 Сведения, указанные в пункте 9.1, предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

9.4 Сведения, указанные в пункте 9.1, предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9.5 В случае, если сведения, указанные в пункте 9.1, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 9.1, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

9.6 Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 9.1, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, в случае, если такие сведения и обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

9.7 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

9.8 Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.

9.9 Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

9.10 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Контроль и надзор за обработкой персональных данных

10.1.Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Роскомнадзор).

10.2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

10.3. Управление Роскомнадзора по Республике Башкортостан

450005, г. Уфа, ул. 50 лет Октября, 20/1,

Телефон для справок: (347) 222–20–98

Факс: (347) 222–20–97

E-mail: rsockanc02@rkn.gov.ru

Сайт: http://02.rkn.gov.ru/

11. Ответственность за нарушение требований законодательства в отношении обработки персональных данных

11.1. В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

11.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

11.3. Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272,273 и 274 УК РФ).

Приложение № 1

к Политике обработки персональных данных

Председателю Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан

от___________________________________________

(ф.и.о. заявителя)

_____________________________________________

_____________________________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

_____________________________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях с Советом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

Прошу предоставить мне для ознакомления обрабатываемую Вами информацию, составляющую мои персональные данные:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

(должность)

(подпись)

(ФИО)

«___»_________20__г.

Приложение № 2

к Политике обработки персональных данных

Председателю Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан

от___________________________________________

(ф.и.о. заявителя)

_____________________________________________

_____________________________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

_____________________________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях с Советом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

Прошу уточнить/блокировать/уничтожить (подчеркнуть нужное) обрабатываемые Вами, мои персональные данные: ______________________________________________________;

(указать уточняемые персональные данные)

в связи с тем, что персональные данные являются неполными/устаревшими/неточными/ незаконно полученными/не являются необходимыми для заявленной цели обработки.

(указать причину уточнения персональных данных)

(подпись)

(ФИО)

«___»_________________20__г.

Приложение № 3

к Политике обработки персональных данных

Председателю Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан

от___________________________________________

(ф.и.о. заявителя)

_____________________________________________

_____________________________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

_____________________________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях с Советом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

об отзыве согласия на обработку персональных данных

Настоящим заявлением отзываю свое согласие на обработку персональных данных.

В случае невыполнения требований, изложенных в данном отзыве, буду вынужден обратиться с жалобой в Роскомнадзор для привлечения к административной ответственности.

(подпись)

(ФИО)

«___»_________________20__г.

Приложение № 3

к постановлению Администрации сельского поселения

Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Перечень

информационных систем персональных данных

Наименование ИСПДн

Адрес объекта

Исходные данные ИСПДн

Тип ИСПДн

Субъекты ПДн

Объем обрабатываемых Пдн

Тип угроз

Уровень защищенности ИСПДн

Структура ИСПДн

Наличие подключений к ССОП и сетям МИО (Интернет)

Режим обработки ПДн

Разграничение доступа пользователей

Местонахождение ИСПДн (её составных частей) в пределах России

ИСПДн «Совет сельского поселения Кара-Якуповский сельсовет МР Чишминский район»

452160, Республика Башкортостан, Чишминский район, с.______, ул. _______, д.___

Локальная ИСПДн, комплекс АРМ, объединенных без использования технологии удаленного доступа

Подключена к сети Интернет

Многопользовательский

С разграничением прав доступа

Расположена в пределах Российской Федерации

иные

Не являющиеся сотрудниками оператора

Менее 100000

3

4

Приложение № 4

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Перечень персональных данных

Субъекты ПДн

Персональные данные

Депутаты Совета

фамилия, имя, отчество; пол; место, год и дата рождения; адрес места жительства; паспортные данные; телефонный номер (домашний, рабочий, мобильный);должностное положение, семейное положение и состав семьи (муж/жена, дети); информация об образовании (наименование образовательной Организации, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность); профессия; информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения); данные об аттестации; данные о повышении квалификации и профессиональной переподготовке; данные о наградах, медалях, поощрениях, почетных званиях; ИНН; СНИЛС; сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, фотография

Близкие родственники депутатов Совета;

Фамилия, имя, отчество, степень родства, дата и место рождения, реквизиты свидетельства о браке, реквизиты свидетельства о рождении; сведения о доходах, расходах, об имуществе и обязательствах имущественного характера супруга (супруги)

Граждане, обратившиеся в Совет с обращениями

- фамилия, имя, отчество;

- дата рождения;

- место рождения;

- реквизиты документа, удостоверяющего личность;

- контактный телефон;

- гражданство;

- адрес;

- пол;

- сведения о месте работы;

- свидетельство о браке;

- сведения страхового пенсионного свидетельства;

- ИНН

Практиканты

- фамилия, имя, отчество, группа, место учебы;

Лица, с которыми заключены договора

- фамилия, имя, отчество;

- адрес;

- реквизиты лицевого банковского счета;

- СНИЛС;

- реквизиты документа, удостоверяющего личность;

- ИНН;

- контактный телефон;

Приложение № 5

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Порядок

доступа сотрудников в помещения, в которых ведется обработка персональных данных

1. Настоящий Порядок доступа в помещения Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан, в которых ведется обработка персональных данных (далее – Порядок) разработан в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

2. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях, исключая возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

3. При хранении носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

5. Ответственным за организацию доступа в помещения, в которых ведется обработка персональных данных, является глава сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан.

6. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, осуществляется лицом ответственным за организацию обработки персональных данных.

7. Самостоятельный доступ в помещения имеют исключительно сотрудники, работающие в данном помещений.

8. Нахождение в помещении лиц, не имеющих права самостоятельного доступа в помещении, возможно только в присутствии сотрудника, имеющего такое право.

9. Сотрудник, покидающий помещение последним обязан закрыть его на ключ, при этом запрещается оставлять ключ в замке помещения.

10. При утрате ключа от помещения должна производиться смена замка в срок, не превышающий три дня.

11. Помещения, в которых размещены средства криптографической защиты информации или осуществляется хранение ключевых документов, опечатываются.

12. При увольнении или смене рабочего помещения сотрудник сдает ключ от помещения.

13. В случае утраты ключа от помещения сотрудник должен незамедлительно сообщить Ответственному за организацию доступа в помещения.

14. Контроль за соблюдением порядка доступа в помещения осуществляется ответственным за организацию обработки персональных данных.

Приложение № 6

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Инструкция лица, ответственного за организацию обработки персональных данных

1. Общие положения

1.1. Настоящая инструкция определяет основные цели, функции, права и обязанности должностного лица, ответственного за организацию обработки персональных данных (далее – Ответственное лицо) в Совете сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан (далее – Оператор).

1.2. Назначение Ответственного лица, закрепление за ним определенных полномочий и обязанностей производится распоряжением главы сельского поселения.

1.3. Ответственное лицо проводит свою работу в соответствии с Федеральным законом №152-ФЗ «О персональных данных», постановлениями Правительства Российской Федерации, касающимися обработки персональных данных, нормативным методическим документам Федеральной службы по техническому и экспортному контролю России, Федеральной службы безопасности России и иными нормативными актами в области обработки и защиты персональных данных, а также внутренними нормативными документами.

2. Основные функции Ответственного лица

2.1. Обеспечение соблюдения требований законодательства Российской Федерации в области защиты персональных данных, нормативных правовых актов, регулирующих сферу обработки и защиты персональных данных, а также внутренних организационно-распорядительных документов.

2.2. Обеспечение правомерности обработки персональных данных, а также соответствия процессов обработки персональных данных заявленным целям.

2.3. Обеспечение соответствия договоров и соглашений, заключаемых с третьими лицами и связанных с передачей, совместной обработкой или поручением обработки персональных данных, требованиям законодательства Российской Федерации.

2.4. Обеспечение разработки, согласования, предоставления на утверждение руководителю Оператора внутренних организационно-распорядительных документов, связанных с обработкой персональных данных, поддержание их в актуальном состоянии.

2.5. Мониторинг изменений законодательства РФ по вопросам защиты и обработки персональных данных.

2.6. Доведение до сведения сотрудников Оператора положений законодательства Российской Федерации о персональных данных, внутренних организационно-распорядительных документов, связанных с обработкой персональных данных, требований по обеспечению безопасности персональных данных при их обработке.

2.7. Организация мероприятий по повышению осведомленности, квалификации руководства и сотрудников в области обработки и защиты персональных данных.

2.8. Организация приема и обработки (рассмотрения, подготовки ответов) обращений и запросов субъектов персональных данных или их представителей, а также иных органов и организаций по вопросам, связанным с обработкой, передачей или защитой персональных данных.

2.9. Самолично, либо в составе образованной для этих целей комиссии, проведение проверок соответствия условий обработки персональных данных требованиям внутренних организационно-распорядительных документов, связанных с обработкой персональных данных. Предоставление главе сельского поселения отчета о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.

2.10. Обеспечение соблюдения установленного режима обработки персональных данных.

2.11. Организация и координация работ по обеспечению безопасности персональных данных, в том числе:

организация проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным или передачи их лицам, не имеющим права доступа к такой информации.

организация своевременного обнаружения фактов несанкционированного доступа к персональным данным;

организация проведения инструктажа с сотрудниками, допущенными к обработке персональных данных по вопросам защиты и обработке персональных данных.

организация постоянного контроля за обеспечением уровня защищенности персональных данных за соблюдением сотрудниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.

2.12. Организация и координация работ по физической защите помещений с установленными техническими средствами, участвующими в обработке персональных данных, а также помещений, где хранятся материальные носители персональных данных, дистрибутивы и документация к средствам защиты информации.

2.13. Организация в установленном порядке проверок и составление заключений по фактам несоблюдения условий обработки и защиты персональных данных, разработка предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений.

2.14 Организация оказания организационно-методической помощи лицам, допущенным к обработке персональных данных.

2.17. Участие в подготовке объектов Оператора к аттестации по выполнению требований обеспечения безопасности персональных данных, в случае принятия руководителем Оператора решения о необходимости проведения аттестации.

2.19. Приостановка процесса обработки персональных данных при обнаружении серьезных нарушений требований законодательства в области обработки и защиты персональных данных.

3. Права и обязанности Ответственного лица

Ответственный за организацию обработки персональных данных обязан:

3.1 При назначении ознакомится с утвержденными локальными актами Оператора и уведомлением об обработке персональных данных, поданным в Управление Роскомнадзора по Республике Башкортостан.

3.2 Знать и выполнять требования действующих нормативных и руководящих документов, локальных актов по защите информации и прочих нормативных правовых актов, регламентирующих порядок действий по защите информации.

3.3 Представлять на утверждение руководителю Оператора перечень должностей, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным, а также изменений к нему.

3.7 Организовывать рассмотрение инцидентов, внештатных ситуаций, связанных с нарушение законодательства и локальных актов по обработке и защите персональных данных.

3.8 Лично, или в составе созданной комиссии проводить служебные расследования по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов информационной системы персональных данных.

Ответственный за организацию обработки персональных данных имеет право:

3.9. Запрашивать и получать необходимые материалы для организации обработки персональных данных.

3.10. Требовать от сотрудников, допущенных к обработке персональных данных, безусловного соблюдения установленных правил обработки и защиты персональных данных.

3.11. Осуществлять оперативное вмешательство в работу сотрудников при явной угрозе безопасности персональных данных в результате несоблюдения установленного режима их обработки и (или) невыполнения требований по обеспечению безопасности персональных данных.

3.12. Вносить свои предложения по доработке внутренних организационно-распорядительных документов, связанных с обработкой персональных данных.

3.13. Обращаться к лицам, ответственным за техническую защиту персональных данных, с просьбами об оказании необходимой технической и методической помощи.

3.14. Получать доступ во все помещения Оператора, в которых осуществляется обработка персональных данных.

3.15. Готовить предложения о привлечении, в случае необходимости, к проведению работ по защите информации на договорной основе организаций, удовлетворяющих установленным требованиям.

3.16. Привлекать необходимых специалистов для проведения исследований, разработки решений, мероприятий и организационно-распорядительных документов по вопросам организации обработки персональных данных.

3.17. Вносить руководителю Оператора предложения о наказании отдельных сотрудников, допущенных к обработке персональных данных, и, допустивших серьезные нарушения правил и условий их обработки.

3.18 Требовать прекращения обработки персональных данных отдельными сотрудниками, в случае выявления нарушений ими локальных актов по вопросам обработки и защиты персональных данных.

4. Ответственность Ответственного лица

Ответственное лицо несет персональную ответственность за:

4.1 выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией;

4.2 правильное и своевременное выполнение приказов, распоряжений, указаний руководителя Оператора по вопросам, входящим в его компетенцию;

4.3 правильность и объективность принимаемых решений;

4.4 качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями;

4.5 соблюдение трудовой дисциплины, охраны труда, разглашение сведений ограниченного распространения, ставших известными ему в ходе выполнения должностных обязанностей.

С инструкцией ознакомлен(а)___________________________________________

Приложение № 7

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Инструкция лица, ответственного за организацию обработки персональных данных

1. Общие положения

1.1. Настоящая инструкция определяет основные цели, функции, права и обязанности должностного лица, ответственного за организацию обработки персональных данных (далее – Ответственное лицо) в Совете сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан (далее – Оператор).

1.2. Назначение Ответственного лица, закрепление за ним определенных полномочий и обязанностей производится распоряжением главы сельского поселения.

1.3. Ответственное лицо проводит свою работу в соответствии с Федеральным законом №152-ФЗ «О персональных данных», постановлениями Правительства Российской Федерации, касающимися обработки персональных данных, нормативным методическим документам Федеральной службы по техническому и экспортному контролю России, Федеральной службы безопасности России и иными нормативными актами в области обработки и защиты персональных данных, а также внутренними нормативными документами.

2. Основные функции Ответственного лица

2.1. Обеспечение соблюдения требований законодательства Российской Федерации в области защиты персональных данных, нормативных правовых актов, регулирующих сферу обработки и защиты персональных данных, а также внутренних организационно-распорядительных документов.

2.2. Обеспечение правомерности обработки персональных данных, а также соответствия процессов обработки персональных данных заявленным целям.

2.3. Обеспечение соответствия договоров и соглашений, заключаемых с третьими лицами и связанных с передачей, совместной обработкой или поручением обработки персональных данных, требованиям законодательства Российской Федерации.

2.4. Обеспечение разработки, согласования, предоставления на утверждение руководителю Оператора внутренних организационно-распорядительных документов, связанных с обработкой персональных данных, поддержание их в актуальном состоянии.

2.5. Мониторинг изменений законодательства РФ по вопросам защиты и обработки персональных данных.

2.6. Доведение до сведения сотрудников Оператора положений законодательства Российской Федерации о персональных данных, внутренних организационно-распорядительных документов, связанных с обработкой персональных данных, требований по обеспечению безопасности персональных данных при их обработке.

2.7. Организация мероприятий по повышению осведомленности, квалификации руководства и сотрудников в области обработки и защиты персональных данных.

2.8. Организация приема и обработки (рассмотрения, подготовки ответов) обращений и запросов субъектов персональных данных или их представителей, а также иных органов и организаций по вопросам, связанным с обработкой, передачей или защитой персональных данных.

2.9. Самолично, либо в составе образованной для этих целей комиссии, проведение проверок соответствия условий обработки персональных данных требованиям внутренних организационно-распорядительных документов, связанных с обработкой персональных данных. Предоставление главе сельского поселения отчета о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.

2.10. Обеспечение соблюдения установленного режима обработки персональных данных.

2.11. Организация и координация работ по обеспечению безопасности персональных данных, в том числе:

организация проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным или передачи их лицам, не имеющим права доступа к такой информации.

организация своевременного обнаружения фактов несанкционированного доступа к персональным данным;

организация проведения инструктажа с сотрудниками, допущенными к обработке персональных данных по вопросам защиты и обработке персональных данных.

организация постоянного контроля за обеспечением уровня защищенности персональных данных за соблюдением сотрудниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.

2.12. Организация и координация работ по физической защите помещений с установленными техническими средствами, участвующими в обработке персональных данных, а также помещений, где хранятся материальные носители персональных данных, дистрибутивы и документация к средствам защиты информации.

2.13. Организация в установленном порядке проверок и составление заключений по фактам несоблюдения условий обработки и защиты персональных данных, разработка предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений.

2.14 Организация оказания организационно-методической помощи лицам, допущенным к обработке персональных данных.

2.17. Участие в подготовке объектов Оператора к аттестации по выполнению требований обеспечения безопасности персональных данных, в случае принятия руководителем Оператора решения о необходимости проведения аттестации.

2.19. Приостановка процесса обработки персональных данных при обнаружении серьезных нарушений требований законодательства в области обработки и защиты персональных данных.

3. Права и обязанности Ответственного лица

Ответственный за организацию обработки персональных данных обязан:

3.1 При назначении ознакомится с утвержденными локальными актами Оператора и уведомлением об обработке персональных данных, поданным в Управление Роскомнадзора по Республике Башкортостан.

3.2 Знать и выполнять требования действующих нормативных и руководящих документов, локальных актов по защите информации и прочих нормативных правовых актов, регламентирующих порядок действий по защите информации.

3.3 Представлять на утверждение руководителю Оператора перечень должностей, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным, а также изменений к нему.

3.7 Организовывать рассмотрение инцидентов, внештатных ситуаций, связанных с нарушение законодательства и локальных актов по обработке и защите персональных данных.

3.8 Лично, или в составе созданной комиссии проводить служебные расследования по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов информационной системы персональных данных.

Ответственный за организацию обработки персональных данных имеет право:

3.9. Запрашивать и получать необходимые материалы для организации обработки персональных данных.

3.10. Требовать от сотрудников, допущенных к обработке персональных данных, безусловного соблюдения установленных правил обработки и защиты персональных данных.

3.11. Осуществлять оперативное вмешательство в работу сотрудников при явной угрозе безопасности персональных данных в результате несоблюдения установленного режима их обработки и (или) невыполнения требований по обеспечению безопасности персональных данных.

3.12. Вносить свои предложения по доработке внутренних организационно-распорядительных документов, связанных с обработкой персональных данных.

3.13. Обращаться к лицам, ответственным за техническую защиту персональных данных, с просьбами об оказании необходимой технической и методической помощи.

3.14. Получать доступ во все помещения Оператора, в которых осуществляется обработка персональных данных.

3.15. Готовить предложения о привлечении, в случае необходимости, к проведению работ по защите информации на договорной основе организаций, удовлетворяющих установленным требованиям.

3.16. Привлекать необходимых специалистов для проведения исследований, разработки решений, мероприятий и организационно-распорядительных документов по вопросам организации обработки персональных данных.

3.17. Вносить руководителю Оператора предложения о наказании отдельных сотрудников, допущенных к обработке персональных данных, и, допустивших серьезные нарушения правил и условий их обработки.

3.18 Требовать прекращения обработки персональных данных отдельными сотрудниками, в случае выявления нарушений ими локальных актов по вопросам обработки и защиты персональных данных.

4. Ответственность Ответственного лица

Ответственное лицо несет персональную ответственность за:

4.1 выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией;

4.2 правильное и своевременное выполнение приказов, распоряжений, указаний руководителя Оператора по вопросам, входящим в его компетенцию;

4.3 правильность и объективность принимаемых решений;

4.4 качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями;

4.5 соблюдение трудовой дисциплины, охраны труда, разглашение сведений ограниченного распространения, ставших известными ему в ходе выполнения должностных обязанностей.

С инструкцией ознакомлен(а)___________________________________________

Приложение № 8

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Порядок

резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации

1. Общие положения

Настоящий Порядок проведения резервного копирования (восстановления) программ и данных, хранящихся на серверах и персональных компьютерах Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан

(далее – Оператор) разработан с целью:

определения порядка резервирования данных для последующего восстановления работоспособности информационной системы персональных данных (ИСПДн) Оператора при полной или частичной потере информации, вызванной сбоями или отказами аппаратного или программного обеспечения, ошибками пользователей, чрезвычайными обстоятельствами (пожаром, стихийными бедствиями и т.д.);

определения порядка восстановления информации в случае возникновения такой необходимости;

упорядочения работы должностных лиц, связанной с резервным копированием и восстановлением информации.

В настоящем документе регламентируются действия при выполнении следующих мероприятий:

резервное копирование;

контроль резервного копирования;

хранение резервных копий;

полное или частичное восстановление данных и приложений.

Резервному копированию подлежит информация следующих основных категорий:

персональная информация пользователей;

групповая информация пользователей;

информация, необходимая для восстановления серверов и систем управления базами данных (далее – СУБД);

персональные профили пользователей сети;

информация автоматизированных систем, в т.ч. базы данных;

рабочие копии установочных компонент программного обеспечения рабочих станций;

регистрационная информация системы информационной безопасности автоматизированных систем.

Машинные носители, содержащие резервные копии, маркируются и регистрируются в «Журнале учета машинных носителей информации».

2. Порядок резервного копирования

2.1 Состав копируемых данных, периодичность проведения резервного копирования, срок хранения резервных копий определены Приложением №1.

2.2 Резервные копии хранятся на машинных носителях, отличных от носителей, содержащих исходную информацию.

2.3 Методика проведения резервного копирования описана в Приложении №2.

2.4 О выявленных попытках несанкционированного доступа к резервируемой информации, а также иных нарушениях информационной безопасности, произошедших в процессе резервного копирования, должно быть немедленно сообщено Ответственному за обеспечение безопасности персональных данных.

3. Контроль результатов резервного копирования

Контроль результатов всех процедур резервного копирования осуществляется ответственным за организацию обработки персональных данных.

На протяжении периода времени, когда система резервного копирования находится в аварийном состоянии, должно осуществляться ежедневное копирование информации, подлежащей резервированию, с использованием средств файловых систем серверов, располагающих необходимыми объемами дискового пространства для её хранения.

.

4. Ротация носителей резервной копии

Система резервного копирования должна обеспечивать возможность периодической замены (выгрузки) резервных носителей без потерь информации на них, а также обеспечивать восстановление текущей информации ИСПДн в случае отказа любого из устройств резервного копирования. Все процедуры по загрузке, выгрузке носителей из системы резервного копирования, а также их перемещение, осуществляются ответственным за организацию обработки персональных данных. В качестве новых носителей допускается повторно использовать те, у которых срок хранения содержащейся информации истек.

Носители с персональными данными, которые перестали использоваться в системе резервного копирования, должны стираться (форматироваться) с использованием специального программного обеспечения, реализующим полное физическое уничтожение данных.

5. Восстановление информации из резервной копии

5.1 В случае необходимости, восстановление данных из резервных копий производится на основании заявки сотрудника - Пользователя ИСПДн.

5.2 Процедура восстановления информации из резервной копии осуществляется лицом, осуществляющим администрирование ИСПДн.

5.3 После поступления заявки, восстановление данных осуществляется в максимально сжатые сроки, ограниченные техническими возможностями системы, но не более одного рабочего дня.

Приложение №1

Перечень объектов ИСПДн, подлежащих резервному копированию

№ п/п

Наименование

Периодичность резервного копирования

Способ проведения

Срок хранения

1.

Ответственный за организацию обработки персональных данных

/_____________/

подпись

расшифровка подписи

Приложение №2

Методика резервного копирования

Для организации системы резервного копирования используется программное обеспечение (далее - ПО)

________________________________________________________ версии ______. С целью оптимизации расходов на развёртывание системы резервного копирования, запись резервной копии осуществляется на жёсткий диск. С помощью указанного программного обеспечения выполняются такие действия, как задание режимов и составление расписания резервного копирования клиентов, осуществляются операции по загрузке и выгрузке носителей информации, проводится контроль за состоянием выполнения заданий, запускаются процедуры восстановления информации. Для снижения совокупной нагрузки на информационную систему все операции по резервированию информации необходимо проводить в вечернее время.

Существуют три набора резервных копий:

Месячный набор. Записывается информация на первое число текущего месяца. Срок хранения – месяц. Хранится на сервере резервного копирования.

Недельная копия. Записывается в ночь на среду и в ночь на субботу. Срок хранения – субботняя копия – до следующей среды, вторничная копия – до субботы. Хранится на сервере.

Квартальный (или годовой) набор. Записывается информация в конце квартала или года, в зависимости от специфики деятельности. Максимальный срок хранения не устанавливается.

Различаются два принципиально разных источника информации, подлежащей резервированию:

Информация, хранящаяся непосредственно в файловой системе операционной системы.

Базы данных (под управлением СУБД).

Используемое для резервного копирования ПО должно быть сконфигурировано согласно настоящему Регламенту.

Для резервирования информации, хранимой в базах данных, в качестве промежуточного звена автоматизации используются средства конфигурирования СУБД и архиваторы. В результате работы промежуточного звена автоматизации формируется каталог с резервной копией данных Прикладной информационной системы. Посредством ПО резервного копирования формируются задания на проведение резервного копирования этого каталога. Данное ПО должно быть сконфигурировано согласно настоящему Регламенту.

Ответственный за организацию обработки персональных данных

/____________/

подпись

расшифровка подписи

Приложение № 9

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

СОГЛАСИЕ СУБЪЕКТА

на обработку персональных данных

Я, _______________________________________________________________ _________________________________________________________________,

(фамилия, имя, отчество субъекта)

зарегистрированный (ая) по адресу: ____________________________________________________________________

(адрес регистрации)

____________________________________________________________________________________________________________________________________

(номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)

даю согласие оператору: Совету сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан.

расположенному по адресу: 452160, Республика Башкортостан, Чишминский район, с. Кара-Якупово, ул.Центральная, д. 31

на публикацию (распространение) на сайте: http://arovosp.ru/, openrepublic.ru

следующих моих персональных данных: Фамилия, Имя, Отчество, дата рождения, место рождения, сведения о трудовой деятельности, об образовании, наличии ученой степени, ученого звания, гос. наград, занимаемой должности, контактная информация (номер телефона, e-mail), фото, сведения о доходах

с целью: информирования граждан о депутатах Совета сельского поселения Кара-Якуповскийсельсовет муниципального района Чишминский район.

Настоящее согласие действует с «__»_____201_г. до даты окончания срока полномочий, либо до отзыва путем направления в Совет сельского поселения Кара-Якуповскийсельсовет муниципального района Чишминский район Республики Башкортостан письменного сообщения об указанном отзыве по форме, утвержденной в «Политике обработки персональных данных Совета сельского поселения ___ сельсовет муниципального района Чишминский район Республики Башкортостан».

“

”

20

г.

(подпись)

(Ф.И.О.)

Приложение № 10

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Типовая форма ОБЯЗАТЕЛЬСТВА

о неразглашении конфиденциальной информации

(персональных данных), не содержащих сведений,

составляющих государственную тайну

Приложение № 11 к решению Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Я,_____________________________________________________________________,

(фамилия, имя, отчество)

исполняющий(ая) должностные обязанности по занимаемой должности___________ ______ ________________________________________________________________________________

(должность, наименование учреждения)

предупрежден(а), что на период исполнения должностных обязанностей в соответствии с должностным регламентом, мне будет предоставлен допуск к конфиденциальной информации (персональным данным), не содержащим сведений, составляющих государственную тайну. Настоящим добровольно принимаю на себя обязательства:

1. Не разглашать третьим лицам конфиденциальную информацию (персональные данные), которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.

2. Не передавать и не раскрывать третьим лицам конфиденциальную информацию (персональные данные), которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.

З. В случае попытки третьих лиц получить от меня конфиденциальную информацию (персональные данные), сообщать непосредственному руководителю.

4. Не использовать конфиденциальную информацию (персональные данные) с целью получения выгоды.

5. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты конфиденциальной информации (персональных данных).

6. Немедленно сообщать об утрате или недостаче носителей персональных данных, личного пропуска, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению персональных данных, а также о причинах и условиях возможной утечки сведений _______________________________________________________________________________.

(должностное лицо или подразделение учреждения)

7. В случае моего увольнения обязуюсь:

прекратить обработку персональных данных;

все носители персональных данных (документы, рукописи, черновики, съемные носители информации и пр.), которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы в Совете, передать _______________________________________________________________________________;

(должностное лицо или подразделение учреждения)

8. Бессрочно после прекращения права на допуск к конфиденциальной информации (персональным данным) не разглашать и не передавать третьим лицам известную мне конфиденциальную информацию (персональные данные).

9. До моего сведения доведены с разъяснениями соответствующие положения по обеспечению сохранности персональных данных. Мне известно, что нарушения этих положений может повлечь уголовную, административную, гражданско-правовую или иную ответственность в соответствии с законодательством РФ.

___________________ ____________________________________

(личная подпись) (ФИО) Дата

Один экземпляр обязательств о неразглашении конфиденциальной информации (персональных данных) получил.

___________________ ___________________________________

(личная подпись) (ФИО) Дата

Приложение № 11

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Типовая форма акта

об уничтожении персональных данных

Акт №___

об уничтожении персональных данных

Комиссия в составе:

Роль

Фамилия И.О.

Должность

Председатель

Члены комиссии

установила, что на основании достижения цели обработки персональных данных, в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» гл. 2, ст. 5, пункт 2, подлежат уничтожению сведения, составляющие персональные данные:

№№ п/п

Сведения, содержащие персональные данные

Тип носителя

Учетные номер носителей

Кол-во экземпляров хранения

Примечание

Указанные персональные данные уничтожены путем______________________________________________________________________

(удаления с помощью средств гарантированного удаления информации, уничтожения носителя и т.п.)

Председатель комиссии:

подпись

расшифровка

Члены комиссии:

подпись

расшифровка

подпись

расшифровка

«___» _________ 202__ г.

Приложение № 12

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

ПРАВИЛА

проведения мероприятий по контролю процессов обработки и защиты персональных данных

1. Общие положения

Правила проведения мероприятий по контролю процессов обработки и защиты персональных данных (далее – Правила) в Совете сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан (далее – Оператор) предусматривают осуществление мероприятий по контролю соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 г. №152 «О персональных данных», принятыми в соответствии с ним локальными актами Совета.

Проведение мероприятий проводится согласно Плану, утвержденному Комиссией по приведению деятельности Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан в соответствие с требованиями Федерального закона от 27 июля 2008 года № 152-ФЗ «О персональных данных» (далее – Комиссия).

План содержит следующую информацию:

Наименование мероприятия.

Исполнитель.

Сроки выполнения.

Факт проведения мероприятия фиксируется исполнителем в Журнале мероприятий по персональным данным (Приложение № 1 к Правилам).

Проведение комиссионных мероприятий осуществляется по распоряжению Председателя Совета. По факту проведения проверки Оператор подготавливает Отчет и Перечень рекомендаций по внесению изменений в процессы обработки и защиты персональных данных.

Мероприятия по периодическому инструктажу работников и контроля их знаний по защите персональных данных оформляются в Журнале инструктажа на рабочем месте (Приложение № 2 к Правилам).

В случае обнаружения, в ходе проведения плановых мероприятий, несоответствия обработки персональных данных локальным нормативным актам, исполнитель составляет Отчет в форме Справки о проведенной проверке (Приложение № 3 к Правилам) и направляет его лицу, ответственному за организацию обработки персональных данных, а ответственный передает на утверждение Председателю Совета для принятия мер.

Приложение № 1

к Правилам проведения мероприятий

по контролю процессов обработки и защиты персональных данных

ЖУРНАЛ

учета мероприятий по персональным данным

Начат:

Окончен:

Количество листов:

Срок хранения:

5 лет

ЖУРНАЛ

учета мероприятий по персональным данным

Дата

Наименование мероприятия

Предмет проверки (контрольного мероприятия)

Выявленные нарушения

Произведенные действия по устранению нарушения

Расписка лица проводившего проверку (ФИО, подпись)

Примечание

1

2

3

4

5

6

7

Приложение № 2

к Правилам проведения мероприятий по контролю процессов обработки и защиты персональных данных

ЖУРНАЛ

учета инструктажа на рабочем месте

Начат:

Окончен:

Количество листов:

Срок хранения:

5 лет

ЖУРНАЛ

учета инструктажа на рабочем месте

Дата

Наименование мероприятия / инструктажа

Расписка лица проводившего инструктаж (ФИО, подпись)

Расписка в ознакомлении

(ФИО, подпись)

Примечание

1

2

4

6

7

Приложение № 3

к Правилам проведения мероприятий по контролю процессов обработки и защиты персональных данных

Справки о проведенной проверке

Дата проверки

__________

Исполнитель:

____________________________

Должность ФИО

Время проверки

__________

Проверяемый:

____________________________

Должность ФИО

Объект проверки

Выявленные нарушения

Принятые меры по устранению

Рекомендации

Приложения:

1.

2.

3.

Исполнитель: _______________

Проверяемый: _________________

Приложение № 4

к Правилам проведения мероприятий по контролю процессов обработки и защиты персональных данных

План мероприятий по персональным данным

Наименование мероприятия

Исполнитель

Сроки выполнения

Ежегодный аудит процессов обработки и защиты персональных данных

Комиссия, утверждаемая приказом руководителя

С 01 по 15 августа ежегодно

Разработка и утверждение плана мероприятий по персональным данным на 2018-2019 гг

Ответственный за организацию обработки персональных данных

С 15 до 30 августа ежегодно

Инструктаж работников по вопросам обработки и защиты персональных данных

Ответственный за организацию обработки персональных данных

Ежеквартально, не позднее 20 числа третьего месяца квартала

Контроль соблюдения работниками локальных актов Оператора регламентирующих процессы обработки и защиты персональных данных

Ответственный за организацию обработки персональных данных; Ответственный за обеспечение безопасности персональных данных

Ежеквартально, но не позднее 20 числа второго месяца квартала

Проверка знаний работниками локальных актов Оператора регламентирующих процессы обработки и защиты персональных данных

Ответственный за организацию обработки персональных данных

2 раза в год

Контроль соответствия настроек программного обеспечения требованиям локальных актов Оператора

Ответственный за обеспечение безопасности персональных данных

Ежемесячно

Анализ защищенности информационной системы

Ответственный за обеспечение безопасности персональных данных

Ежемесячно

Просмотр и анализ журналов событий безопасности программного обеспечения

Ответственный за обеспечение безопасности персональных данных

Еженедельно

Проверка и приведение в актуальное состояние нормативно-организационных документов по персональным данным

Ответственный за организацию обработки персональных данных

2 раза в год

Приложение № 13

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Правила

рассмотрения запросов субъектов персональных данных или законных их представителей

1. Общие положения

Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), Трудовым Кодексом Российской Федерации и определяют порядок обработки поступающих запросов от субъектов персональных данных или их представителей (далее – запросы) в Совете муниципального района Чишминский район Республики Башкортостан (далее - Оператор).

Настоящие Правила не исключают обязательного выполнения других руководящих документов по вопросам рассмотрения запросов субъектов персональных данных или их представителей.

2. Права субъекта персональных данных

В соответствии с действующим законодательством субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, содержащей:

подтверждение факта обработки персональных данных;

правовые основания и цели обработки персональных данных;

цели и применяемые способы обработки персональных данных;

наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Советом сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан РБ или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу

иные сведения.

Субъект персональных данных или его представитель вправе обратиться к Оператору с запросом, в целях уточнения персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

2.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если субъект персональных данных считает, что обработка его персональных данных осуществляется с нарушением требований Федерального закона №152-ФЗ или иным образом нарушаются его права и свободы, то он вправе обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

Порядок работы с запросами субъектов персональных данных

Запрос может быть подан лично по адресу: 452160, Республика Башкортостан, Чишминский район, с.Кара-Якупово, ул.Центральная, д.31, либо направлен по почте, или средствами сети Интернет и электронной почты.

Оператором принимаются к рассмотрению запросы, полученные от субъекта персональных данных или его представителя в письменном виде, либо в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации. Запрос заполняется по формам, приведенным в приложениях № 1,4,5 к настоящим Правилам, либо в свободной форме.

Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

Все обращения субъектов персональных данных подлежат регистрации и учету наряду с остальными входящими документами. Кроме того, такое обращение фиксируется в «Журнале учета обращений субъектов персональных данных и их представителей» (далее – Журнал) в день поступления (приложение № 2).

Если запрос удовлетворяет требованиям, предусмотренным пунктом 3.2 настоящих Правил, то запрос передается председателю Совета, для рассмотрения и подготовки проекта ответа.

Ответ на запрос субъекту персональных данных направляется в форме электронного документа, по адресу электронной почты, указанному в запросе, или заказным письмом с уведомлением по почтовому адресу, указанному в запросе, в срок, не превышающий десяти дней со дня получения обращения. (Приложение № 3, 6, 7)

Сведения предоставляются субъекту персональных данных или его представителю в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Оператор предоставляет субъекту персональных данных или его представителю возможность ознакомления с обрабатываемыми персональными данными обратившегося субъекта в течение тридцати дней со дня получения соответствующего запроса.

Оператор обязан предоставить субъекту персональных данных или его законному представителю, возможность вносить в них необходимые изменения или уничтожать соответствующие персональные данные по предоставлении заявления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки (приложении № 4,5).

О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы. Форма уведомления представлена в приложении № 6,7.

При рассмотрении запросов обеспечивается:

объективное, всестороннее и своевременное рассмотрение запроса;

принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;

направление письменных ответов по существу запроса.

Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.

В случае отказа в предоставлении информации о персональных данных Оператор в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя, до семи дней дает мотивированный ответ со ссылкой на положения нормативных документов, являющиеся основанием для такого отказа.

О результатах рассмотрения запроса ставится соответствующая отметка в Журнале.

4. Порядок действий Оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Оператор, в течение 3 рабочих дней, осуществляет блокирование персональных данных, относящихся к данном субъекту, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).

Обработка персональных данных считается неправомерной в следующих случаях:

отсутствуют правовые основания для обработки персональных данных в соответствие со статьей 6 ФЗ-152 «О персональных данных»;

осуществляется обработка персональных данных после достижения целей обработки;

осуществляется хранение персональных данных дольше чем того требуют цели обработки персональных данных либо установленные номенклатурой дел сроки хранения носителей персональных данных;

обрабатываются персональные данные избыточные по отношению к целям обработки персональных данных;

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Оператор, в течение 3 рабочих дней, осуществляет блокирование персональных данных, относящихся к данном субъекту, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

Блокирование персональных данных осуществляется посредством изъятия из обработки бумажных носителей персональных данных, относящихся к субъекту. Блокирование персональных данных, обрабатываемых в информационных системах персональных данных, осуществляется посредством блокировки доступа к файлам и карточкам контрагентов в прикладном программном обеспечении.

5. Контроль за соблюдением порядка рассмотрения запросов субъектов персональных данных или их представителей

Глава Администрации осуществляет контроль за работой с запросами и за организацией их приема, а так же осуществляет непосредственный контроль за соблюдением порядка рассмотрения запросов, установленного законодательством и настоящими Правилами.

Контроль осуществляется за соблюдением сроков исполнения поручений по запросам, полнотой рассмотрения поставленных вопросов, объективностью проверки фактов, изложенных в запросах, законностью и обоснованностью принятых по ним решений.

Нарушение установленных правил рассмотрения запросов влечет ответственность должностных лиц в соответствии с законодательством Российской Федерации.

Приложение №1

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

Главе сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан

____________________________________

от___________________________________

(ф.и.о. заявителя)

____________________________________

____________________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

____________________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях с Советом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

Прошу предоставить мне для ознакомления обрабатываемую Вами информацию, составляющую мои персональные данные:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных № 152-ФЗ;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные № 152-ФЗ или другими федеральными законами.

(подпись)

(ФИО)

«___»______________20__г.

Приложение №2

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

ЖУРНАЛ

учета обращений субъектов персональных данных и их законных представителей

Начат: «____»___________ 20___ г.

Окончен: «____»___________ 20___ г.

на _____ листах

Регистрационный номер, вид обращения и способ доставки

Дата регистрации

Характеристика обращения: первичное, повторное, аналогичное, типовое, многократное

Фамилия и инициалы заявителя, название организации, исходящий номер и его дата

Краткое содержание обращения

Фамилия и резолюция руководителя, рассмотревшего обращение

Фамилия сотрудника (либо название отдела), ответственного за рассмотрение, дата получения и подпись исполнителя

Дата ответа и результаты рассмотрения обращения

Сведения о точном месте хранения материалов рассмотренного обращения

Примечание

1

2

3

4

5

6

7

8

9

10

Приложение №3

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

Уведомление

Уважаемый (ая)_____________________________________________(Ф.И.О.), в_______________________________________________________________________________

1) производится обработка сведений, составляющих Ваши персональные данные;

2) правовые основания и цели обработки персональных данных_________________________________________________________________________;

3) цели и применяемые оператором способы обработки персональных данных_________________________________________________________________________;

4) наименование и место нахождения оператора________________________________, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона__________________________________________________________________________;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных__________________________________________________________, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом_________________________________________________________________;

6) сроки обработки персональных данных, в том числе сроки их хранения________________;

7) порядок осуществления субъектом персональных данных прав, предусмотренных № 152-ФЗ _______________________________________________________;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных_________________________________________________________________________;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу_________________________________________________________________________;

10) иные сведения, предусмотренные № 152-ФЗ или другими федеральными законами_______________________________________________________________.

(должность)

(подпись)

(ФИО)

«___»______________20__г.

Приложение №4

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

Главе сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан

_________________________________________

от___________________________________

(ф.и.о. заявителя)

____________________________________

____________________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

____________________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях Советом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

Прошу уточнить/блокировать/уничтожить (подчеркнуть нужное) обрабатываемые Вами, мои персональные данные: _______________________________________ _______________________________________________________________________________;

(указать уточняемые персональные данные)

в связи с тем, что персональные данные являются неполными/устаревшими/неточными/ незаконно полученными/не являются необходимыми для заявленной цели обработки.

(указать причину уточнения персональных данных)

(подпись)

(ФИО)

«___»_________________20__г.

Приложение №5

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

Главе сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан

_________________________________________

от___________________________________

(ф.и.о. заявителя)

____________________________________

____________________________________

(наименование и реквизиты документа, удостоверяющего личность заявителя)

____________________________________

(Сведения, подтверждающие участие субъекта персональных данных в отношениях Советом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения)

Заявление

Настоящим заявлением отзываю свое согласие на обработку персональных данных.

(подпись)

(ФИО)

«___»_________________20__г.

Приложение №6

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

Уведомление

Уважаемый(ая)_____________________________________________________________

(Ф.И.О.)

в связи с ________________________________________________сообщаем Вам, что Ваши персональные данные уточнены/блокированы/уничтожены.

(выбрать нужное)

(должность)

(подпись)

(ФИО)

«___»______________20__г.

Приложение №7

к Правилам рассмотрения запросов субъектов персональных данных или законных их представителей

Уведомление

Уважаемый(ая)____________________________________________

(Ф.И.О.)

в связи с ________________________________________сообщаем, что ваши персональные данные

будут уничтожены в сроки, определенные законодательством РФ/ Оператор продолжит обработку по следующим законным основаниям

(выбрать нужное) ___________________________________________________________________ ________________________________________________________________.

(должность)

(подпись)

(ФИО)

«___»______________20__г.

Приложение № 13

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

ЖУРНАЛ

учета машинных носителей информации

Начат: «____»___________ 20___ г.

Окончен: «____»___________ 20___ г.

на _____ листах

ЖУРНАЛ

учета машинных носителей информации

Дата, регистрационный номер

Шифр заказа, задачи, учетный номер, откуда поступил

Тип машинного носителя информации, машинного документа

Количество экземпляров

Номер экземпляра

Количество в экземпляре (штук, лент, листов)

Расписка в получении (ф.и.о., подпись, дата), отметка об отправке

Расписка в обратном приеме (ф.и.о., подпись, дата)

Место хранения машинного носителя информации, машинного документа

Отметка об уничтожении (складировании в урну) бракованных машинных носителей информации, машинных документов

(подпись, дата)

Отметка об уничтожении машинных носителей информации, машинных документов, стирании информации (номер и дата акта)

1

2

3

4

5

6

7

8

9

10

11

Приложение № 15

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

ЖУРНАЛ

учета применяемых средств защиты информации, эксплуатационной и технической документации к ним

Начат: «____»___________ 20___ г.

Окончен: «____»___________ 20___ г.

на _____ листах

№ п/п

Наименование СЗИ, эксплуата­ционной и тех­нической доку­ментации к ним

Серийные но­мера СЗИ, экс­плуатационной и технической документации к ним

Отметка о получении

Отметка о выдаче

Приме­чание

От кого получе­ны

Дата и номер сопрово­дитель­ного письма

Ф.И.О. пользо­вателя СЗИ

Дата и расписка в полу­чении

1

2

3

4

5

6

7

8

Приложение № 16

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Положение

по организации парольной защиты

Общие положения

Настоящее Положение регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей, а также контроль за действиями пользователей информационных систем персональных данных (далее – Пользователь) при работе с паролями в Совете сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан (далее – Оператор).

Положение распространяется на всех Пользователей и информационные системы персональных данных (далее – ИСПДн) Оператора.

Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в системном и прикладном программном обеспечении, средствах защиты информации, серверном и сетевом оборудовании входящих в ИСПДн (далее – компоненты ИСПДн) возлагается на Ответственного за обеспечение безопасности персональных данных.

Повседневный контроль за действиями при работе с паролями, соблюдением правил их хранения и использования возлагается на Ответственного за обеспечение безопасности персональных данных.

Определения

Системное программное обеспечение – комплекс программ, которые обеспечивают управление компонентами компьютерной системы, такими как процессор, оперативная память, устройства ввода-вывода, сетевое оборудование, выступая как «межслойный интерфейс», с одной стороны которого аппаратура, а с другой — приложения Пользователя (BIOS, операционные системы, утилиты, системы программирования, системы управления базами данных, связующее программное обеспечение).

Прикладное программное обеспечение - программа, предназначенная для выполнения определённых задач и рассчитанная на непосредственное взаимодействие с Пользователем.

Порядок создания паролей

Пароли доступа создаются на всех компонентах ИСПДн, имеющих механизмы идентификации и аутентификации.

Создание паролей доступа осуществляется Ответственным за обеспечение безопасности ИСПДн.

При заведении нового Пользователя для него должен быть назначен логин и однократный пароль.

Пользователь обязан заменить однократный пароль – личным при первом же подключении к защищаемому ресурсу ИСПДн.

При отсутствии возможности создания однократного пароля, с последующей сменой Пользователем, создается постоянный пароль.

Одноразовый пароль может передаваться Пользователю лично на бумажном носителе, в электронном виде на адрес индивидуальной рабочей электронной почты или в устной форме.

Постоянный пароль передается Пользователю в запечатанном конверте.

Пользователь обязан хранить в тайне пароль и любые другие средства доступа к информационным ресурсам.

Пароли от учетных записей, обладающих правами Администратора, могут выдаваться только лицам, осуществляющим администрирование ИСПДн. Выдачу паролей учетных записей, обладающих правами Администратора, осуществляет Ответственный за обеспечение безопасности персональных данных.

4. Период действия паролей

Периодичность смены паролей для программного обеспечения составляет 12 месяцев.

При сообщении программного обеспечения об окончании срока действия пароля Пользователь обязан заменить его на новый, ранее не применявшийся.

Смена паролей в программном обеспечении, не имеющем функционал установления срока действия пароля, осуществляется лицом, осуществляющим администрирование ИСПДн в соответствие с установленной периодичностью.

Внеплановая смена пароля или блокирование учетных записей Пользователя в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться в течение двух рабочих часов после получения копии приказа о прекращении полномочий.

Внеплановая полная смена паролей учетных записей, обладающих правами Администратора должна производиться в случае прекращения полномочий (увольнение, переход на другую работу, окончание действия договора на обслуживание и другие обстоятельства) лица, осуществляющего администрирование ИСПДн.

5. Конфиденциальность паролей

Информация о персональных паролях Пользователей является конфиденциальной информацией и разглашению не подлежит.

Пользователи несут ответственность за сохранность выбранного самостоятельно постоянного пароля, и за действия, совершаемые под выданной Пользователю учетной записью.

Компоненты ИСПДн должны быть настроены таким образом, чтобы исключить возможность ознакомления Пользователей и Администраторов с действующими и истекшими паролями.

6. Принципы выбора и формирования личных паролей

Одноразовые и постоянные пароли для доступа к компонентам ИСПДн должны соответствовать следующим требованиям:

- длина пароля должна быть не менее 6 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.).

При наличии такой возможности, системы аутентификации прикладного программного обеспечения должны обеспечивать выше обозначенные требования к сложности пароля.

Рекомендуется в виде пароля выбирать последовательности типа “X0Posh#1”, “!1рыБ@lkA” или “Def*en$6”

При смене пароля запрещается использовать ранее использованные пароли, а новое значение должно отличаться от предыдущего не менее чем в 3 позициях.

Выбор паролей на учетных записях Администратора осуществляется по тем же требованиям, за исключением длина пароля – она должна быть не менее 8 символов.

7. Правила использования и сохранения в тайне личного пароля

Пароли необходимо запомнить. Допускается хранение паролей в индивидуальных сейфах и опечатываемых шкафах.

В случае подозрения на компрометацию пароля, сотрудники обязаны произвести экстренную замену личного пароля, при наличии такого права, и незамедлительно поставить об этом в известность Ответственного за обеспечение безопасности ПДн для исключения возможности утечки информации.

Ответственный за обеспечение безопасности ПДн обязан произвести расследование причин компрометации пароля.

Типовые случаи компрометации пароля:

файлы, хранящиеся в ИСПДн, были несанкционированно изменены;

изменено расположение иконок программ и файлов на рабочем столе АРМ и личных папках;

при правильном вводе пароля выдается ошибка доступа;

другие сотрудники знают ваш пароль.

8. Ответственность

8.1 За невыполнение требований настоящего Положения применяется дисциплинарная ответственность в порядке, определенным трудовым кодексом Российской Федерации и локальными актами Оператора.

Положение

по организации антивирусной защиты

1. Общие положения

1.1. Настоящее Положение определяет требования к организации защиты Информационных систем персональных данных (далее – ИСПДн) Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан (далее - Оператор) от воздействия компьютерных вирусов и другого вредоносного программного обеспечения (далее - вредоносного ПО), устанавливает ответственность руководителей и сотрудников, эксплуатирующих и сопровождающих ИСПДн за их выполнение.

1.2. Целью мероприятий по антивирусной защите является предотвращение потерь информации в ИСПДн.

1.3. Задачами антивирусной защиты являются:

проведение профилактических работ с применением антивирусных диагностических средств;

непрерывное обеспечение защиты информации от действия вредоносных программ на всех этапах эксплуатации ИСПДн.

1.4. Компоненты ИСПДн, подлежащие защите от вирусов:

интернет шлюзы, установленные в точках подключения к сетям общего пользования, а также ведомственным сетям;

сервера;

автоматизированные рабочие места (далее- АРМ).

1.5. Основные источники вирусов:

съемный носитель (дискета, флеш-карта, CD-ROM, DVD-ROM, мобильное дисковое устройство) на котором находятся зараженные вирусом файлы;

локальная сеть, в том числе система электронной почты и Интернет;

жесткий диск, на который попал вирус в результате работы с зараженными программами.

2. Организация мероприятий по антивирусной защите

2.1. Планированием и организацией проведения мероприятий по антивирусной защите занимается Ответственный за обеспечение безопасности персональных данных.

2.2. К использованию допускаются только лицензионные и сертифицированные ФСТЭК России средства антивирусной защиты.

2.3. Обновление антивирусных баз должно производиться в автоматическом режиме. В случае сбоя автоматического обновления обновление баз должно производится вручную.

2.4. Мероприятия по антивирусной защите включают в себя:

профилактика вирусов;

анализ ситуаций;

применение средств антивирусной защиты;

проведение расследований инцидентов связанных с вирусами.

3. Профилактика вирусов

3.1. Регулярно проводимые профилактические работы по выявлению вирусов могут полностью исключить появление и распространение вирусов. К основным профилактическим работам и мероприятиям относятся:

ежедневная автоматическая быстрая антивирусная проверка;

ежеквартальная выборочная проверка ИСПДн серверов БД на наличие вирусов бесплатными антивирусными утилитами, даже при отсутствии внешних проявлений вирусов;

изучение информации по сообщениям в журналах и Интернете о новых вирусах и их способах распространения и заражения и информирование сотрудников Оператора о новых способах распространения вредоносного ПО и других актуальных угрозах;

ограничение доступа к компонентам ИСПДн третьих лиц.

3.2. При обнаружении вирусов на АРМ и серверах, работающих в локальной сети, внеплановой проверке подлежат все АРМ и сервера, входящие в один сегмент сети с зараженным АРМ или сервером, или работающие с общими данными и программным обеспечением.

4. Анализ ситуаций

4.1. При возникновении подозрения на наличие вредоносного ПО (ошибки в работе программ, появление графических и звуковых эффектов, искажения данных, пропадание файлов, частое появление сообщений о системных ошибках, замедление работы компьютера и т.п.) сотрудник самостоятельно может провести внеочередной антивирусный контроль, либо обратиться к Ответственному за обеспечение безопасности ИСПДн.

4.2. При возникновении подозрения на наличие вредоносного ПО на серверах и интернет шлюзах Ответственный за обеспечение безопасности ИСПДн организует осуществление внеочередного антивирусного контроля.

4.2. При обнаружении вредоносного ПО Ответственный за обеспечение безопасности ИСПДн выполняет анализ ситуации. В результате анализа делается вывод о способе уничтожении вирусов.

5. Применение средств антивирусной защиты

5.1 Лечение или уничтожение вредоносного ПО осуществляется в автоматическом режиме средствами антивирусной защиты, а в ситуациях, когда это невозможно вручную.

5.2В случае уничтожения вредоносным ПО файлов баз данных и содержащихся на файловом сервере Ответственному за обеспечение безопасности ИСПДн организует их восстановление, используя последнюю резервную копию.

5.3После уничтожения вредоносного ПО и восстановления зараженных файлов необходимо еще раз выполнить проверку наличия вирусов, используя антивирусные программы. Перед повторной проверкой необходимо перезагрузить компьютер.

5.4 Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях.

5.5Файлы, помещаемые на архивное хранение, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в квартал в ручном или автоматическом режиме.

5.6Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на предмет отсутствия вредоносных файлов.

6. Ответственность

6.1 За невыполнение требований настоящего Положения применяется дисциплинарная ответственность в порядке, определенным законодательством Российской Федерации и локальными актами Оператора.

Приложение № 18

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Типовая форма разъяснения

субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в связи с осуществлением полномочий депутата в Совете сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан

Разъяснения

юридических последствий отказа предоставить свои персональные данные

Мне,

разъяснены следующие юридические последствия отказа предоставить свои персональные данные Совету сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан:

– на основании статьи 40 Федеральный закон от 06.10.2003 г. № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» непредставление депутатом Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан сведений о своих доходах, об имуществе и обязательствах имущественного характера, а так же о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей в случае, если представление таких сведений обязательно, либо представление заведомо недостоверных или неполных сведений влечет досрочное прекращение полномочий депутата.

«

»

2

г

(дата)

(подпись) (расшифровка подписи)

Приложение № 19

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

ПРАВИЛА

работы с обезличенными данными

1. Общие положения

Настоящие Правила работы с обезличенными данными разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Постановлением Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных».

Настоящие Правила не исключают обязательного выполнения других руководящих документов по вопросам обезличивания персональных данных.

Настоящие Правила определяют порядок осуществления обезличивания персональных данных и порядок работы с обезличенными данными.

2. Термины и определения

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

3. Условия обезличивания

Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, по достижению целей обработки или в случае отсутствия необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, а при невозможности уничтожения персональных данных, обрабатываемых в информационных системах персональных данных.

Методы обезличивания при условии дальнейшей обработки персональных данных:

- метод введения идентификаторов;

- метод изменения состава и семантики;

- метод декомпозиции;

- метод перемешивания;

Методом обезличивания в случае достижения целей обработки или в случае отсутствия необходимости в достижении этих целей является метод введения идентификаторов.

Для обезличивания персональных данных годятся любые способы явно незапрещенные законодательно.

4. Порядок проведения работ по обезличиванию персональных данных по достижению целей обработки и хранения персональных данных

Обезличивание персональных данных осуществляется ежегодно, по истечению сроков хранения персональных данных установленных локальными актами Оператора и законодательством Российской Федерации.

Сотрудником, ответственным за проведение обезличивания организуется выборка ПДн в информационной системе с истекшими сроками хранения. Списки передаются на рассмотрение Ответственному за организацию обработки персональных данных.

Решение вопросов об обезличивании персональных данных, обрабатываемых в информационных системах персональных данных, об определении лица, ответственного за обезличивание, срока обезличивания осуществляется Ответственным за организацию обработки персональных данных.

В базе данных осуществляется очистка полей «Фамилия, имя, отчество» с заменой их на запись – «удалено».

По результату проведенного обезличивания формируется Акт об уничтожении персональных данных включающий в себя поля: фамилия имя отчество; идентификатор карточки контрагента в базе данных.

При возникновении необходимости определения принадлежности карточки контрагента конкретному лицу осуществляется идентификация карточки по предоставляемому субъектом паспорту и акту уничтожения персональных данных.

5. Порядок работы с обезличенными персональными данными

Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности, если иное не установлено предусмотренных законодательством Российской Федерации.

Обезличенные персональные данные могут обрабатываться без использования средств автоматизации и в информационных системах персональных данных.

При обработке обезличенных персональных данных необходимо так же соблюдать требования локальных актов Оператора в области организации обработки и защиты персональных данных.

6. Организация обезличивания персональных данных

Начальник учреждения, в котором ведется обработка персональных данных является ответственным за организацию работ по обезличиванию персональных данных и осуществляет контроль за исполнением требований настоящих Правил сотрудниками учреждения.

7. Контроль за обезличиванием персональных данных

Общий контроль за организацией работ по обезличиванию персональных данных осуществляет Ответственный за организацию обработки персональных данных.

Приложение 1 к Правилам

работы с обезличенными данными,

утв. решением Совета сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район от 05 марта 2020 года № 15

ПЕРЕЧЕНЬ

должностей Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных

Глава сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан.

Инструкция

по обеспечению безопасности персональных данных

Содержание

1.              Основные положения              102

2.              Общие требования              102

3.              Обязанности сотрудника при осуществлении антивирусной защиты              105

4.              Обязанности сотрудника при осуществлении парольной защиты              106

5.              Защита ПДн от утечки по видовым каналам              108

6.              Ответственность за неисполнение (ненадлежащее исполнение) настоящей инструкции              108

Приложение № 20

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Основные положения

1.1 Настоящий документ определяет основные обязанности, права и ответственность сотрудников Совета сельского поселения Кара-Якуповский сельсовет муниципального района Чишминский район Республики Башкортостан при обработке персональных данных (далее – ПДн).

Общие требования

Каждый сотрудник, осуществляющий обработку ПДн, несет персональную ответственность за свои действия и обязан:

строго соблюдать требования данной Инструкции;

хранить в тайне личные пароли доступа;

обеспечивать сохранность внешних машинных носителей персональных данных;

соблюдать требования нормативных и локальных правовых актов, регламентирующих правила обеспечения безопасности и обработки ПДн;

помещать бумажные носители ПДн по завершении работы с ними на место хранения либо возвращать лицу, выдавшему их для работы;

немедленно информировать Ответственного за организацию обработки персональных данных:

о факте утраты удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов);

о факте склонения к разглашению ПДн;

о факте утери бумажных носителей персональных данных;

о случаях или попытках несанкционированного проникновения в помещения, где осуществляется обработка ПДн;

утери машинных носителей ПДн;

подозрении на компрометацию личного пароля;

при подозрении на совершение попыток несанкционированного доступа к ресурсам ИСПДн;

при обнаружении несанкционированных изменений в конфигурации программного и аппаратного обеспечения ИСПДн;

сбоев в работе системного или прикладного программного обеспечения, средств защиты информации;

некорректного функционирования установленных средств защиты информации;

обнаружения недокументированных свойств или ошибок системного и прикладного программного обеспечения;

осуществлять хранение бумажных носителей ПДн только в местах, утвержденных Перечнем мест хранения материальных носителей персональных данных;

хранить бумажные носители персональных данных таким образом, чтобы исключить возможность просмотра персональных данных третьими лицами и лицами, не допущенными к обработке персональных данных данной категории в соответствие с перечнем должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (далее - неуполномоченные лица);

вносить уточнения в ПДн, содержащихся на бумажных носителях ПДн, посредством вычеркивания или вымарывания ПДн с применением пасты-штрих. Если внесение уточнений не позволяют особенности носителя ПДн, то этот носитель уничтожается и заменяется на новый;

Для хранения рабочих файлов в электронном виде использовать файловый сервер и(или) общую папку отдела.

Сотруднику запрещается:

использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;

хранить и обрабатывать личную информацию на АРМ и серверах ИСПДн.

использовать информационные ресурсы сети Интернет, содержание которых нарушает действующее законодательство Российской Федерации;

использовать информационные ресурсы сети Интернет для целей, не связанных со служебной деятельностью;

препятствовать работе средств защиты информации и средств резервного копирования информации;

самовольно вносить какие-либо изменения в конфигурацию программного и аппаратного обеспечения ИСПДн или устанавливать дополнительно любые программные и аппаратные средства;

использовать в работе неучтенные машинные носители ПДн;

умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации;

бесконтрольно оставлять носители ПДн или передавать их на хранение другим лицам;

выносить носители персональных данных (в том числе бумажные документы) за пределы помещений, если это не связано с выполнением должностных обязанностей сотрудника

оставлять одних в помещении лиц, не имеющих права самостоятельного доступа в помещения (в том числе при проведении работ по уборке и техническом обслуживании оборудования);

разглашать ПДн в беседах с посторонними лицами, а также с сотрудниками, если этого не требуется для исполнения им своих служебных обязанностей;

передавать ПДн по незащищенным каналам связи (в том числе, с использованием общедоступных почтовых серверов типа mail.ru, yandex.ru и прочих);

размещать и хранить ПДн на ресурсах, не предусмотренных технологическим процессом обработки ПДн в ИСПДн;

использовать поступающие из сторонних организаций внешние машинные носители информации без предварительной проверки их на наличие вирусов. При обнаружении на носителе зараженного и не поддающегося лечению файла дальнейшее использование носителя не допускается;

обрабатывать ПДн в случае сбоев в работе средств защиты информации;

самовольно вносить изменения в поля типовых форм документов.

Обязанности сотрудника при осуществлении антивирусной защиты

При возникновении подозрения о наличии вредоносного ПО (появления на экране монитора неожиданных сообщений или изображений, баннеров, самопроизвольного запуска программ, появления сообщения-предупреждения от брандмауэра или антивируса, что некое приложение (программа) пытается соединиться с интернетом, хотя эту программу не запускали) Сотрудник самостоятельно может провести внеочередной антивирусный контроль своего АРМ, либо обратиться Ответственному за обеспечение безопасности ПДн.

В случае отсутствия возможности запустить антивирусную проверку (заблокирован доступ к ОС, антивирус не запускается/ отсутствует), при наличии деструктивного воздействия вируса на файлы, лечение которых антивирусной программой невозможно, а также в случае сбоя обновления антивирусных баз, либо в случае сбоя при проведении антивирусного сканирования сотрудник должен сообщить об этом Ответственному за обеспечение безопасности ПДн.

Сотрудник обязан:

в случае, если антивирусная программа не работает в фоновом режиме, самостоятельно проводить проверку антивирусной программой всех файлов, полученных из Интернет, посредством электронной почты, а также копируемых на АРМ или ресурс ИС с любых внешних машинных носителей информации;

контролировать результат и успешность выполнения антивирусной проверки;

сообщить о факте заражения вирусами Ответственному за обеспечение безопасности ПДн.

Сотруднику запрещается:

предпринимать попытки отключения установленных на АРМ антивирусных программ и их удаления;

производить настройки (конфигурирование) антивирусных программ;

препятствовать проведению полной антивирусной проверки, запускаемой по расписанию, по возможности, не вести в данное время никакие работы на АРМ;

самостоятельно устанавливать на АРМ любые антивирусные средства;

использовать ресурсы Интернет (осуществлять обмен сообщениями электронной почты) в случае сбоев в работе средств антивирусной защиты;

самостоятельно производить устранение последствий от воздействия вредоносных программ;

каким-либо образом влиять на работу антивирусных программ.

Обязанности сотрудника при осуществлении парольной защиты

При получении одноразового пароля, сотрудник должен авторизоваться в операционной системе и произвести смену одноразового пароля на постоянный личный пароль. Постоянный личный пароль должен соответствовать следующим требованиям:

длина пароля должна быть не менее 6 символов;

в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.).

При смене пароля запрещается использовать ранее использованные пароли, а новое значение должно отличаться от предыдущего не менее чем в 3 позициях.

При получении постоянного пароля сотрудник обязан хранить его в индивидуальном сейфе или опечатанном шкафу, или запомнить пароль и уничтожить путем измельчения конверта с паролем.

В случае компрометации личного пароля (когда пароль стал или может быть известен еще кому-либо кроме владельца данного пароля, невозможности входа при правильном вводе личного пароля, изменение расположения иконок программ и файлов на рабочем столе, несанкционированного изменения файлов, хранящихся в ИСПДн) владелец скомпрометированного пароля должен немедленно сообщить о факте утери или компрометации пароля Ответственному за обеспечение безопасности ПДн. В случае компрометации обязательно производится смена пароля.

При оставлении рабочего места сотрудник должен завершить открытую сессию в прикладном программном обеспечении и операционной системе, либо использовать функцию «блокировка экрана» операционной системы.

Сотруднику запрещается:

передавать кому-либо личный пароль;

хранить в общедоступном месте пароли доступа;

записывать личный пароль доступа на бумажный носитель в открытом виде;

осуществлять ввод пароля в присутствии лиц, которые потенциально могут увидеть процесс набора пароля;

использовать чужие идентификаторы и пароли доступа;

оставлять без присмотра включенное АРМ, не осуществив блокировку экрана.

Сотрудник несет ответственность за сохранность своего личного пароля и за действия, совершенные в ИСПДн под выданной ему учетной записью.

Защита ПДн от утечки по видовым каналам

5.1. При возникновении угрозы просмотра ПДн неуполномоченными лицами, необходимо прекратить обработку ПДн, а бумажные носители разместить таким образом, чтобы был исключен просмотр ПДн (перевернуть текстом вниз, убрать в ящик стола или хранилище).

5.2. Осуществлять работу с документами, содержащими персональные данные, только при исключении возможности их просмотра через окна (закрытие штор, жалюзи, монитор отвернут от окна).

Ответственность за неисполнение (ненадлежащее исполнение) настоящей инструкции

6.1. Все сотрудники несут ответственность за ненадлежащее исполнение или неисполнение своих обязанностей, предусмотренных настоящей Инструкцией в соответствии с внутренними локальными актами и действующим законодательством Российской Федерации.

Приложение № 21

к постановлению Администрации сельского поселения Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Инструкция по действиям персонала во внештатных

ситуациях при обработке конфиденциальной информации и персональных данных

Общие положения

Данная инструкция призвана регламентировать порядок действий пользователя информационной системы персональных данных «Совета сельского поселения Кара-Якуповский сельсовет МР Чишминский район» (далее - ИСПДн) (далее в Учреждении) при возникновении внештатных ситуаций.

Инструкция утверждается руководителем учреждения. Настоящая Инструкция определяет возможные аварийные ситуации, связанные с функционированием ИСПДн Учреждения, меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн после аварийных ситуаций.

Целью настоящего документа является превентивная защита элементов ИСПДн от прерывания в случае реализации рассматриваемых угроз.

Задачей данной Инструкции является определение мер защиты от прерывания и определение действий восстановления в случае прерывания.

Действие настоящей Инструкции распространяется на всех сотрудников Учреждения, имеющих доступ к ресурсам ИСПДн, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:

системы жизнеобеспечения;

системы обеспечения отказоустойчивости;

системы резервного копирования и хранения данных;

системы контроля физического доступа.

Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного одного раза в два года.

Порядок действий при возникновении аварийной ситуации

В настоящем документе под аварийной ситуацией понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн. Аварийная ситуация становится возможной в результате реализации одной из угроз, приведенных в «Модели угроз».

Все действия в процессе реагирования на аварийные ситуации должны документироваться ответственным за реагирование сотрудником в «Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств информационной системы персональных данных» (Приложение 25 к Постановлению «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами»).

В кратчайшие сроки, не превышающие одного рабочего дня, ответственный за обеспечение информационной безопасности, администратор баз данных или другой назначенный ответственным за реагирование сотрудник предпринимает меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с вышестоящим руководством. При необходимости привлекаются квалифицированные сотрудники сторонних организаций с целью восстановления работоспособности в кратчайшие сроки.

Уровни реагирования на инцидент

При реагировании на инцидент, важно, чтобы пользователь правильно классифицировал критичность инцидента. Критичность оценивается на основе следующей классификации:

Уровень 1 – Незначительный инцидент. Незначительный инцидент определяется как локальное событие с ограниченным разрушением, которое не влияет на общую доступность элементов ИСПДн и средств защиты. Эти инциденты решаются ответственными за реагирование сотрудниками.

Уровень 2 – Авария. Любой инцидент, который приводит или может привести к прерыванию работоспособности отдельных элементов ИСПДн и средств защиты. Эти инциденты выходят за рамки управления ответственными за реагирование сотрудниками.

К авариям относятся следующие инциденты:

Отказ элементов ИСПДн и средств защиты из-за:

повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей;

сбоя системы кондиционирования;

других физических повреждений элементов ИСПДн, критичных для функционирования всей ИСПДн.

Уровень 3 – Катастрофа. Любой инцидент, приводящий к полному прерыванию работоспособности всех элементов ИСПДн и средств защиты, а также к угрозе жизни пользователей ИСПДн, классифицируется как катастрофа.

К катастрофам относятся следующие инциденты:

пожар в здании;

взрыв;

просадка грунта с частичным обрушением здания;

массовые беспорядки в непосредственной близости от Объекта.

Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций

Технические меры

К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения аварийных ситуаций, такие как:

системы жизнеобеспечения;

системы обеспечения отказоустойчивости;

системы резервного копирования и хранения данных;

системы контроля физического доступа.

Системы жизнеобеспечения ИСПДн включают:

пожарные сигнализации и системы пожаротушения;

системы вентиляции и кондиционирования;

системы резервного питания.

Все критичные помещения Учреждения (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожаротушения.

Порядок предотвращения потерь информации и организации системы жизнеобеспечения ИСПДн описан в «Порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации».

Организационные меры

Ответственные за реагирование сотрудники ознакомляют всех сотрудников Учреждения, находящихся в их зоне ответственности, с данной инструкцией в срок, не превышающий 3х рабочих дней с момента выхода нового сотрудника на работу.

Должно быть проведено обучение сотрудников Учреждения, имеющих доступ к ресурсам ИСПДн, порядку действий при возникновении аварийных ситуаций.

Сотрудники, ответственные за обеспечение безопасности ИСПДн должны быть дополнительно обучены методам частичного и полного восстановления работоспособности элементов ИСПДн.

Ответственность за организацию обучения должностных лиц несет должностное лицо, ответственное за обеспечение безопасности ИСПДн.

Приложение № 22

к постановлению Администрации сельского поселения

Кара-Якуповский сельсовет муниципального района

Чишминский район Республики Башкортостан

от 05 марта 2020 года № 15

Журнал учета

нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств

информационной системы персональных данных

Начат:

Окончен:

Количество листов:

Срок хранения:

5 лет

N п/п

Дата

Краткое описание выполненной работы (нештатной ситуации)

ФИО и подпись пользователя

ФИО и подпись ответственного за обеспечение безопасности персональных данных

Примечание (ссылка на заявку)

1

2

3

4

5

7

1