Распоряжение от 15.12.2011 г № 2171

Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных органов местного самоуправления, структурных подразделений муниципальных предприятий и учреждений района


Во исполнение распоряжения Губернатора Белгородской области от 7 июля 2011 г. N 459-р ДСП "Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных органов исполнительной власти, государственных органов области", в целях создания нормативных правовых документов в сфере безопасности персональных данных, разрабатываемых в интересах формирования и развития системы защиты информации с ограниченным доступом в Белгородском районе, в соответствии с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных":
1.Утвердить Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных органов местного самоуправления и структурных подразделений, муниципальных предприятий и учреждений района (прилагается).
2.Рекомендовать главам администраций городских и сельских поселений района, руководителям структурных подразделений, руководителям предприятий и организаций района:
- утвердить аналогичное Положение "О порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных органов местного самоуправления, структурных подразделений муниципальных предприятий и учреждений района";
- обеспечить защиту персональных данных работников от неправомерного использования или утраты в порядке, установленном федеральными законами;
- назначить ответственных за обеспечение безопасности информации при использовании средств автоматизации, хранении и передаче персональных данных;
- издать соответствующие распорядительные документы в целях защиты персональных данных при их обработке в информационных системах.
3.Контроль за исполнением распоряжения возложить на заместителя руководителя аппарата главы администрации района, начальника отдела организационно-контрольной и кадровой работы Блошенко Н.П.
Глава администрации
Белгородского района
А.САВЧЕНКО
ПОЛОЖЕНИЕ
О ПОРЯДКЕ ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В
ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНОВ МЕСТНОГО
САМОУПРАВЛЕНИЯ, СТРУКТУРНЫХ ПОДРАЗДЕЛЕНИЙ АДМИНИСТРАЦИИ
РАЙОНА, МУНИЦИПАЛЬНЫХ ПРЕДПРИЯТИЙ И УЧРЕЖДЕНИЙ РАЙОНА
Основные термины и определения
Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями.
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым представлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных - действия (операции) с персональными данными, совершаемые работодателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Несанкционированный доступ (НДС) - получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации;
- доступ к информации или ее носителям с нарушением правил доступа к ним;
- ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Конфиденциальность персональных данных - обязательное для соблюдения работодателем или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Служебные сведения (служебная тайна) - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
Уполномоченное оператором лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.
Трансграничная передача персональных данных - передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
1.Общие положения
1.1.Настоящее Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных органов местного самоуправления района (далее - Положение) определяет порядок получения, хранения, передачи, автоматизированной обработки персональных данных в ИСПДн, а также без использования средств автоматизации в органах местного самоуправления муниципального района "Белгородский район" Белгородской области.
1.2.Цель разработки настоящего Положения - определение порядка защиты ПДн от несанкционированного доступа и их разглашения.
1.3.Настоящее Положение разработано на основе и во исполнение:
- части 1 статьи 23, статьи 24 Конституции Российской Федерации;
- Кодекса Российской Федерации об административных правонарушениях;
- положений главы 14 Трудового кодекса Российской Федерации;
- Федерального закона от 27 июня 2006 г. N 152-ФЗ "О персональных данных";
- статьи 42, 43 Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации";
- пунктов 3, 4, 5 статьи 14 Федерального закона от 23 мая 2003 г. N 58-ФЗ "О системе государственной гражданской службы Российской Федерации";
- Указа Президента Российской Федерации от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера";
- Указа Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведение его личного дела";
- Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах автоматизации";
- Приказа ФСТЭК России от 5 февраля 2010 г. N 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных".
1.4.Положение определяет права и обязанности руководителей и муниципальных служащих, работников организаций, замещающих должности, не являющиеся должностями муниципальной службы, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по сбору, документированию, хранению и уничтожению ПДн.
2.Состав персональных данных
2.1.Документами, содержащими ПДн, являются:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- страховое свидетельство государственного пенсионного страхования;
- свидетельство о постановке на учет в налоговый орган и присвоении ИНН;
- документы воинского учета;
- документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
- личная карточка работника (форма Т-2);
- личный листок по учету кадров;
- медицинское заключение по состоянию здоровья;
- документы, содержащие сведения о заработной плате, доплатах и надбавках;
- распоряжения о приеме лица на работу, об увольнении, а также о переводе на другую должность;
- другие документы, содержащие сведения, составляющие ПДн.
2.2.Перечень ПДн, обрабатываемых в органах местного самоуправления, структурных подразделениях и подлежащих защите от несанкционированного доступа, согласовывается с кадровым подразделением и утверждается руководителем.
2.3.В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, предоставленные субъектом ПДн.
Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
3.Основные условия безопасности при проведении обработки персональных данных
3.1.Обеспечение безопасности при проведении обработки ПДн в информационных системах ПДн органов власти района с использованием средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", Приказа ФСТЭК от 5 февраля 2010 г. N 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти области.
Оператор до начала обработки ПДн обязан уведомить уполномоченный Правительством Российской Федерации орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн.
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов ПДн обработку ПДн:
1) относящихся к субъектам ПДн, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются, а также не предоставляются третьими лицами без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектами ПДн;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественными объединениями или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПДн не будут распространяться без согласия в письменной форме субъектов ПДн;
4) являющихся общедоступными ПДн;
5) включающих в себя только фамилии, имена и отчества субъектов ПДн;
6) необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных;
7) включенных в ИСПДн, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов ПДн.
3.2.Обработка ПДн осуществляется:
- после получения согласия субъекта ПДн, составленного по форме согласно приложению N 1 к настоящему Положению, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27 июня 2006 г. N 152-ФЗ "О персональных данных";
- после направления уведомления об обработке ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27 июня 2006 г. N 152-ФЗ "О персональных данных";
- после принятия необходимых мер по защите ПДн.
3.3.В органах власти района решением главы администрации района назначается ответственный за обеспечение защиты ПДн и определяется перечень лиц, допущенных к обработке ПДн. Типовая форма регламента специалиста по обеспечению безопасности персональных данных приведена в приложении N 3.
3.4.Лица, допущенные к обработке ПДн, в обязательном порядке под роспись должны ознакомиться с настоящим Положением и подписать обязательство о неразглашении информации, содержащей ПДн, по форме согласно приложению N 2 к настоящему Положению.
3.5.Запрещается:
- обрабатывать ПДн в присутствии лиц, не допущенных к их обработке;
- осуществлять ввод ПДн под диктовку.
3.6.Не допускается обработка ПДн в ИСПДн с использованием средств автоматизации:
- при отсутствии установленных и настроенных сертифицированных средств защиты информации;
- при отсутствии утвержденных организационных документов о порядке эксплуатации ИСПДн.
4.Сбор, обработка и хранение персональных данных
4.1.Сбор ПДн муниципальных служащих и работников органов местного самоуправления, замещающих должности, не являющиеся должностями муниципальной службы района.
Документы, содержащие ПДн, создаются путем:
а) копирования оригиналов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и другие документы);
б) внесения сведений в учетные формы (на бумажных и электронных носителях);
в) получения оригиналов необходимых документов (трудовая книжка, личный листок по учету кадров, медицинское заключение).
4.2.Обработка ПДн муниципальных служащих и работников органов местного самоуправления, замещающих должности, не являющиеся должностями муниципальной службы района, осуществляется исключительно в целях:
а) обеспечения соблюдения законов и иных нормативных правовых актов;
б) содействия в трудоустройстве;
в) обеспечения личной безопасности;
г) контроля количества и качества выполняемой работы;
д) обеспечения сохранности имущества.
4.3.ПДн следует получать лично у муниципальных служащих и работников органов местного самоуправления, замещающих должности, не являющиеся должностями муниципальной службы района, за исключением случаев, если получение возможно только у третьей стороны. Получение ПДн от третьих лиц возможно только при уведомлении муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы района, об этом заранее и с их письменного согласия. В уведомлении о получении ПДн у третьих лиц должна содержаться следующая информация:
а) цели получения ПДн;
б) предполагаемые источники и способы получения ПДн;
в) характер подлежащих получению ПДн;
г) последствия отказа муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы района, дать письменное согласие на их получение.
4.4.Органы власти района не имеют права получать и обрабатывать ПДн муниципальных служащих и работников органов местного самоуправления, замещающих должности, не являющиеся должностями муниципальной службы района, об их политических, религиозных и иных убеждениях и частной жизни, равно как ПДн об их членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законодательством.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации органы власти района вправе получать и обрабатывать данные о частной жизни муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, только с их письменного согласия.
4.5.При принятии решений, затрагивающих интересы муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, не имеют права основываться на ПДн, полученных исключительно в результате их автоматизированной обработки без согласия муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы.
4.6.К сведениям, содержащим ПДн как на бумажных, так и на электронных носителях информации, доступ разрешен лицам, которые непосредственно используют ПДн муниципальных служащих и работников организаций района, замещающих должности, не являющиеся должностями муниципальной службы, в служебных целях. Перечень должностных лиц в администрации района, использующих ПДн в служебных целях:
- начальник кадрового подразделения;
- главный специалист по кадрам;
- главный бухгалтер отдела бухгалтерского учета;
- заместитель главного бухгалтера отдела бухгалтерского учета;
- главный специалист отдела бухгалтерского учета.
Доступ к ПДн муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, без специального разрешения имеют:
- глава администрации района;
- заместители главы администрации района;
- начальники структурных подразделений администрации района - в отношении ПДн муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, находящихся в их непосредственной подчиненности в соответствии с их должностными регламентами (инструкциями);
- руководитель режимно-секретного подразделения администрации района.
Кроме перечня лиц, допущенных к ПДн, в органах власти района разрабатывается разрешительная система доступа (матрица доступа) к информационным ресурсам, ИСПДн и связанным с ее использованием работам, документам.
4.7.Хранение ПДн в структурных подразделениях администрации района и органах местного самоуправления:
а) ПДн, содержащиеся на бумажных носителях, хранятся в запираемых шкафах, сейфах, установленных на рабочих местах лиц, ответственных за обработку ПДн;
б) ПДн в электронном виде хранятся на отдельных серверах, которые не имеют подключений к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), либо на жестких дисках автоматизированных рабочих мест, к которым имеют доступ только лица, ответственные за обработку ПДн.
4.8.ПДн, содержащиеся на бумажных носителях, сдаются в архив.
5.Доступ к персональным данным
5.1.К ПДн муниципальных служащих и работников района имеют доступ только те, кому ПДн необходимы в связи с исполнением ими трудовых обязанностей.
5.2.В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя доступ к ПДн может быть предоставлен иному муниципальному служащему или работнику, замещающему должность, не являющуюся должностью муниципальной службы, должность которого не включена в перечень должностных лиц, уполномоченных на обработку ПДн и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих ПДн.
5.3.Уполномоченные лица имеют право получать только те ПДн, которые необходимы им для выполнения конкретных функций в соответствии с их должностным регламентом (инструкцией).
5.4.Муниципальные служащие и работники, замещающие должности, не являющиеся должностями муниципальной службы, имеют право на свободный доступ к своим ПДн, включая право на получение копии любой записи (за исключением случаев предусмотренных федеральным законодательством), содержащей их ПДн. Муниципальные служащие и работники, замещающие должности, не являющиеся должностями муниципальной службы, имеют право вносить изменения в свои данные в случае обнаружения в них неточностей.
5.5.Муниципальные служащие и работники органов местного самоуправления, замещающие должности, не являющиеся должностями муниципальной службы района, имеющие доступ к ПДн в органах местного самоуправления района в связи с исполнением трудовых обязанностей, обеспечивают хранение информации, содержащей ПДн, исключающее доступ к ним третьих лиц.
5.6.В период отпуска, служебной командировки и иных случаях длительного отсутствия на рабочем месте муниципального служащего и работника, замещающего должность, не являющуюся должностью муниципальной службы, он обязан передать документы и иные носители, содержащие ПДн, лицу, на которое приказом руководителя будет возложено исполнение его трудовых обязанностей.
В случае если такое лицо не назначено, то документы и иные носители, содержащие ПДн, передаются другому муниципальному служащему, имеющему доступ к ПДн, по указанию руководителя структурного подразделения.
При увольнении муниципального служащего или работника, замещающего должность, не являющуюся должностью муниципальной службы, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, передаются другому муниципальному служащему и работнику, замещающему должность, не являющуюся должностью муниципальной службы, имеющему доступ к ПДн, по указанию руководителя структурного подразделения администрации района.
5.7.Процедура оформления доступа к ПДн уполномоченного муниципального служащего или работника, замещающего должность, не являющуюся должностью муниципальной службы, включает в себя:
- ознакомление под роспись с настоящим Положением, иными нормативными актами (приказами, распоряжениями, инструкциями и т.п.), регулирующими обработку и защиту ПДн в органах власти района;
- истребование письменного обязательства о соблюдении конфиденциальности ПДн и соблюдении правил их обработки, подготовленного по установленной форме (приложение N 2).
5.8.Главный специалист по кадровым вопросам вправе передавать ПДн муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, в отдел бухгалтерского учета и отчетности и иные структурные подразделения администрации района в случае, если эти данные необходимы для исполнения уполномоченными муниципальными служащими и работником, замещающим должности, не являющиеся должностями муниципальной службы, соответствующих структурных подразделений своих трудовых обязанностей.
При передаче ПДн муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, главный специалист по кадровым вопросам предупреждает лица, получающие данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и истребует от этих лиц письменное обязательство в соответствии с пунктом 3.4 настоящего Положения.
5.9.Передача (обмен и т.д.) ПДн между подразделениями администрации района осуществляется только между муниципальными служащими и работниками, замещающими должности, не являющиеся должностями муниципальной службы, которые имеют доступ к ПДн в рамках исполнения своих должностных регламентов и инструкций.
5.10.Передача ПДн муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, третьим лицам осуществляется только с их письменного согласия, которое оформляется по установленной форме и должно включать в себя:
- фамилию, имя, отчество, должность;
- наименование и юридический адрес органа власти района, получающего согласие;
- цель передачи ПДн;
- перечень ПДн, на передачу которых дается согласие;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Согласие муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, на передачу их ПДн третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью; когда третьи лица оказывают услуги органам района на основании заключенных договоров, а также в случаях, установленных Федеральным законом от 27 июня 2006 г. N 152-ФЗ "О персональных данных" и настоящим Положением.
5.11.Не допускается передача ПДн муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, в коммерческих целях без их письменного согласия.
5.12.Муниципальные служащие и работники, замещающие должности, не являющиеся должностями муниципальной службы, передающие ПДн третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих ПДн. Акт должен содержать следующие условия:
- уведомление лица, получающего данные документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
- предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральным законодательством;
- передача документов (иных материальных носителей), содержащих ПДн, осуществляется при наличии у лица, уполномоченного на их получение:
- договора на оказание услуг органу власти района;
- соглашения о неразглашении конфиденциальной информации либо наличия в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту ПДн;
- письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей ПДн, ее перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
Ответственность за соблюдение вышеуказанного порядка предоставления ПДн муниципальных служащих и работников органов местного самоуправления, замещающих должности, не является муниципальным служащим, несет ответственное лицо, а также руководитель структурного подразделения, осуществляющего передачу ПДн третьим лицам.
5.13.Представителю (в том числе адвокату) муниципального служащего и работника, замещающего должность, не являющуюся должностью муниципальной службы, ПДн передаются в порядке, установленном действующим законодательством и настоящим Положением.
Информация передается при наличии одного из документов:
- нотариально заверенной доверенности представителя;
- письменного заявления муниципального служащего и работника, замещающего должность, не являющуюся должностью муниципальной службы, написанного в присутствии ответственного лица, допущенного к обработке ПДн органа местного самоуправления (если заявление написано не в присутствии ответственного лица, допущенного к обработке ПДн органа власти района, то оно должно быть нотариально заверено).
Доверенности и заявления хранятся в отделе органа местного самоуправления, где обрабатываются запрашиваемые ПДн муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы.
5.14.Предоставление ПДн государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
5.15.ПДн могут быть предоставлены родственникам или членам семьи муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, только с их письменного разрешения, за исключением случаев, когда передача ПДн без согласия допускается действующим законодательством Российской Федерации.
5.16.Доступ к электронным базам данных, содержащим ПДн муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, обеспечиваются системой паролей. Пароли устанавливаются начальниками или лицом, назначенным ответственным за обеспечение безопасности ПДн в структурных подразделениях администрации района, и сообщаются индивидуально муниципальному служащему или работнику, замещающему должность, не являющуюся должностью муниципальной службы, имеющим доступ к ПДн.
5.17.Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений проверяется не реже 1 раза в месяц соответствующими должностными лицами или ответственным, который назначается руководителем организации.
5.18.Статьей 12 Федерального закона от 27 июня 2006 г. N 152-ФЗ "О персональных данных" предусмотрена трансграничная передача ПДн, которая может осуществляться на территории иностранных государств в следующих случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам, а также международными договорами Российской Федерации о реадмиссии;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
6.Защита персональных данных в органах исполнительной власти района
6.1.Защита ПДн муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, от неправомерного их использования или утраты обеспечивается органами исполнительной власти района в порядке, установленном федеральным законодательством.
6.2.Общую организацию защиты ПДн муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, осуществляет руководитель.
6.3.Руководитель и/или лицо, назначенное ответственным за обеспечение безопасности информации, организует:
- ознакомление с настоящим Положением под роспись муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы;
- в случае вступления иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, также производится ознакомление под роспись;
- истребование с муниципальных служащих или работников, замещающих должности, не являющиеся должностями муниципальной службы, письменного обязательства о соблюдении конфиденциальности ПДн в органах исполнительной власти района и соблюдении правил их обработки;
- общий контроль за соблюдением муниципальным служащим и работниками, замещающими должности, не являющиеся должностями муниципальной службы, мер по защите ПДн.
6.4.Организацию и контроль за защитой ПДн осуществляет непосредственно руководитель, который имеет доступ к ПДн.
Методическое руководство по защите ПДн осуществляет лицо, ответственное за обеспечение безопасности информации.
6.5.В целях обеспечения защиты сведений, хранящихся в электронных базах данных органов исполнительской власти района, от НСД, искажения и уничтожения информации, а также от иных неправомерных действий применяются следующие основные методы и способы защиты информации:
- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам (матрица доступа), информационной системе и связанным с ее использованием работам, документам;
- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители информации, постоянная проверка элементов системы на наличие следов взлома;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
- регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
- учет и хранение съемных носителей информации, их обращение, исключающее хищение, подмену и уничтожение;
- резервирование технических средств, дублирование массивов и носителей информации, учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета съемных носителей информации;
- использование средств защиты информации, прошедших процедуру оценки соответствия;
- использование защищенных каналов связи;
- размещение технических средств, позволяющих осуществлять обработку ПДн, в пределах охраняемой территории;
- организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку ПДн;
- контроль доступа в помещения информационной системы посторонних лиц;
- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
6.6.При взаимодействии ИСПДн с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 6.5 настоящего Положения, применяются следующие методы и способы защиты информации от НСД:
- межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
- обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
- защита информации при ее передаче по каналам связи;
- использование средств антивирусной защиты;
- централизованное управление системой защиты персональных данных информационной системы.
6.7.С целью получения общедоступной информации, кроме методов и способов, указанных в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации:
- фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
- активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
- анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов.
6.8.При удаленном доступе к информационной системе через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования), кроме методов и способов, указанных в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации:
- проверка подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользовании данных);
- управление доступом к защищаемым персональным данным информационной сети;
- использование атрибутов безопасности.
6.9.При межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования), кроме методов и способов, указанных в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации:
- создание защищенного канала связи, обеспечивающего защиту передаваемой информации;
- осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных (использование цифровой электронной подписи и шифрования информации).
6.10.При межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования), кроме методов и способов, указанных в пунктах 6.5, 6.6 настоящего Положения, применяются следующие методы и способы защиты информации:
- создание защищенного канала связи, обеспечивающего защиту передаваемой информации;
- аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.
6.11.Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в ИСПДн применяются следующие методы и способы защиты информации:
- использование технических средств в защищенном исполнении;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- размещение объектов защиты в соответствии с предписанием на эксплуатацию;
- размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
- обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
- обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация.
6.12.Если имеется функция воспроизведения информации акустическими средствами в ИСПДн, то используются методы и способы защиты акустической (речевой) информации. Методы и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена ИСПДн, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при воспроизведении информации акустическими средствами. Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки ПДн в информационной системе.
6.13.Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.
6.14.Для защиты персональных данных в ИСПДн и выполнения пунктов 6.5 - 6.13 настоящего Положения органами исполнительской власти района привлекаются для выполнения специальных, аналитических и экспертных работ по защите информации специализированные организации-лицензиаты ФСТЭК и ФСБ России.
Специализированные организации, привлекаемые органами власти для оказания услуг по защите ПДн, должны иметь лицензии ФСТЭК и (или) ФСБ России на деятельность по защите информации (проведение контроля отсутствия недекларированных возможностей, аттестации технических средств, установки необходимых средств защиты информации).
6.15.При обработке ПДн в информационной системе пользователями должно быть обеспечено:
а) использование предназначенных для этого разделов (каталогов), носителей информации, встроенных в технические средства, или съемных маркированных носителей;
б) недопущение физического воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) недопущение несанкционированного выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.
6.16.При обработке ПДн в информационной системе лицами, ответственными за обеспечение безопасности в структурных подразделениях органов исполнительной власти района, должны обеспечиваться:
а) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
б) учет лиц, допущенных к работе с ПДн в информационной системе, прав и паролей доступа;
в) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
г) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
д) описание системы защиты ПДн.
6.17.Каждый съемный носитель с записанными на нем ПДн должен иметь маркировку, на которой указывается его уникальный учетный номер. Учет и выдачу съемных носителей ПДн осуществляют ответственные за обеспечение безопасности ПДн или делопроизводитель конфиденциальной информации в органах исполнительной власти района в журнале учета.
6.18.В случае выхода из строя техники, на которой проводилась обработка ПДн, вынос за пределы территории органов исполнительской власти района с целью ремонта, замены и т.п. без согласования с ответственным за обеспечение безопасности ПДн в подразделении администрации района запрещается.
6.19.Съемные носители ПДн, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется уполномоченной комиссией, утвержденной распоряжением руководителя. По результатам уничтожения носителей составляется акт, при необходимости уничтожения информации с носителей ПДн также составляется акт.
7.Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
7.1.Права, обязанности, действия муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, в трудовые обязанности которых входит обработка ПДн муниципальных служащих и работников, замещающих должности, не являющиеся должностями муниципальной службы, определяются их должностными регламентами (инструкциями).
7.2 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут ответственность в порядке, установленном действующим законодательством.