Положение по организации работ и проведению работ по обеспечению безопасности персональных данных

 

 

Администрация

сельского поселения Верхнешарденгское

 

РАСПОРЯЖЕНИЕ

18.10.2010                                                                                                                  20-р

 

Об утверждении положения по организации и  проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

 

         В целях совершенствования работы по обеспечению защиты персональных данных в  администрации района  в соответствии с Федеральным законом  от 27.07.2006  № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»,  руководствуясь статьей 26 Устава сельского поселения Верхнешарденгское,

 

1. Утвердить положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в администрации сельского поселения Верхнешарденгское  (приложение).

2. Контроль исполнения распоряжения возложить на заместителя Главы Угрюмову И.В.

 

 

 

Глава сельского поселения

Верхнешарденгское                                                                         Т.В. Меркурьева

 

 

 

Ознакомлены:

 

 

 

 

 

 

 

 

Утверждено

распоряжением администрации

сельского поселения Верхнешарденгское от18.10.2010 № 20 -р

                        (Приложение)

 

 

ПОЛОЖЕНИЕ

по организации и проведению работ по обеспечению безопасности

 персональных данных при их обработке в информационных системах

 персональных данных в администрации  сельского поселения

Верхнешарденгское

 

 

1. Общие положения

 

1.1. Настоящее положение устанавливает особенности обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее ИСПДн в администрации поселения).

1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17 ноября 2007 года  № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

 

2. Порядок определения защищаемой информации

 

2.1. Администрация поселения создает в пределах своих полномочий, установленных в соответствии с федеральными законами, муниципальные ИСПДн, в целях обеспечения реализации прав объектов персональных данных.

2.2. В администрации поселения на основании «Перечня сведений конфиденциального характера», утвержденного Указом Президента Российской Федерации 6 марта 1997 года № 188, определяются и утверждаются рапоряжением администрации перечень персональных данных,  перечень информационных систем персональных данных и  список структурных подразделений администрации района, в которых осуществляется обработка и хранение персональных данных.

 

3. Основные условия проведения обработки персональных данных

 

3.1. Обработка персональных данных осуществляется:

- после получения  согласия субъекта персональных данных, составленного по форме согласно приложению 1 к настоящему Положению или сформированного в информационной системе персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

- после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Вологодской области за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27.07.2006        № 152-ФЗ «О персональных данных».

3.2 Оператором ИСПДн, организующим и осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных является администрация  сельского поселения Верхнешарденгское. Обязанности оператора распоряжением администрации  возлагаются на муниципальных служащих администрации поселения, осуществляющие деятельность по эксплуатации ИСПДн.

3.3. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

3.4. Операторы взаимодействуют по вопросам организации защиты персональных данных в ИСПДн со специалистами отдела информационного обеспечения администрации Великоустюгского района  (далее – отдел информационного обеспечения).

3.5. Распоряжением администрации поселения утверждается список лиц, ответственных за обработку персональных данных.

         3.6. Муниципальные служащие, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме согласно  приложения 2 к настоящему Положению. Должностные инструкции муниципальных служащих, допущенных к обработке персональных данных, должны содержать сведения о допуске к персональным данным и основания, на котором данный допуск осуществлен (наименование, дата и номер соответствующего федерального закона).

         3.7. Оператором и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. Оператор или иное получившее доступ к персональным данным лицо обязано не допускать их распространение без согласия субъекта персональных данных или наличия законного основания.

3.8. В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

 

4. Правила обработки  и защиты персональных данных в информационных системах с использованием и без использования средств автоматизации

 

4.1. Обработка персональных данных в ИСПДн с использованием средств автоматизации осуществляется в соответствии с требованиями «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации   от 17.11.2007 № 781, нормативных правовых актов уполномоченных федеральных органов исполнительной власти.

4.2. Обработка персональных данных без использования средств автоматизации (в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации) осуществляется в соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением  Правительства Российской Федерации 15.09.2008 № 687.

4.3. Оператором осуществляется классификация информационных систем персональных данных в соответствии с Приказом ФСТЭК РФ, ФСБ РФ, Мининформсвязи РФ от 13.02.2008 № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" в зависимости от категории обрабатываемых данных и их количества.

          4.4. Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с «Основными мероприятиями по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн», утвержденными ФСТЭК Росси от 15.02.2008.

         4.5. На стадии ввода в эксплуатацию ИСПДн проводится ее оценка соответствия требованиям безопасности информации:

- для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) требованиям безопасности информации;

- для ИСПДн 3 класса декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);

- для ИСПДн 4 класса оценка соответствия проводится по решению оператора.

5.6. Не допускается обработка персональных данных в ИСПДн с использованием средств автоматизации при отсутствии:

- утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, парольной защиты автоматизированных систем, и других нормативных и методических документов;

- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;

- охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных;

- аттестата (декларации) о соответствии требованиям безопасности информации.

 

5. Требования к обработке и защите персональных данных в информационных системах без использования средств автоматизации

 

5.1 Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были:

- определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

5.2. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных
(далее - типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

5.3. При использовании внешних электронных носителей информации с персональными данными, к ним предъявляются следующие требования:

а) электронные носители информации, содержащие персональные данные, учитываются в журнале учета, выдачи и уничтожения машинных носителей данных, предназначенных для обработки и хранения информации ограниченного доступа, не относящейся к государственной тайне, персональных данных, в администрации района;

б) к каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.

5.4. Все документы, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы условия, обеспечивающие их сохранность.

 

6. Порядок привлечения специализированных сторонних организаций к разработке ИСПДн и средств защиты информации в администрации поселения

          6.1. Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации новых ИСПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн определяются муниципальными служащими  администрации поселения, в чем ведении находится создаваемая ИСПДн, исходя из особенностей автоматизированных систем.

          6.2. Разработка систем защиты персональных данных в ИСПДн администрации поселения, контроль за эксплуатацией ИСПДн по необходимости осуществляется специалистами отдела информационного обеспечения с привлечением специалистов  управления по МП, ГО, ЧС и защиты информации Великоустюгского муниципального района.

6.3. Для проведения мероприятий по обеспечению безопасности персональных данных для ИСПДн первого и второго класса и распределенных систем третьего класса специализированные сторонние организации должны иметь лицензии ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

6.4. Без наличия соответствующих лицензий проведение мероприятий по защите персональных данных возможно только для нераспределенных информационных систем третьего класса, а также для информационных систем четвертого класса.

 

7. Ответственность должностных лиц

Муниципальные служащие, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

                                                                                                                       

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Приложение 1

к положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации поселения, утвержденному распоряжением администрации поселения от  18.10.2010    №  20 -р

 

СОГЛАСИЕ

 на обработку персональных данных

                                                                                    

Я,____________________________________________________________________,

(Ф.И.О)

______________________________ серия _______ № _______ выдан ___________

(вид документа, удостоверяющего личность)

______________________________________________________________________,
(когда и кем)

проживающий(ая) по адресу :_____________________________________________

______________________________________________________________________,

настоящим даю свое согласие на обработку ____________________________________________________________________

                                  (наименование и адрес оператора)

моих персональных данных и подтверждаю, что, давая такое согласие, я действую своей волей и в своих интересах.

 

Согласие дается мною для целей ___________________________________________ __________________________

(цель обработки персональных данных)

и распространяется на следующую информацию: ___________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

(перечень персональных данных)

Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с моими персональными данными с учетом федерального законодательства.

В случае неправомерного использования предоставленных мною персональных данных согласие отзывается моим письменным заявлением.

         Данное согласие действует с «____» _______________    ______ г. 

_________________________________                                   ___________________

     (фамилия, инициалы лица, давшего согласие)                                                                                                                             (подпись)

 «_____»_________________ ________